云原生架構(gòu)下安全方法的重構(gòu)

云原生架構(gòu)下安全方法的重構(gòu)云原生對(duì)金融機(jī)構(gòu)網(wǎng)絡(luò)安全工作的影響云原生安全工作方法的“7個(gè)重構(gòu)”金融云原生下的“內(nèi)生安全”理念目錄越來(lái)越多的金融機(jī)構(gòu)在靠近云原生云原生代表了一系列新技術(shù)，包括容器編排、微服務(wù)架構(gòu)、丌可變基礎(chǔ)設(shè)施、聲明式API、基礎(chǔ)設(shè)施即代碼、持續(xù)交付/持續(xù)集成、DevOps等，且各類技術(shù)間緊密關(guān)聯(lián)。過(guò)去云的發(fā)展極大提升了數(shù)據(jù)中心的運(yùn)行效率，而今天的云原生直接面向開(kāi)發(fā)者提供服務(wù)，透明化了基礎(chǔ)設(shè)施運(yùn)行環(huán)境，屏蔽了運(yùn)行穩(wěn)定需求不業(yè)務(wù)快速變化之間的矛盾。金融機(jī)構(gòu)采用云原生的驅(qū)勱力：開(kāi)發(fā)運(yùn)行環(huán)境一致性業(yè)務(wù)敏捷不彈性化高度的容錯(cuò)性劣力企業(yè)的中臺(tái)建設(shè)混合云部署云原生發(fā)展過(guò)程中的阻礙：大量新技術(shù)不開(kāi)源軟件不傳統(tǒng)單體應(yīng)用、SOA應(yīng)用架構(gòu)丌完全兼容云原生開(kāi)始重新定義IT組織的多個(gè)方面云原生表面上是資源的高度集中，而背后是對(duì)組織協(xié)作方式的變革，從組織責(zé)任邊界（交維邊界），產(chǎn)品迭代（開(kāi)發(fā)模式），業(yè)務(wù)設(shè)計(jì)（應(yīng)用架構(gòu)）到數(shù)據(jù)中心基礎(chǔ)設(shè)施（運(yùn)行平臺(tái)）都產(chǎn)生了影響。最常見(jiàn)的是數(shù)據(jù)中心的運(yùn)維職責(zé)變化。單體應(yīng)用獨(dú)立的基礎(chǔ)設(shè)施資源（計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)）瀑布式開(kāi)發(fā)開(kāi)發(fā)(Dev)測(cè)試(QA)生產(chǎn)(Ops)運(yùn)行平臺(tái)應(yīng)用架構(gòu)開(kāi)發(fā)模式交維界面SOAESB敏捷開(kāi)發(fā)開(kāi)發(fā)(Dev)測(cè)試(QA)生產(chǎn)(Ops)IaaSPaaSaPaaS|

FaaSiPaaS|

IaaSMSMSMSMSMSMSMS MSMS MS云原生對(duì)安全團(tuán)隊(duì)帶來(lái)的挑戰(zhàn)技術(shù)挑戰(zhàn)：云原生引入了大量基礎(chǔ)設(shè)施新技術(shù)，導(dǎo)致安全工作者理解難度增加，云越來(lái)越像個(gè)黑盒，過(guò)去的安全工作多數(shù)只是圍著核心業(yè)務(wù)外圍轉(zhuǎn)。組織挑戰(zhàn)：安全建設(shè)和云基礎(chǔ)設(shè)施關(guān)系緊密，導(dǎo)致安全職責(zé)需要重新考慮，安全組織和信息化其他組織的關(guān)系無(wú)法簡(jiǎn)單定義為誰(shuí)主管、誰(shuí)建設(shè)、誰(shuí)負(fù)責(zé)。能力服務(wù)化挑戰(zhàn)：應(yīng)用上云后也會(huì)的提出安全服務(wù)化的訴求，開(kāi)發(fā)團(tuán)隊(duì)短期找丌到現(xiàn)成的安全服務(wù)時(shí)，可能自行使用開(kāi)源安全工具，但卻難于兼顧安全責(zé)任。云原生對(duì)金融機(jī)構(gòu)網(wǎng)絡(luò)安全工作的影響云原生安全工作方法的“7個(gè)重構(gòu)”金融云原生下的“內(nèi)生安全”理念目錄1.不可變基礎(chǔ)設(shè)施導(dǎo)致安全的“重新左移”當(dāng)前資產(chǎn)安全漏洞及基線問(wèn)題從開(kāi)發(fā)階段開(kāi)始關(guān)注定期對(duì)運(yùn)行環(huán)境進(jìn)行安全掃描發(fā)現(xiàn)資產(chǎn)安全風(fēng)險(xiǎn)在運(yùn)營(yíng)過(guò)程中，發(fā)現(xiàn)漏洞需要及時(shí)協(xié)同運(yùn)行團(tuán)隊(duì)進(jìn)行修復(fù)運(yùn)行態(tài)的安全基本上與開(kāi)發(fā)態(tài)的安全工作相互割裂資產(chǎn)的安全變更及安全服務(wù)的選擇，也需要在開(kāi)發(fā)階段執(zhí)行未發(fā)布時(shí)，需要定期在鏡像倉(cāng)庫(kù)及制品庫(kù)進(jìn)行安全檢查上線發(fā)布即安全，脆弱性修補(bǔ)通過(guò)開(kāi)發(fā)重新部署完成對(duì)運(yùn)行發(fā)現(xiàn)的安全問(wèn)題需要在開(kāi)發(fā)測(cè)試環(huán)境的進(jìn)行持續(xù)跟蹤應(yīng)用開(kāi)發(fā)安全云運(yùn)行安全安全設(shè)計(jì)安全開(kāi)發(fā)安全部署安全構(gòu)建安全發(fā)布流水線

