容器云安全的現(xiàn)狀評估和未來發(fā)展趨勢研判 - 副本

一.容器云安全現(xiàn)狀1.容器云安全威脅日益凸顯一是利用容器云新技術的漏洞發(fā)起攻擊，容器、微服務等技術的應用導致企業(yè)資源暴露面增加，成為攻擊主要目標，如2020年Azure用戶因Kubeflow（基于Kubernetes的組件）未授權訪問漏洞被部署惡意容器。同時鏡像可能存有漏洞，配置不當，來源不可信，通道安全等等風險；部署方面，容器編排組件應用更多是K8S，同樣存在自身漏洞或配置問題，并存在管理缺陷，同樣增加了容器的安全風險；運行層面，為追求輕量化，容器多采用共享宿主操作系統(tǒng)內核，提升了逃逸風險的同時，還增大了攻擊面和影響范圍。二是通過私有云的軟件供應鏈進行攻擊，2021年DockerHub上的部分容器鏡像被內置挖礦程序，下載總數(shù)超2000萬次；軟件供應鏈安全威脅主要表現(xiàn)為：一是開源風險突出。無論是云服務商還是上云企業(yè)，開源都已成為行業(yè)的主流開發(fā)模式，在加快研發(fā)效率的同時也將安全問題引入到軟件供應鏈當中。二是云服務商成攻擊突破口，木桶效應明顯。相較于傳統(tǒng)針對軟件自身漏洞的攻擊，云服務商（私有云）作為軟件供應鏈上游，其編碼過程、開發(fā)工具、設備等均是供應鏈受攻擊面，攻擊者只需突破一個點，即可撕開上云企業(yè)的整套防御體系。三是不安全的分發(fā)渠道影響大。通過網絡進行私有云軟件交付、開源軟件分發(fā)以及補丁下發(fā)已成為常態(tài)，分發(fā)渠道作為軟件供應鏈中較為脆弱的一環(huán)，其安全影響重大。2.微服務細粒度切分增加云原生規(guī)?；瘧蔑L險“微服務對應用做了細粒度切分，增加了規(guī)?；瘧蔑L險?！蔽⒎請鼍跋?，業(yè)務邏輯分散在多進程中，每一個進程都有自己的入口點，暴露的端口數(shù)量大幅增加，將導致防范攻擊面比原來單體應用大得多。而且暴露的都是業(yè)務內部的接口，攻擊風險和影響都會將更大。同樣，微服務之間調度邏輯復雜，性能要求更高，對訪問控制策略要求也越高，容易帶來越權風險。同時，基于社區(qū)化的開源組件，也為讓微服務治理框架本身引入新的漏洞。3.DevOps提升研發(fā)流程和安全管理的防范難度容器云往往和DevOps等理念組成云原生架構體系，在研發(fā)運維方面的安全問題上，即DevOps包括代碼前期設計層面，流程、管理層面，以及工具層面。但DevOps在顯著提升云上效能的同時，也帶來了一些復雜的安全問題，傳統(tǒng)的安全防護理念（指的是非容器化的安全產品和服務），很難覆蓋DevOps下容器云的安全需求，為了保障容器云安全需要更深刻理解云原生架構，以提供更具針對性的安全解決方案，去構建更完整的防護體系。二.建設思路目前業(yè)內尚未出現(xiàn)可以遵循的安全合規(guī)標準，在新的面向云原生（容器）的合規(guī)性要求出臺前，可考慮在當前安全合規(guī)性底線的基礎上，有針對性的落實緩解措施，可以遵循“從無到有”向“從有到優(yōu)”演進的建設思路。1.復用現(xiàn)有安全管控措施容器應用的整個生命周期主要由四個階段組成：開發(fā)、分發(fā)、部署、和運行，當前企業(yè)內已實施建設的安全措施，基本屬于“運行”階段，可考慮從復用現(xiàn)有安全建設成果開始，主要從以下維度開展：容器應用的網絡邊界管控、容器資源配額容器云平臺審計日志分析、控制平面的身份認證和權限主機操作系統(tǒng)漏洞掃描和安全界限管理應用數(shù)據(jù)的存儲安全完善安全事件持續(xù)響應機制等后續(xù)可基于此繼續(xù)完善容器緊相關的安全措施：CVE漏洞版本管理（平臺組件、開源組件）CISBenchmark基線合規(guī)檢測（運行時容器、k8s、主機）2.建設預防性的安全左移容器應用的生命周期的四階段中，每個階段都會放大了前一個階段的安全威脅，體現(xiàn)了安全左移的必要性，做到上線即安全。主要包含以下階段：開發(fā)編譯中的安全檢查：靜態(tài)代碼掃描、動態(tài)威脅分析、依賴安全分析、功能單元測試、秘鑰管理；分發(fā)階段的鏡像制品的掃描：鏡像漏洞掃描、可信基礎鏡像等；部署物料（yaml）的安全基線檢查：禁止特權用戶、秘鑰憑證管理等。