雲計算是信息技術發展和服務模式創新的集中體現,是信息化發展的重要變革和必然趨勢。隨著“新基礎設施”的加速布局和企業數字化轉型的逐步深入,如何深化雲的使用,進壹步提高雲計算的效率,成為現階段雲計算發展的重點。雲原生技術以其高效、穩定、快速的響應,極大地釋放了雲計算的效率,成為企業數字化業務應用創新的驅動力。雲原生技術已經進入快速發展階段,就像集裝箱加速貿易全球化進程壹樣,雲原生技術正在助力雲計算普及和企業數字化轉型。
雲原生計算基金會(Cloud Native Computing Foundation,CNCF)對雲原生技術的定義是:雲原生技術有利於組織在公共雲、私有雲、混合雲等新型動態環境中構建和運行靈活可擴展的應用。雲原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式編程API。
#雲安全時代的市場發展#
雲安全幾乎是隨著雲計算市場發展起來的。雲基礎設施投資的快速增長無疑為雲安全的發展提供了土壤。IDC數據顯示,2020年全球雲安全支出占雲IT支出的比例僅為1.1%,可見目前的雲安全支出遠遠不夠。假設這壹比例提升至5%,2020年全球雲安全市場空間將達到53.2億美元,2023年將達到10.89億美元。
海外雲安全市場:技術創新和並購整合活躍。整體來看,海外雲安全市場處於快速發展階段,技術創新活躍,並購頻繁。壹方面,雲安全技術創新活躍,並呈現收斂趨勢。比如綜合安全公司PaloAlto的Prisma產品線,集成了CWPP、CSPM、CASB三種雲安全技術產品,提供全面的解決方案和SASE、容器安全、微隔離等壹系列雲安全能力。另壹方面,新興的雲安全企業發展迅速。與此同時,傳統安全提供商也通過自研、兼並等方式加強雲安全布局。
國內雲安全市場:市場空間廣闊,目前仍處於技術跟進階段。從市場規模來看,根據中國信通院的數據,2019年中國雲計算整體市場規模達到13345億元,增長率為38.6%。預計2020-2022年仍將處於高速增長階段,到2023年市場規模將超過3754.2億元。中性假設下,安全投入占雲計算市場的3%-5%,因此預計2023年中國雲安全市場規模將達到11260億-1877億元。在技術發展方面,中國和海外市場在雲計算的發展階段和雲原生技術的程度上還有壹定的差距。CWPP技術在中國應用廣泛,但對於壹些新興的雲安全技術如CASB、CSPM等應用較少。但隨著國內公有雲市場的加速發展,雲原生技術的應用越來越廣泛,我們認為CASB、SCPM、SASE等新興技術在國內的應用會越來越廣泛。
#雲上安全展現原創生化發展趨勢#
雲原生技術逐漸成為雲計算市場的新趨勢,帶來了更加復雜的安全問題。容器、服務網格、微服務等雲原生技術正在影響各行各業的IT基礎設施、平臺和應用系統,也在向IT/OT融合的工業互聯網、IT/CT融合的5G、邊緣計算等新基礎設施滲透。隨著雲原生的應用越來越多,其相關的安全風險和威脅也不斷湧現。壹系列針對雲的安全攻擊層出不窮,比如Docker/Kubernetes等服務的曝光,特斯拉Kubernetes集群的挖礦事件,Docker Hub中的容器鏡像被“毒害”到挖礦程序中,微軟Azure安全中心檢測到的大規模Kubernetes挖礦事件,Graboid蠕蟲挖礦的通信事件。
從各種安全隱患中,我們可以壹窺雲原生技術的安全狀況,雲原生環境下還有很多安全問題亟待解決。在雲原生技術落地的過程中,安全性是必須考慮的重要因素。
#雲原生安全性的定義#
國內外的組織和企業對雲原生安全的概念解讀略有不同。結合中國的產業現狀和痛點,雲原生安全類似於雲計算安全,雲原生安全也包含“面向雲原生環境的安全”和“具有雲原生特性的安全”兩層含義。
面向雲原生環境的安全,其目標是保護雲原生環境中基礎設施、編排系統和微服務的安全。這些安全機制並不壹定具有雲原生的特征(比如容器化和可編程性)。它們可以部署在傳統模式甚至硬件設備中,但它們的作用是保護日益流行的雲原生環境。
