<form id="0lfyz"></form>

      <var id="0lfyz"><mark id="0lfyz"></mark></var>

          您的需求已經提交,我們將在48小時內聯系您
          全國服務熱線:400-1000-221
          確定
          免費享受企業級云安全服務
          獲取手機驗證碼
          {{message}}
          免費試用

          云原生安全領域的看法以及問題

          作者:安全狗
          發布時間:2022-01-19

            云原生安全在云安全領域越來受到重視,云安全廠商在這塊的投入也是越來越大,安全狗在云原生安全方面具有得天獨厚的技術優勢,做云安全出身的它在云原生安全技術方面的研究更是深入各行各業,接下來一起來了解一下吧。

            云原生安全的定義:

            國內外各組織、企業對云原生安全理念的解釋略有差異,結合我國產業現狀與痛點,云原生與云計算安全相似,云原生安全也包含兩層含義:“面向云原生環境的安全”和“具有云原生特征的安全”。

            面向云原生環境的安全,其目標是防護云原生環境中的基礎設施、編排系統和微服務的安全。這類安全機制,不一定具備云原生的特性(比如容器化、可編排),它們可以是傳統模式部署的,甚至是硬件設備,但其作用是保護日益普及的云原生環境。

            具有云原生特征的安全,是指具有云原生的彈性敏捷、輕量級、可編排等特性的各類安全機制。云原生是一種理念上的創新,通過容器化、資源編排和微服務重構了傳統的開發運營體系,加速業務上線和變更的速度,因而,云原生系統的種種優良特性同樣會給安全廠商帶來很大的啟發,重構安全產品、平臺,改變其交付、更新模式。

            云原生安全領域發展數據

            云安全幾乎是伴隨著云計算市場而發展起來的,云基礎設施投資的快速增長,無疑為云安全發展提供土壤。根據 IDC 數據,2020 年全球云安全支出占云 IT 支出比例僅為 1.1%,說明目前云安全支出遠遠不夠,假設這一比例提升至 5%,那么2020 年全球云安全市場空間可達 53.2 億美元,2023 年可達 108.9 億美元。

            海外云安全市場:技術創新與兼并整合活躍。整體來看,海外云安全市場正處于快速發展階段,技術創新活躍,兼并整合頻繁。一方面,云安全技術創新活躍,并呈現融合發展趨勢。例如,綜合型安全公司 PaloAlto 的 Prisma 產品線將 CWPP、CSPM 和 CASB 三個云安全技術產品統一融合,提供綜合解決方案及 SASE、容器安全、微隔離等一系列云上安全能力。另一方面,新興的云安全企業快速發展,同時,傳統安全供應商也通過自研+兼并的方式加強云安全布局。

            國內云安全市場:市場空間廣闊,尚處于技術追隨階段。市場規模上,根據中國信通院數據,2019 年我國云計算整體市場規模達 1334.5億元,增速 38.6%。預計 2020-2022 年仍將處于快速增長階段,到 2023 年市場規模將超過 3754.2 億元。中性假設下,安全投入占云計算市場規模的 3%-5%,那么 2023 年中國云安全市場規模有望達到 112.6 億-187.7 億元。技術發展上,中國在云計算的發展階段和云原生技術的程度上與海外市場還有一定差距。國內 CWPP 技術應用較為廣泛,對于 CASB、CSPM 一些新興的云安全技術應用較少。但隨著國內公有云市場的加速發展,云原生技術的應用越來越廣泛,我們認為CASB、SCPM、SASE 等新興技術在國內的應用也將越來越廣泛。

            云原生安全領域涉及問題

            問題1:容器安全問題

            在云原生應用和服務平臺的構建過程中,容器技術憑借高彈性、敏捷的特性,成為云原生應用場景下的重要技術支撐,因而容器安全也是云原生安全的重要基石。

            (1)容器鏡像不安全

            Sysdig的報告中提到,在用戶的生產環境中,會將公開的鏡像倉庫作為軟件源,如最大的容器鏡像倉庫Docker Hub。一方面,很多開源軟件會在Docker Hub上發布容器鏡像。另一方面,開發者通常會直接下載公開倉庫中的容器鏡像,或者基于這些基礎鏡像定制自己的鏡像,整個過程非常方便、高效。然而,Docker Hub上的鏡像安全并不理想,有大量的官方鏡像存在高危漏洞,如果使用了這些帶高危漏洞的鏡像,就會極大的增加容器和主機的入侵風險。目前容器鏡像的安全問題主要有以下三點:

            1.不安全的第三方組件

            在實際的容器化應用開發過程當中,很少從零開始構建鏡像,而是在基礎鏡像之上增加自己的程序和代碼,然后統一打包最終的業務鏡像并上線運行,這導致許多開發者根本不知道基礎鏡像中包含多少組件,以及包含哪些組件,包含的組件越多,可能存在的漏洞就越多。