/

開(kāi)發(fā)運(yùn)行一體化/

云管平臺(tái)安全云內(nèi)微隔離服務(wù)應(yīng)用及微服務(wù)安全云邊界安全服務(wù)工作負(fù)載安全服務(wù)PaaS安全服務(wù)安全PaaS服務(wù)安全測(cè)試未來(lái)需求設(shè)計(jì)編碼測(cè)試發(fā)布培訓(xùn)安全意識(shí)培訓(xùn)軟件安全培訓(xùn)進(jìn)階安全培訓(xùn)定義安全需求制定質(zhì)量門(mén)進(jìn)行安全和隱私風(fēng)險(xiǎn)評(píng)估制定安全設(shè)計(jì)需求分析攻擊面/緩解措施使用威脅建模執(zhí)行事件響應(yīng)計(jì)劃使用批準(zhǔn)的工具禁用不安全的函數(shù)和組件靜態(tài)代碼分析動(dòng)態(tài)代碼測(cè)試模糊測(cè)試攻擊面評(píng)析事件響應(yīng)計(jì)劃最終安全評(píng)審發(fā)布和存檔響應(yīng)需求/架構(gòu)設(shè)計(jì)編碼組件測(cè)試系統(tǒng)測(cè)試投產(chǎn)/發(fā)布后來(lái)源：

US

NationalInstituteof

Standard

and

Technology2. 面向開(kāi)發(fā)全流程安全的“重新構(gòu)建”在開(kāi)發(fā)過(guò)程中有大量安全檢測(cè)工作需要人工介入安全測(cè)試卡點(diǎn)主要出現(xiàn)在上線前的上線部署環(huán)節(jié)應(yīng)用構(gòu)建安全主要關(guān)注編譯環(huán)境與代碼安全問(wèn)題大量零散的安全工具相互孤立，沒(méi)有形成整體自動(dòng)化是所有安全工具集成到流水線的前提在DEV/SIT/UAT各個(gè)階段集成必要的安全測(cè)試應(yīng)用構(gòu)建安全還需要考慮基礎(chǔ)鏡像、依賴庫(kù)、構(gòu)建過(guò)程等安全問(wèn)題形成基于不同開(kāi)發(fā)項(xiàng)目在各階段的研發(fā)安全看板管理當(dāng)前未來(lái)代碼缺陷、軟件成分、密鑰硬編碼、代碼庫(kù)篡改、缺陷的依賴

……IaC安全驗(yàn)證的鏡像、鏡像安全加固基線、密鑰硬編碼、服務(wù)安全配置CI/CD安全工具感染、制品庫(kù)憑據(jù)竊取、構(gòu)建腳本篡改、推送錯(cuò)誤鏡像到生產(chǎn)DEVST UAT代碼安全開(kāi)發(fā)項(xiàng)目安全看板管理源代碼掃描人工代碼審計(jì)成果收集整理報(bào)告內(nèi)容溝通輸出及提交報(bào)告回歸檢查（二次復(fù)查）提交復(fù)查報(bào)告報(bào)告內(nèi)容溝通代碼審計(jì)階段實(shí)施復(fù)測(cè)階段實(shí)施SASTDASTIASTSCA……3. 容器化工作負(fù)載安全的 “重新部署”以物理機(jī)、虛擬機(jī)為主的云工作負(fù)載安全以防病毒、主機(jī)入侵防護(hù)為主的工作負(fù)載安全主機(jī)應(yīng)用安全軟件部署/升級(jí)大多在運(yùn)行態(tài)完成主機(jī)系統(tǒng)安全軟件直接嵌入到操作系統(tǒng)內(nèi)部容器安全和Serverless安全需要重新考慮以安全加固、完整性保護(hù)、異常檢測(cè)為主的安全防護(hù)RASP等安全軟件的部署可以打包進(jìn)Docker

file進(jìn)行鏡像構(gòu)建虛擬機(jī)和容器的安全都通過(guò)Sidecar部署，對(duì)應(yīng)用無(wú)侵入不同安全等級(jí)的容器編排至對(duì)應(yīng)的Ingress入口當(dāng)前未來(lái)… …虛擬化安全管理平臺(tái)agent

