首页资讯默安科技和云安全,默安网络安全

默安科技和云安全,默安网络安全

adminadmin时间2023-01-04 14:51:48分类资讯浏览58
导读:介绍 云原生技术在带来巨大价值的同时,也带来了许多基于云原生视角的新的安全挑战。为了让广大客户更加了解云原生安全,摩安科技推出了“云原生安全的变迁”系列文章,将逐一介绍云原生技术在各个阶段面临的风险挑战和解决方案。 本文主要关注云本地基础设施的安全性。 一个 云原生技术 云原生是当前云端的热门话题。凭借敏捷的软件开发、测试和交付方式、分...

介绍

云原生技术在带来巨大价值的同时,也带来了许多基于云原生视角的新的安全挑战。为了让广大客户更加了解云原生安全,摩安科技推出了“云原生安全的变迁”系列文章,将逐一介绍云原生技术在各个阶段面临的风险挑战和解决方案。

本文主要关注云本地基础设施的安全性。

一个

云原生技术

云原生是当前云端的热门话题。凭借敏捷的软件开发、测试和交付方式、分布式应用架构和可编程、灵活的基础设施,成为驱动业务增长的重要引擎,其技术领域已融入人工智能、大数据、边缘计算、5G等各种新业务领域。在国家政策和业务的推动下,大量企业选择了上云。根据Gartner的数据,未来,云计算市场将保持20%以上的增长率。到2025年,预计80%(2020年仅为10%)的企业将关闭其传统数据中心,转向云平台。到2023年,世界上70%的企业将在生产中运行三个或更多。据中国信息通信研究院统计,2019年,43.9%的受访企业表示已部署使用容器技术的业务应用,计划部署使用容器技术的业务应用的企业比例为40.8%;28.9%的企业已经使用微服务架构开发应用系统,46.8%的企业计划使用微服务架构。

首先,我们要知道什么是云原生。云原生性的概念最早出现在2010年,Paul Fremantle的一篇博客提到了一种架构,包括分布式、松散、自助服务、持续部署和测试。2015年,Pivotal的Matt Stine在他的《迁移至云原生应用架构》一书中对云原生应用架构做了一些定义,比如符合12因素的应用、面向微服务的架构、自助式敏捷架构、基于API的协作和高漏洞。2018云原生计算基金会CNCF正式公布了v1.0版本对云原生的定义:云原生技术帮助组织在公共云、私有云、混合云等新型动态环境中构建和运行灵活、可扩展的应用。云原生的代表性技术包括容器、服务网格、微服务、不可变基础设施和声明式API。

云原生本质上是一种软件架构设计的思想,改变应用架构,充分利用云提供的分布式、松耦合、灵活、敏捷、可扩展、可靠的能力。这种软件设计和应用架构的改变是指开发、测试和交付模式的改变。传统的集中式应用通过微服务技术拆分再重构,应用通过声明式方法自动部署和运行。它是一种面向应用的开发和交付模式。同时,企业中的IT决策者、架构师和开发运营人员也需要深入了解云原生技术,选择最匹配的云原生技术和产品。

云原生基础架构

随着云计算的不断迭代,云计算资源的抽象粒度越来越细,从传统的以计算资源为视角的虚拟机技术,到以应用为视角的容器无服务器虚拟化技术。与VM的虚拟化技术相比,容器和无服务器的抽象粒度更细,以应用资源为单位进行全生命周期管理,从而提高基础设施的敏捷性、灵活性、可扩展性、自动化和低成本。从基础设施的演变来看,大致有以下三个阶段或类别:

01

IaaS:比如OpenStack、Vmware、公有云平台,都是对硬件资源的抽象,实现对各种硬件资源的抽象和统一管理,比如计算、存储、网络等资源。在这种模式下,交付方式是虚拟机镜像和自动化运维脚本,启动时间在不同级别。

02

CaaS:比如Kubernetes、OpenShift、public container云平台都实现了操作系统的虚拟化技术,抽象了操作系统层,只需要专注于操作系统上的应用或微服务,从应用或微服务的角度开发、交付和部署软件,同时结合Istio实现微服务间的治理。在这种模式下,交付方式是容器镜像和自动脚本,启动速度是秒。

03

无服务器:比如Kubernetes的Knative,AWS的Lambda,阿里的SAE,腾讯云函数的SCF,抽象一个应用的每一个操作,为每个应用服务写一个函数,由一个事件按需触发,通常是API。当事件被触发时,该服务过程也消失。因此,无服务器也称为云功能或FaaS (function as a service)。在这种模式下,交付方式为应用代码,启动速度为毫秒级。

通过总结这些基础设施场景,我们可以看到计算的粒度越来越细,同时越来越多的企业选择本地数据中心(私有云/Kubernetes)(公有云/公有云容器云平台公共分布式对象存储大数据计算服务X)的混合云架构,最大化云基础设施提供企业竞争力的能力,这也是云原生技术的魅力所在。