雲原生特性安全是指具有靈活性、敏捷性、輕量級、可編程性等雲原生特性的各種安全機制。雲原生是壹種理念上的創新,通過容器化、資源整理、微服務,重構傳統的開發運營體系,加快業務上線和變化的速度。因此,雲原生系統的優秀特性也會給安全廠商帶來巨大的啟發,重構安全產品和平臺,改變其交付和更新模式。
#雲原生安全概念構建#
為了緩解傳統安全防護建設中的痛點,推動雲計算成為更安全可信的信息基礎設施,幫助雲客戶更安全地使用雲計算,雲原生安全的概念興起,國內外第三方機構和服務提供商紛紛提出建設和發展以原生為核心的雲安全。
Gartner主張用雲原生思維構建雲安全體系。
基於雲原生思維,Gartner提出的雲安全體系涵蓋了八個方面。其中,基礎設施配置、身份和訪問管理作為基礎能力由雲服務提供商提供,其他六個部分,包括持續雲安全態勢管理、全方位可視化、日誌記錄、審計和評估、工作負載安全、應用、PaaS和API安全、擴展數據保護和雲威脅檢測,需要客戶基於安全產品實現。
Forrester評估公共雲平臺的原生安全能力。
Forrester認為公有雲平臺原生安全(PCPNS)應該從三大類37個方面來衡量。從提供的產品和功能,以及未來的戰略規劃可以看出,壹是考察雲服務商的安全能力和建設,比如數據中心安全、內部人員等;另壹個是雲平臺的基本安全功能,比如幫助和文檔、授權和認證;第三種是為用戶提供的原生安全產品,如容器安全和數據安全。
安全狗通過四個工作保護系統構建雲原生安全。
(1)結合雲原生技術的具體落地情況,開展和落實最低權限和縱深防禦工作。對於雲原生環境中的各種組件,可以實行“安全左移”的原則,配置安全基線,防患於未然。對於微服務架構Web應用和無服務器應用的保護,重點是應用安全。
(2) DevSecOps圍繞雲原生應用的生命周期展開,以當前雲原生環境的關鍵技術棧“K8S+Docker”為例進行分析。要重視容器全生命周期的“配置安全”,項目建設的“鏡像安全”,項目部署的“容器訪問”,容器運行環境的雲計算“計算”、“網絡”、“存儲”三要素。
(3)構建了攻擊前、攻擊中、攻擊後的安全實施準則,可以根據安全實施準則在這三個階段進行檢測和防禦工作。
(4)對現有雲安全技術的改造和綜合應用,不應將“雲原生安全”作為壹個獨立的命題,而主機安全、微隔離等為雲原生環境提供更多支持的技術可以賦能雲原生安全。
#雲原生安全新風險#
雲原生架構的安全風險包括雲原生基礎設施本身的安全風險,以及雲原生生化改造上層應用後新增和擴展的安全風險。雲原生環境面臨著嚴峻的安全風險。攻擊者可能使用的重要攻擊面包括但不限於:容器安全、編排系統、軟件供應鏈等。以下是整理攻擊面的重要安全隱患。
#雲原生安全問題#
問題1:集裝箱安全問題
在構建雲原生應用和服務平臺的過程中,容器技術以其高度的靈活性和敏捷性成為雲原生應用場景中的重要技術支撐,因此容器安全也是雲原生安全的重要基石。
(1)容器映像不安全。
Sysdig的報告中提到,在用戶的生產環境中,會使用開放的鏡像倉庫作為軟件來源,比如最大的容器鏡像倉庫Docker Hub。壹方面,很多開源軟件會在Docker Hub上發布容器鏡像。另壹方面,開發者通常直接下載開放庫中的容器映像,或者基於這些基礎映像定制自己的映像。整個過程非常方便高效。但是Docker Hub上的圖片安全並不理想,存在大量高危漏洞的官方圖片。如果使用這些存在高危漏洞的鏡像,容器和主機的入侵風險會大大增加。目前,集裝箱圖像的安全問題主要包括以下三點:
1.不安全的第三方組件
在實際的容器化應用開發過程中,很少會從零開始構建壹個映像,而是在基礎映像中添加自己的程序和代碼,然後打包最終的業務映像並在線運行,這導致很多開發人員根本不知道基礎映像中包含了多少個組件,包含了哪些組件。包含的組件越多,漏洞可能就越多。