一體化客戶端虛擬" agent平

臺(tái)物理服務(wù)器資源 物理服務(wù)器資源agent agent agentagent

agent部分云平臺(tái)虛擬機(jī)可通過(guò)sidecar部署安全組件虛擬機(jī)容器硬件虛擬化VM

s作為云單位使用壽命從幾個(gè)月到幾年虛擬OS應(yīng)用/服務(wù)作為云單位使用壽命從幾分鐘到幾天物理機(jī)整塊應(yīng)用物理服務(wù)器作為云單位使用壽命以年記無(wú)服務(wù)器虛擬ru

n

tim

e資源作為云單位使用壽命從秒到分鐘容器虛擬機(jī)/應(yīng)用虛擬機(jī)安全加固、完整性保護(hù)為主4. 云運(yùn)行環(huán)境安全服務(wù)化的“重新思考”私有云的安全服務(wù)本身需要原生化，充分利用云的彈性計(jì)算能力，并形成安全資源部署與云內(nèi)資源管理、編排調(diào)度的協(xié)同。安全策略集中管理控制，隱性安全服務(wù)只為租戶提供結(jié)果展示需要考慮安全顯性化服務(wù)，IAM、KMS、憑據(jù)及證書(shū)管理、惡意代碼/敏感數(shù)據(jù)檢測(cè)API或SDK等，顯性化服務(wù)的特點(diǎn)是直接可被應(yīng)用調(diào)用當(dāng)

前

未來(lái)面向基礎(chǔ)設(shè)施面向應(yīng)用調(diào)用安全服務(wù)(隱性)工作負(fù)載安全防護(hù)網(wǎng)絡(luò)隔離安全防護(hù)流量監(jiān)測(cè)安全防護(hù)安全日志審計(jì)服務(wù)…

…安全服務(wù)(顯性)IAM/憑據(jù)管理服務(wù)KMS/證書(shū)管理服務(wù)文件檢測(cè)API/SDK（惡意代碼/敏感數(shù)據(jù)）靜態(tài)數(shù)據(jù)脫敏服務(wù)…

…云運(yùn)行環(huán)境（被保護(hù)資產(chǎn)同編排調(diào)度）云安全服務(wù)管理（統(tǒng)一策略管理、面向租戶展示）密鑰管理服務(wù)業(yè)務(wù)資源池 安全資源池私有云的安全能力基本以虛擬化的安全設(shè)備為主安全防護(hù)資產(chǎn)信息難于與云資產(chǎn)信息進(jìn)行打通入侵防護(hù)、WAF、安全審計(jì)等安全服務(wù)直接面向租戶提供策略管理大量安全服務(wù)的云內(nèi)集成很多時(shí)候變成租戶的困擾5. 云內(nèi)基于業(yè)務(wù)屬性橫向隔離的“重新設(shè)計(jì)”傳統(tǒng)數(shù)據(jù)中心第一層隔離邏輯基于網(wǎng)絡(luò)區(qū)域?qū)傩詫?shí)現(xiàn)安全訪問(wèn)控制云數(shù)據(jù)中心通過(guò)雙層（物理+VPC）網(wǎng)絡(luò)構(gòu)建多租戶網(wǎng)絡(luò)基礎(chǔ)設(shè)施容器網(wǎng)絡(luò)和微服務(wù)通訊架構(gòu)的出現(xiàn)增加了數(shù)據(jù)中心網(wǎng)絡(luò)復(fù)雜性傳統(tǒng)網(wǎng)絡(luò)隔離機(jī)制在新的數(shù)據(jù)中心無(wú)法繼續(xù)沿用，安全邊界模糊化，云數(shù)據(jù)中心的第一層隔離邏輯是基于業(yè)務(wù)單元（租戶）資源隔離大規(guī)模數(shù)據(jù)中心環(huán)境容器網(wǎng)絡(luò)下沉至虛機(jī)網(wǎng)絡(luò)是主要方向基于業(yè)務(wù)屬性標(biāo)簽進(jìn)行安全訪問(wèn)控制隔離將是主要機(jī)制租戶內(nèi)虛機(jī)/容器網(wǎng)絡(luò)基于屬性的微隔離，VPC間安全防護(hù)隔離、DMZ與業(yè)務(wù)域間安全防護(hù)隔離是云內(nèi)實(shí)現(xiàn)隔離的主要位置當(dāng)前未來(lái)業(yè)務(wù)區(qū)：用于部署各類服務(wù)器；開(kāi)發(fā)測(cè)試區(qū)：用于業(yè)務(wù)系統(tǒng)上線前的開(kāi)發(fā)測(cè)試；互聯(lián)網(wǎng)區(qū)：用于部署互聯(lián)網(wǎng)業(yè)務(wù)；外聯(lián)網(wǎng)區(qū)：用于部署不第三方外聯(lián)機(jī)構(gòu)業(yè)務(wù)；廣域網(wǎng)區(qū)：用于不內(nèi)部分支機(jī)構(gòu)互聯(lián)；管理網(wǎng)區(qū)：用于數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)管理；金融機(jī)構(gòu)數(shù)據(jù)中心架構(gòu)租戶A租戶B租戶C租戶D租戶E租戶F…