            2.惡意鏡像

            公共鏡像倉庫中可能存在第三方上傳的惡意鏡像,如果使用了這些惡意鏡像來創建容器后,將會影響容器和應用程序的安全

            3.敏感信息泄露

            為了開發和調試的方便,開發者將敏感信息存在配置文件中,例如數據庫密碼、證書和密鑰等內容,在構建鏡像時,這些敏感信息跟隨配置文件一并打包進鏡像,從而造成敏感信息泄露

            (2)容器生命周期的時間短

            云原生技術以其敏捷、可靠的特點驅動引領企業的業務發展,成為企業數字業務應用創新的原動力。在容器環境下,一部分容器是以docker的命令啟動和管理的,還有大量的容器是通過Kubernetes容器編排系統啟動和管理,帶來了容器在構建、部署、運行,快速敏捷的特點,大量容器生命周期短于1小時,這樣一來容器的生命周期防護較傳統虛擬化環境發生了巨大的變化,容器的全生命周期防護存在很大變數。對防守者而言,需要采用傳統異常檢測和行為分析相結合的方式,來適應短容器生命周期的場景。

            傳統的異常檢測采用WAF、IDS等設備,其規則庫已經很完善,通過這種檢測方法能夠直觀的展示出存在的威脅,在容器環境下,這種方法仍然適用。

            傳統的異常檢測能夠快速、精確地發現已知威脅,但大多數未知威脅是無法通過規則庫匹配到的,因而需要通過行為分析機制來從大量模式中將異常模式分析出來。一般來說,一段生產運營時間內的業務模式是相對固定的,這意味著,業務行為是可以預測的,無論啟動多少個容器,容器內部的行為總是相似的。通過機器學習、采集進程行為,自動構建出合理的基線,利用這些基線對容器內的未知威脅進行檢測。

            (3)容器運行時安全

            容器技術帶來便利的同時,往往會忽略容器運行時的安全加固,由于容器的生命周期短、輕量級的特性,傳統在宿主機或虛擬機上安裝殺毒軟件來對一個運行一兩個進程的容器進行防護,顯示費時費力且消耗資源,但在黑客眼里容器和裸奔沒有什么區別。容器運行時安全主要關注點:

            1.不安全的容器應用

            與傳統的Web安全類似,容器環境下也會存在SQL注入、XSS、RCE、XXE等漏洞,容器在對外提供服務的同時,就有可能被攻擊者利用,從而導致容器被入侵

            2.容器DDOS攻擊

            默認情況下,docker并不會對容器的資源使用進行限制,默認情況下可以無限使用CPU、內存、硬盤資源,造成不同層面的DDOS攻擊

            (4)容器微隔離

            在容器環境中,與傳統網絡相比,容器的生命周期變得短了很多,其變化頻率也快很多。容器之間有著復雜的訪問關系,尤其是當容器數量達到一定規模以后,這種訪問關系帶來的東西向流量,將會變得異常的龐大和復雜。因此,在容器環境中,網絡的隔離需求已經不僅僅是物理網絡的隔離,而是變成了容器與容器之間、容器組與宿主機之間、宿主機與宿主機之間的隔離。

            問題2:云原生等保合規問題

            等級保護2.0中,針對云計算等新技術、新應用領域的個性安全保護需求提出安全擴展要求,形成新的網絡安全等級保護基本要求標準。雖然編寫了云計算的安全擴展要求,但是由于編寫周期很長,編寫時主流還是虛擬化場景,而沒有考慮到容器化、微服務、無服務等云原生場景,等級保護2.0中的所有標準不能完全保證適用于目前云原生環境;

            通過安全狗在云安全領域的經驗和具體實踐,對于云計算安全擴展要求中訪問控制的控制點,需要檢測主機賬號安全,設置不同賬號對不同容器的訪問權限,保證容器在構建、部署、運行時訪問控制策略隨其遷移;

            對于入侵防范制的控制點,需要可視化管理,繪制業務拓撲圖,對主機入侵進行全方位的防范,控制業務流量訪問,檢測惡意代碼感染及蔓延的情況;

            鏡像和快照保護的控制的,需要對鏡像和快照進行保護,保障容器鏡像的完整性、可用性和保密性,防止敏感信息泄露。

            問題3:宿主機安全

            容器與宿主機共享操作系統內核,因此宿主機的配置對容器運行的安全有著重要的影響,比如宿主機安裝了有漏洞的軟件可能會導致任意代碼執行風險,端口無限制開放可能會導致任意用戶訪問的風險。通過部署主機入侵監測及安全防護系統,提供主機資產管理、主機安全加固、風險漏洞識別、防范入侵行為、問題主機隔離等功能,各個功能之間進行聯動,建立采集、檢測、監測、防御、捕獲一體化的安全閉環管理系統,對主機進行全方位的安全防護,協助用戶及時定位已經失陷的主機,響應已知、未知威脅風險,避免內部大面積主機安全事件的發生。