2.惡意鏡像
公共圖像倉庫中可能存在第三方上傳的惡意圖像。如果這些惡意映像被用來創建容器,那麽容器和應用程序的安全性就會受到影響。
3.敏感信息的泄露
為了方便開發和調試,開發人員將敏感信息存儲在配置文件中,如數據庫密碼、證書和密鑰。構建鏡像時,這些敏感信息會隨配置文件壹起打包到鏡像中,從而導致敏感信息泄漏。
(2)容器的生命周期短。
雲原生技術以其敏捷可靠的特性引領著企業的業務發展,成為企業數字化業務應用創新的驅動力。在容器環境中,部分容器由docker的命令啟動和管理,大量容器由Kubernetes容器調度系統啟動和管理,帶來了容器快速敏捷的構建、部署和運行的特點。大量容器的生命周期短於1小時,使容器的生命周期保護較傳統虛擬化環境發生了很大變化,容器的全生命周期保護存在很大變數。對於防禦方來說,需要采用傳統的異常檢測和行為分析相結合的方式來適應容器生命周期短的場景。
傳統的異常檢測使用WAF、IDS等設備,其規則庫已經很完善。通過這種檢測方法,可以直觀地顯示存在的威脅,並且這種方法在容器環境中仍然適用。
傳統的異常檢測可以快速準確地發現已知威脅,但大多數未知威脅無法通過規則庫進行匹配,因此需要通過行為分析機制從大量模式中分析出異常模式。壹般來說,壹個生產經營時期的商業模式是相對固定的,也就是說商業行為是可預測的,無論啟動多少個容器,容器內部的行為總是相似的。通過機器學習和收集進程行為,自動構建合理的基線,利用這些基線檢測容器中的未知威脅。
(3)容器的安全操作
容器技術在帶來便利的同時,往往忽略了容器運行時的安全加固。由於容器生命周期短、輕量級的特點,在主機或虛擬機上安裝殺毒軟件來保護壹個運行壹兩個進程的容器,既費時又耗資源,但在黑客眼中,容器無異於裸奔。容器運行時安全性的主要關註點:
1.不安全的容器應用
與傳統的Web安全類似,容器環境中也存在SQL註入、XSS、RCE和XE等漏洞。容器在向外界提供服務的同時,可能會被攻擊者利用,從而導致容器被入侵。
2.集裝箱DDOS攻擊
默認情況下,docker不限制容器資源的使用。默認情況下,它可以無限使用CPU、內存和硬盤資源,造成不同程度的DDOS攻擊。
(4)容器微隔離
在容器環境中,與傳統網絡相比,容器的生命周期變得更短,變化頻率更快。集裝箱之間存在著復雜的存取關系,尤其是當集裝箱數量達到壹定規模時,這種存取關系帶來的東西向交通會變得異常龐大和復雜。因此,在容器環境中,網絡的隔離要求不僅是物理網絡的隔離,還包括容器之間、容器組與主機之間、主機與主機之間的隔離。
問題二:雲原生保險的合規問題。
2.0級提出了安全擴展需求,以滿足雲計算等新技術、新應用領域的個性化安全防護需求,形成了新的網絡安全等級保護基本需求標準。雖然已經編寫了雲計算的安全擴展需求,但是由於編寫周期較長,編寫時虛擬化場景仍然是主流,沒有考慮容器化、微服務、無服務等雲原生場景,因此不能完全保證等級保護2.0中的所有標準適用於當前的雲原生環境;
通過安全狗在雲安全領域的經驗和具體實踐,需要對主機賬號的安全性進行檢測,設置不同賬號對不同容器的訪問權限,保證訪問控制策略在搭建、部署和運行過程中會隨著容器遷移。
對於入侵防禦系統的控制點,需要可視化管理,繪制業務拓撲圖,全方位防範主機入侵,控制業務流量訪問,檢測惡意代碼的感染和傳播;
對於鏡像和快照保護的控制,需要保護鏡像和快照,保證容器鏡像的完整性、可用性和保密性,防止敏感信息泄露。
問題3:主機安全
容器和主機* * *共享操作系統內核,所以主機的配置對容器的安全性有重要影響。例如,主機安裝易受攻擊的軟件可能導致任意代碼執行的風險,無限制打開端口可能導致任意用戶訪問的風險。通過部署主機入侵監控與安全防護系統,提供主機資產管理、主機安全加固、風險漏洞識別、入侵防禦、問題主機隔離等功能,各功能聯動,建立集采集、檢測、監控、防禦、捕獲於壹體的安全閉環管理體系,為主機提供全方位安全防護,幫助用戶及時定位墜落主機,應對已知和未知威脅風險,避免大規模內部主機安全事件的發生。