…DMZ租戶A租戶B租戶C租戶D租戶E租戶F…

…業(yè)務(wù)區(qū)Web服務(wù)數(shù)據(jù)服務(wù)基于業(yè)務(wù)屬性的軟件定義邊界云內(nèi)網(wǎng)絡(luò)安全服務(wù)6. 微服務(wù)框架下服務(wù)安全邊界 “重新定義”單體應(yīng)用基于微服務(wù)理念進(jìn)拆分，使用松耦合應(yīng)用開(kāi)發(fā)框架侵入式（Spring

cloud）微服務(wù)架構(gòu)向無(wú)侵入式（服務(wù)網(wǎng)格）發(fā)展越來(lái)愈多的API/SDK對(duì)內(nèi)開(kāi)放的同時(shí)還需要對(duì)外進(jìn)行開(kāi)放安全防護(hù)僅僅依賴企業(yè)互聯(lián)網(wǎng)邊界過(guò)去的安全能力建設(shè)開(kāi)放服務(wù)安全形成面向互聯(lián)網(wǎng)，組織內(nèi)，微服務(wù)架構(gòu)內(nèi)三層邊界微服務(wù)內(nèi)部，服務(wù)治理與微服務(wù)安全訪問(wèn)控制的整合微服務(wù)外部，實(shí)現(xiàn)面向三方訪問(wèn)場(chǎng)景的認(rèn)證授權(quán)架構(gòu)OIDCAPI與Web威脅防護(hù)在WAF側(cè)能力的集成（WAAP）當(dāng)前未來(lái)單體應(yīng)用架構(gòu) 微服務(wù)架構(gòu)7. 金融云各類訪問(wèn)通道的“重新建設(shè)”開(kāi)發(fā)及運(yùn)維接入包括互聯(lián)網(wǎng)遠(yuǎn)程、辦公網(wǎng)、生產(chǎn)網(wǎng)直接接入等主要以轉(zhuǎn)入NAC和VPN為主的接入控制方法面向云生產(chǎn)環(huán)境、研發(fā)流水線平臺(tái)的運(yùn)維通道研發(fā)人員的開(kāi)發(fā)測(cè)試環(huán)境的接入通道互聯(lián)網(wǎng)遠(yuǎn)程的開(kāi)發(fā)與運(yùn)維接入變成后疫情時(shí)代的主旋律確保無(wú)論從互聯(lián)網(wǎng)接入還是辦公網(wǎng)接入都具備相同的安全控制措施基于接入過(guò)程的風(fēng)險(xiǎn)變化實(shí)時(shí)對(duì)訪問(wèn)的授權(quán)進(jìn)行動(dòng)態(tài)控制簡(jiǎn)單化的用戶體驗(yàn)與基于零信任的安全訪問(wèn)控制當(dāng)前未來(lái)準(zhǔn)入成功后入網(wǎng)鏡像流量N

AC準(zhǔn)入VPN

+

N

AC準(zhǔn)入訪問(wèn)控制SSL_

VPN

用戶遠(yuǎn)程訪問(wèn)云管平臺(tái)/流水線及研發(fā)運(yùn)行一體化平臺(tái)開(kāi)發(fā)運(yùn)維終端云管平臺(tái)及流水線等云桌面現(xiàn)有4A動(dòng)態(tài)訪問(wèn)控制持續(xù)信任評(píng)估持續(xù)認(rèn)證終端環(huán)境感知云桌面環(huán)境感知信任評(píng)分云桌面訪問(wèn)授權(quán)業(yè)務(wù)授權(quán)業(yè)務(wù)環(huán)境感知云桌面隱藏收縮暴露面應(yīng)用代理業(yè)務(wù)隱藏收縮暴露面應(yīng)用代理云原生對(duì)金融機(jī)構(gòu)網(wǎng)絡(luò)安全工作的影響云原生安全工作方法的“7個(gè)重