            問題4:編排系統問題

            編排系統支撐著諸多云原生應用,如無服務、服務網格等,這些新型的微服務體系也同樣存在著安全問題。例如攻擊者編寫一段代碼獲得容器的shell權限,進而對容器網絡進行滲透橫移,造成巨大損失。

            Kubernetes架構設計的復雜性,啟動一個Pod資源需要涉及API Server、Controller、Manager、Scheduler等組件,因而每個組件自身的安全能力顯的尤為重要。API Server組件提供的認證授權、準入控制,進行細粒度訪問控制、Secret資源提供密鑰管理及Pod自身提供安全策略和網絡策略,合理使用這些機制可以有效實現Kubernetes的安全加固。

            問題5:軟件供應鏈安全問題

            通常一個項目中會使用大量的開源軟件,根據Gartner統計至少有95%的企業會在關鍵IT產品中使用開源軟件,這些來自互聯網的開源軟件可能本身就帶有病毒、這些開源軟件中使用了哪些組件也不了解,導致當開源軟件中存在0day或Nday漏洞,我們根本無法獲悉。

            開源軟件漏洞無法根治,容器自身的安全問題可能會給開發階段帶的各個過程帶來風險,我們能做的是根據SDL原則,從開發階段就開始對軟件安全性進行合理的評估和控制,來提升整個供應鏈的質量。

            問題6:安全運營成本問題

            雖然容器的生命周期很短,但是包羅萬象。對容器的全生命周期防護時,會對容器構建、部署、運行時進行異常檢測和安全防護,隨之而來的就是高成本的投入,對成千上萬容器中的進程行為進程檢測和分析,會消耗宿主機處理器和內存資源,日志傳輸會占用網絡帶寬,行為檢測會消耗計算資源,當環境中容器數量巨大時,對應的安全運營成本就會急劇增加。

            問題7:如何提升安全防護效果

            關于安全運營成本問題中,我們了解到容器安全運營成本較高,我們該如何降低安全運營成本的同時,提升安全防護效果呢?這就引入一個業界比較流行的詞“安全左移”,將軟件生命周期從左到右展開,即開發、測試、集成、部署、運行,安全左移的含義就是將安全防護從傳統運營轉向開發側,開發側主要設計開發軟件、軟件供應鏈安全和鏡像安全。

            因此,想要降低云原生場景下的安全運營成本,提升運營效率,那么首先就要進行“安全左移”,也就是從運營安全轉向開發安全,主要考慮開發安全、軟件供應鏈安全、鏡像安全和配置核查:

            開發安全

            需要團隊關注代碼漏洞,比如使用進行代碼審計,找到因缺少安全意識造成的漏洞和因邏輯問題造成的代碼邏輯漏洞。

            供應鏈安全

            可以使用代碼檢查工具進行持續性的安全評估。

            鏡像安全

            使用鏡像漏洞掃描工具持續對自由倉庫中的鏡像進行持續評估,對存在風險的鏡像進行及時更新。

            配置核查

            核查包括暴露面、宿主機加固、資產管理等,來提升攻擊者利用漏洞的難度。

            問題8:安全配置和密鑰憑證管理問題

            安全配置不規范、密鑰憑證不理想也是云原生的一大風險點。云原生應用會存在大量與中間件、后端服務的交互,為了簡便,很多開發者將訪問憑證、密鑰文件直接存放在代碼中,或者將一些線上資源的訪問憑證設置為弱口令,導致攻擊者很容易獲得訪問敏感數據的權限。

            云原生安全發展看法:

            從日益新增的新型攻擊威脅來看,云原生的安全將成為今后網絡安全防護的關鍵。伴隨著ATT&CK的不斷積累和相關技術的日益完善,ATT&CK也已增加了容器矩陣的內容。ATT&CK是對抗戰術、技術和常識(Adversarial Tactics, Techniques, and Common Knowledge)的縮寫,是一個攻擊行為知識庫和威脅建模模型,它包含眾多威脅組織及其使用的工具和攻擊技術。這一開源的對抗戰術和技術的知識庫已經對安全行業產生了廣泛而深刻的影響。

            云原生安全的備受關注,使ATTACK Matrix for Container on Cloud的出現恰合時宜。ATT&CK讓我們從行為的視角來看待攻擊者和防御措施,讓相對抽象的容器攻擊技術和工具變得有跡可循。結合ATT&CK框架進行模擬紅藍對抗,評估企業目前的安全能力,對提升企業安全防護能力是很好的參考。

          標簽: 云原生安全
          福利视频日韩精品