安全本身不是臨時抱佛腳，就能求得安全的，需要在日常運營操作中，建立全流程信息化的臺賬，從而系統(tǒng)化的梳理、規(guī)范、加固業(yè)務路徑上的關鍵點。容器云安全更是跨多專業(yè)的實踐領域，幾乎所有的Day1和Day2操作都會與安全域重提，涉及到從身份認證到數(shù)據(jù)存儲方面。常見的安全實施往往會阻礙了容器和微服務架構的迭代速度和敏捷性，因此需要安全領導層實施更緊密的雙向理解和集成，整個組織在容器應用的開發(fā)交付生命周期中采用安全的云原生模式和架構，最主要的是實現(xiàn)安全架構和組織目標的協(xié)同作用，建立持續(xù)的檢測-響應-加固的機制。3.零信任微隔離由于容器業(yè)務的敏捷性要求和動態(tài)性編排（部署），對傳統(tǒng)基于邊界的安全管控帶來了挑戰(zhàn)。目前容器云領域大都選擇建設基于零信任理念的微隔離方案，零信任安全模型的主要概念是“從不信任，總是驗證”，即不應默認信任設備，即使設備已經連接到經許可的網絡（例如企業(yè)局域網）并且之前已通過驗證?；诖说臑楦綦x方案可以主動隔離，自適應容器多變的環(huán)境。通過對訪問關系的梳理和學習，提供自適應、自遷移、自維護的網絡隔離策略，也稱為“聲明式”的網絡策略，從而快速、安全地落地容器微隔離能力。另外零信任同樣可以加強容器云的統(tǒng)一訪問管控，大量分散用戶訪問云上與數(shù)據(jù)中心的業(yè)務時，需具備統(tǒng)一權限控制策略。零信任以身份而非網絡為中心，一方面，通過強身份驗證與授權對所有訪問主體進行管控，在建立信任前，不進行任何數(shù)據(jù)傳輸操作；另一方面，通過統(tǒng)一接入、統(tǒng)一訪問控制和統(tǒng)一資源納管體系，為用戶提供一致的訪問體驗，保護分布式的關鍵數(shù)據(jù)和業(yè)務，讓企業(yè)充分體驗容器云優(yōu)勢的同時免去安全顧慮。4.總結總體上容器云安全建設需要注意以下幾點：1、復用現(xiàn)有安全建設成果，結合實際建立基線及準入機制；2、全面的考慮容器云安全整體架構；3、根據(jù)容器云平臺和應用上云的建設節(jié)奏逐步完善；4、貼合云原生技術演進方向，防止建設完不能用或者沒有用；5、貼合容器云應用的特點，使用符合云原生特點的解決方案。近期聯(lián)合業(yè)內也推出了云原生安全成熟度評估，主要融合了零信任、安全左移、持續(xù)監(jiān)測與響應以及可觀測四大理念，涵蓋了基礎設施安全、云原生基礎架構安全、云原生應用安全、云原生研發(fā)運營安全、云原生安全運維5個維度、15個子維度、46個實踐項、356個細分能力要求，全場景多維度檢驗云原生平臺架構的安全防護能力。企業(yè)可快速對照、定位安全能力水平，診斷自身問題，查漏補缺，根據(jù)業(yè)務需求結合模型高階能力定制安全架構演進方向。三.容器云安全未來發(fā)展的思路和方向隨著容器云的持續(xù)下沉普及，傳統(tǒng)的安全建設愈發(fā)感受到了瓶頸，主要涉及自動化程度不夠、管控粒度待細化、安全賦能待加強。因此推斷未來會主要呈現(xiàn)以下發(fā)展方向：1、安全技術的主導力量從單邊走向多元。云服務商與安全廠商勢必將加強深度合作，結合雙方在技術研究、人才儲備、產品應用等方面的積累和經驗；在云原生安全的不同賽道將衍生出更加專注于細分領域的安全服務商，進一步豐富和完善云原生安全生態(tài)。2、安全理念以人為中心轉向以服務為中心。傳統(tǒng)安全側重以人為主的防護策略，已經不能滿足云原生實例頻繁啟停的生命周期變化以及海量的東西向流量交互；以服務為中心構建的容器安全防護措施，持續(xù)監(jiān)控響應模型和可視化平臺，將成為云原生安全防護的主流方案。3、安全產品形態(tài)從粗暴上云轉向與平臺/應用深度融合。云原生安全將與云原生平臺，應用深度融合，提供新型云原生信息基礎設施的防護、檢測和響應能力；并將云原生技術賦能于這些安全產品，應用和解決方案，實現(xiàn)進程級防護能力，微隔離訪問控制，全流程實時監(jiān)控響應，實現(xiàn)安全方案的內生配置和深度融合。