云原生基础架构安全挑战

云基础设施带来巨大价值的同时,基于云原生基础设施的特点,也带来了新的安全挑战。这些安全隐患也成为了云原生技术推广的阻力。与此同时,近年来,由于云原生基础设施的安全缺陷,出现了很多防御失败的情况。如果这种安全事故发生在真实的生产环境中,将会造成巨大的经济损失。

一个

云平台风险

云平台提供了大量的云服务,如VPC网络、RDS、OSS、IAM等。无论从这些服务的合规性和最佳配置实践的角度,还是从某些服务中是否存在敏感信息的角度,结合企业用户在很多场景下对混合云架构的采用,都为我们提供了更高的安全挑战,因为在这种复杂的环境下,错误的配置是不可避免的,一个项目服务中的配置错误可能会带来严重的安全风险。

2

云主机风险

几乎所有的云原生服务都托管在云主机上,应该说是云原生应用的基础。如果云主机出现一些安全问题,比如内核漏洞,云主机的应用漏洞,或者云主机的合规性配置漏洞,严重的时候可能会导致主云主机倒下,甚至整个云平台倒下。同时,在混合云的场景下,所有云主机的安全管理也将是我们需要面对的严峻挑战。

集装箱风险

容器已经成为云原生技术的标准基础设施,但是容器的一些特性导致了很多安全风险,比如特权容器、容器逃逸、容器配置安全风险、容器镜像漏洞、容器资源隔离等。任何安全问题都可能威胁到其他所有容器,容器逃逸技术甚至可以直接入侵底层主机。

无服务器风险

无服务器作为一种新兴的云原生技术,有很多优点,但也有很多安全隐患。由于无服务器的应用,OWASP也存在相应的安全隐患,如注入攻击、跨站攻击、DDos攻击等。开发者在应用开始的时候也会用到第三方依赖库,此时就会面临第三方依赖库的漏洞风险。另一个例子是访问权限的风险。由于配置错误,无服务器功能具有读写数据的访问权限,从而导致对数据库的攻击甚至数据泄露的风险。

容器编排风险

容器编排器还具有独特的安全风险。例如,Kubernetes组件安全性可能会由于组件漏洞或合规性配置问题而产生新的风险点。如果API server暴露的API Server允许控制K8S集群,控制器管理器可以通过端口暴露或者利用可用条件直接访问主节点上的主机操作系统。在etcd中获得的未加密的秘密、数据库凭证、API密钥或其他敏感信息,暴露的Kubelet允许控制工作节点,kube-proxy有漏洞绕过认证或匿名访问。

IaC(基础设施代码)风险

IaC (Infrastructure as Code)通过使用DevOps流程,为云原生应用的版本控制、部署和迭代提供了便捷敏捷的解决方案,甚至实现了跨平台应用的一键部署,如Kubernetes的manifest文件、容器映像的dockerfile、AWS中的Cloudformation以及目前流行的Terraform,使开发者和运营者只需专注于应用开发和部署。IaC配置错误会有严重的安全隐患,导致容器掉落、数据泄露等安全问题。例如,错误的IaC配置会导致资产的错误网络暴露,资产可以通过公共网络或远程数据库直接访问,同时增加了云的攻击面。IaC模板是指带有漏洞的基本映像,攻击者可以远程直接执行。甚至一些敏感信息直接存在于一些IaC配置中,比如通过硬编码写密钥和用户账号。IaC不是根据国际标准(如GDPR、HIPPA和PCI)推荐的最佳实践编写的。

云原生基础架构安全解决方案

一个

CSPM(云安全状态管理)

CWPP(云工作负载保护)

CSPM是一种安全产品,用于识别云上资产的错误配置和合规风险,CWPP用于保护云上基础设施环境中的服务器工作负载。陌安科技宓尚CNAPP云原生应用防护平台(以下简称“宓尚CNAPP”)有机结合了CSPM和CWPP的能力,实现了跨云平台的统一数据平面和分发平面安全控制。

图片来自Gartner

宓尚CNAPP中的CSPM(CSPM KSPM)模块集成了亚马逊云、阿里云、谷歌云、微软云、华为云、优客德云、Kubernetes、OpenStack、VMware等API。并通过统一的接口自动发现云上的各类资产及其暴露情况,如云主机、对象存储、网络策略、账户策略等。并根据云上的资产进行安全检测。

基于国际或行业最佳实践和标准(如CIS、PCI、HIPAA、NIST和各种合规性基准)的全面安全扫描和持续监控功能,基于内置和自定义基准模式配置云上的资产,以检测安全风险和错误配置。同时提供修复能力,保证云上的资产分配不会偏离安全基线。这个基线应该包括两个基线。第一,云平台以及在云平台上提供的服务的资产合规基线;第二个是容器和容器编排器的遵从基线。

云资产合规性配置基准:

容器云平台和容器合规性配置基线:

CWPP:

宓尚CNAPP的CWPP模块是一个以工作负载为中心的安全防护解决方案,其主要防护对象是物理服务器、虚拟机、容器和无服务器。同时可以实现跨平台的统一安全防护。而且与传统的主机安全产品不同,CWPP对性能和稳定性的要求极高,因为容器的工作负载粒度更细,工作生命周期也非常短。CWPP在本文中是一个广义的概念。如上所述,不仅可以在云原生上实现容器和无服务器的安全防护,如合规风险检测、入侵检测和各种威胁检测,而且物理服务器和虚拟机的安全防护也极为重要。所有的容器云平台和容器都托管在物理服务或虚拟机上,这些资产可以说是cloud native的基础。如果存在安全隐患,将直接影响上层的整个容器云平台。因此,CSPM和CWPP的功能需要整合,CNAPP解决方案成为我的首选

无服务器安全也属于工作负载保护的范畴,但之所以在这里单独介绍,是因为虽然在工作负载保护方面有单独的保护无服务器安全的解决方案,但由于这类服务的特殊性,需要基于多个视角进行全方位的安全保护。大致可以分为以下几类:

01

传统的方法是基于寄生模式将安全保护组件嵌入到功能函数中,这类似于配置waf函数进行安全保护。

02

由于云函数也是基于代码编写的,安全性左移的方案也是适用的。可以通过DevSecOps流程提高功能的安全健壮性,通过SCA解决方案检测云功能所依赖的第三方组件库,避免供应链安全引发的安全事件。

03

设置云功能的权限策略。基于RBAC策略的许可零信任机制,它只被给予提供服务所需的最低许可和网络策略。此时,当安全事件发生时,由于权限和策略的限制,无法攻击其他资源。

04

跟踪记录整个FaaS的调用,通过Prometheus等工具监控函数的调用行为,分析整个调用过程,发现攻击的痕迹。

05

启用API网关认证保证用户的合法性,通过证书签名保证数据不会被篡改。

IaC安全

实现Manifest、dockerfile、Terraform等IaC模板中的错误配置,并提供修复方案。CNAPP的IaC安全模块在整个开发、测试、运行过程中扫描到了IaC模板的错误配置,并可以集成到CI/CD中,实现安全左移,尽早发现安全隐患,提供修复方案,防止应用带病上线。

基于来自社区的CIS、PCI、合规配置,大量IaC模板实现了开箱即用的功能,支持基于场景的定制IaC模板功能。与CI/CD自动集成,IaC扫描作为流水线的一个环节,实现了持续集成,持续投放。同时,提供详细的修复建议可以让开发者得到及时的反馈,高效地进行风险修复,节省大量时间专注于应用开发本身。

同时,下面的文章还将介绍容器的访问安全性。传统的访问安全只是基于容器和容器镜像的安全性,比如容器是否是特权容器,镜像是否存在高危漏洞。但从云原生的整个生命周期来看,IaC安全也是极其重要的一环。可能是因为业务或者其他原因,在DevOps的IaC环节跳过了安全卡点,迫使生病的业务上线。但卡点仍可在该环节设置,防止可能造成安全风险的资产上线,从而丰富接入策略。

摘要

为了实现应用的敏捷性,各行各业都在逐渐采用新的云原生架构,而云原生基础设施是整个云原生技术的基础。由于云基础架构的特殊性,尤其是在混合云架构的场景下,增加了更多的暴露面,更容易被攻击。因此,需要一个安全、健壮、自动化、系统化的全方位安全防护平台。Gartner还推荐CNAPP实现对云平台、虚拟机、容器云平台、容器、无服务器等基础设施的全面安全防护。同时也要看到,一些企业在构建云原生和云原生安全时,仍然使用传统的技术或产品在云上进行一对一的复制,比如在云原生环境中部署负载均衡、防火墙、WAF等传统产品。但是云原生的生命周期极短,这种解决方案很难融入到云原生场景中甚至不能归功于云原生技术。因此,企业中的IT决策者、架构师和开发人员、运营人员都应该对云原生技术有深刻的理解。

陌安科技依然支付CNAPP。自诞生以来,其努力的方向一直是CNAPP平台。早在公司成立之初,摩恩科技就开始布局DevSecOps、CWPP等能力。经过多年的沉淀,摩恩科技成为DevSecOps领域优秀的国产产品和解决方案提供商。再加上公司在容器安全、CSPM等方面的产品创新,于2022年正式推出“CNAPP云原生应用防护平台”,帮助客户构建完整、系统的云原生安全解决方案。摩恩科技作为国内该领域领先的第三方供应商,希望未来的一些前瞻能够帮助广大政企客户构建更安全稳定的云原生系统。

提供国内外云服务器云服务器主机推荐版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!

原生容器风险技术
淘宝买主机哪家好,美国云主机哪家好 云计算要学哪些课程,学云计算能做什么

未登录用户 回复需填写必要信息