問題四:安排制度問題
編排系統支持很多雲原生應用,如無服務、服務網格等。這些新的微服務系統也存在安全問題。比如攻擊者寫壹段代碼獲取容器的shell權限,然後滲透遍歷容器網絡,造成巨大損失。
由於Kubernetes架構設計的復雜性,啟動壹個Pod資源需要涉及API服務器、控制器、管理器、調度器等組件,因此各個組件的安全能力尤為重要。API服務器組件提供的認證、授權、訪問控制,細粒度的訪問控制,秘密資源提供的密鑰管理,Pod自身提供的安全和網絡策略,可以有效實現Kubernetes的安全加固。
問題5:軟件供應鏈的安全性
通常,壹個項目中會用到大量的開源軟件。根據Gartner的統計,至少95%的企業會在關鍵的IT產品中使用開源軟件。這些來自互聯網的開源軟件本身可能就有病毒,而我們又不知道這些開源軟件中使用了哪些組件,這就導致了開源軟件中存在0-day或者Nday漏洞,我們根本無從得知。
開源軟件漏洞無法根治,容器本身的安全問題可能會給開發階段的所有流程帶來風險。我們所能做的就是根據SDL原則,從開發階段就對軟件安全性進行合理的評估和控制,以提高整個供應鏈的質量。
問題6:安全運營的成本
容器的生命周期雖然短,但是包羅萬象。在集裝箱的全生命周期保護中,在集裝箱的建造、部署和運行過程中會進行異常檢測和安全防護,隨之而來的是高成本的投入。對成千上萬個容器中的進程行為進行進程檢測和分析,會消耗主機處理器和內存資源,日誌傳輸會占用網絡帶寬,行為檢測會消耗計算資源。當環境中的容器數量龐大時,相應的安全運營成本會急劇增加。
問題7:如何提高安全防護效果?
關於安全運營成本的問題,我們知道集裝箱的安全運營成本很高。如何才能降低安全運營成本,提高安全防護效果?這就引入了業界流行的壹個詞“安全左移”,從左到右擴展軟件生命周期,即開發、測試、集成、部署、運營。安全左移的含義是將安全防護從傳統的運營端轉移到開發端,主要是設計開發軟件、軟件供應鏈安全、鏡像安全。
因此,要降低雲原生場景下的安全運營成本,提高運營效率,首先要“左移安全”,即從運營安全轉向開發安全,主要考慮開發安全、軟件供應鏈安全、鏡像安全和配置驗證:
開發安全
團隊需要關註代碼漏洞,比如使用進行代碼審計,發現由於缺乏安全意識導致的漏洞,以及由於邏輯問題導致的代碼邏輯漏洞。
供應鏈安全
代碼檢查工具可用於持續的安全評估。
鏡像安全性
使用鏡像漏洞掃描工具持續評估免費倉庫中的鏡像,及時更新有風險的鏡像。
配置檢查
驗證包括暴露、主機加固、資產管理等。,使攻擊者更難利用漏洞。
問題8:安全配置和密鑰證書管理。
非標準的安全配置和不令人滿意的密鑰憑證也是雲本地性的壹個主要風險點。雲原生應用和中間件、後端服務之間會有很多交互。為了簡單起見,很多開發者直接在代碼中存儲訪問憑證和密鑰文件,或者將壹些在線資源的訪問憑證設置為弱密碼,這樣就很容易讓攻擊者獲得敏感數據的訪問權限。
#雲原生安全未來展望#
從不斷增加的新型攻擊威脅來看,雲原生安全將成為未來網絡安全防護的關鍵。伴隨著att &隨著CK的不斷積累和相關技術的完善,att & amp;CK還增加了容器矩陣的內容。ATT & amp;CK是對手戰術、技術和常識的縮寫。它是壹個攻擊行為知識庫和威脅建模模型,包含了許多威脅組織及其使用的工具和攻擊技術。這種對抗策略和技術的開源知識庫對安全行業產生了廣泛而深遠的影響。
對雲原生安全的關註使得針對雲容器的攻擊矩陣應運而生。ATT & amp;CK允許我們從行為的角度來看待攻擊者和防禦措施,使相對抽象的容器攻擊技術和工具有跡可循。結合att & CK框架模擬紅藍對抗,評估企業當前的安全能力,對提高企業的安全防護能力有很好的借鑒作用。