企业动态

    近年来，在云计算产业蓬勃发展的背景下，我国云安全行业市场增速迅猛，在网络安全市场总体规模中占比不断上升。公开数据显示，近5年我国云安全市场保持40%以上增速，2021年中国云安全市场规模达到了117.7亿元。

    作为备受关注新兴子领域之一，云原生安全已经成为了云安全体系中不可或缺的一部分。随着云计算逐步云原生转型，更多的用户将业务系统逐渐向云原生上迁移，传统的安全架构已经难以满足新的业务需求。

    云原生通常被认为是云计算的演进，或称为云计算2.0，能够让业务更敏捷、成本更低的同时又可伸缩性更灵活，更快完成数字化转型，降本增效，提升企业核心竞争力。

    目前，在金融、运营商等信息化程度领先的行业，云原生架构已经成IT基础设施建设的重点，但也是遭受网络攻击最多、监管要求最高的，因此云原生安全正面临来自监管和实战的双重挑战，这就对云原生使用场景下的安全防护能力提出了新的需求。

    据笔者观察，目前云原生环境的安全风险主要表现为容器环境的风险暴露面增加、业务开发运行模式的变化带来的安全挑战、云原生应用全流程的供应链风险、全流量安全检测存在困难等。

    云基础设施变革引入新的安全暴露面

    云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生基础设施主要包括云原生计算环境（容器、镜像及镜像仓库、网络、编排系统等）、DevOps工具链；云原生化应用主要包括微服务；同时云原生基础设施和云原生应用也会在原有云计算场景下显著扩大API的应用规模。

    按照Gartner定义的云原生架构，自下而上各层安全风险主要包括：

    第一，云原生基础设施带来新的云安全配置风险；

    第二，容器化部署成为云原生计算环境风险输入源；

    第三，DevOps提升了研运流程和安全管理的防范难度；

    第四，微服务细粒度切分增加云原生应用API暴露面。

    业务开发模式的改变带来新安全风险

    云原生的重要组成部分之一就是DevOps流程的引入，彻底改变了原有的开发、测试、部署、运行的模式，而是围绕着云原生应用的开发、分发、部署、运行的全生命周期展开。

    全流程中每个环节都存在相关的安全风险，主要包括：

    A.外部依赖组件及开源代码的脆弱性与供应链攻击；

    B.微服务架构暴露面扩大及架构设计引入的脆弱性，编码包含逻辑与安全漏洞、脆弱性配置；

    C.经由环境发生的代码和配置泄露、恶意篡改、恶意镜像、恶意代码引入等；

    D.镜像与配置在分发流转过程中发生的一致性与风险变更及恶意篡改。结构脆弱性编排部署与失效的特权访问控制。编排平台自身的不当配置；

    E.运行时环境隔离失效导致的容器逃逸，容器宿主机环境安全风险；

    F.脆弱性利用与访问控制失效；攻击的内部横向移动。针对应用的漏洞利用。

    传统防护手段在云原生环境失效

    因为云原生环境相对传统的IT系统环境或云计算环境都发生了很大的变化，尤其是运行阶段的全面容器化，使得大量原有的安全产品或防护能力不再适用，比如：

    容器网络和传统完全不同，传统防火墙无法部署和使用；

    传统WAF仅能防护南北向对外公开的服务，内部微服务东西向之间的API互相访问无法防护；

    入侵检测系统IDS无法获取容器内部的网络流量包，无法对容器的流量包进行威胁检测；

    大部分主机安全软件仅仅能防护容器运行的主机OS，容器内部的安全问题无法解决；

    漏洞扫描设备仅仅能从网络上或者主机上进行探测和扫描，无法从文件系统层次扫描容器镜像漏洞；

    基线合规检查仅能覆盖主机基线，容器和编排平台的基线无法覆盖；

    数据库审计通常基于流量镜像或者agent采集的方式，在容器环境下无法部署和安装。

    云原生应用在各流程阶段存在供应链风险

    在云原生环境中，打破了应用从开发阶段到运行阶段的界线，引入了CI/CD的概念。CI/CD是一种通过在应用开发阶段引入自动化来频繁向运行交付应用的方法。CI/CD的核心概念是持续集成、持续交付和持续部署。它是作为一个面向开发和运营团队的解决方案，主要针对在集成新代码时所引发的问题（也称为：“集成地狱”）。CI/CD可让持续自动化和持续监控贯穿于应用的整个生命周期（从集成和测试阶段，到交付和部署）。

    正是因为CI/CD的存在，使得云原生应用在开发、构建阶段存在的风险，会传递至运行时阶段，比如：仓库中存储的自研镜像、第三方镜像均有可能包含漏洞或许可证风险；运行时阶段上传的第三方镜像未经严格检测，有可能包含多种风险等。

    云原生安全运营面临巨大挑战

    云原生环境是一个复杂的架构，相应的，云原生安全也是一个系统性工程，涉及到的各种安全风险需要用到很多安全产品来提供防护能力。这就给云原生安全运营带来了巨大挑战，如果运营能力不足，工作不到位，很可能造成大量投入的安全能力无法得到发挥。

    安全运营方面可能存在的问题包括以下八个方面：

    第一，云原生资产动态变化，如何采集全量资产信息，及时发现影子资产？

    第二，开发态资产与运行态资产如何对应，建立关联关系？

    第三，业务部门持续分发上线新版本，安全是否合规？如何管控？

    第四，开发态代码漏洞对生产业务影响面有多大？如何快速止损？

    第五，如何判断生产环境安全漏洞从DevOps哪个环节被引入？

    第六，微服务间东西向流量威胁如何检测？

    第七，如何对失陷容器进行攻击链溯源？

    第八，DevOps自动化流程中引入的安全风险，如何自动化管控？

    应对上述挑战，奇安信基于云安全领域的积累和内生安全理念，提出了如下图所示，更适合国内落地云原生安全框架。

    整个框架以云原生应用为中心，安全能力覆盖整个云原生架构以及云原生应用的全生命周期。其中纵向从下到上覆盖云原生应用运行的基础设施，包括IaaS平台、PaaS平台、主机及容器工作负载以及应用自身对应的微服务，横向从左到右覆盖云原生应用的整个生命周期，包括开发、部署和运行时。

    具体而言，云原生基础设施安全需要重点关注云原生应用运行环境的安全基线管理，其中重点是不合规的配置风险；

    云原生制品安全的重点，在于供应链安全风险的管控，特别是开源软件的合规、安全使用；

    容器安全面临的威胁最为严峻，因为越来越多用户已经将容器在核心生产环境中应用，所以安全需求也最为迫切，需要尽快完成覆盖全生命周期的容器安全建设；

    云工作负载防护强调暴露面梳理、持续威胁监测以及深入操作系统内核层的安全防护，可在第一时间发现和定位安全威胁，并通过微隔离有效减少损失；

    微服务安全主要针对来自运行时的API调用和应用自身脆弱性，可通过应用运行时自防护（RASP）、API行为分析与访问控制等能力建设有效缓解；

    结束语

    目前国内客户已经逐步完成业务上云，部分客户正在进行云原生业务改造，面临的新安全挑战亟待解决，奇安信云安全以解决客户云安全及云原生安全为目标，目前已经建立了国际领先的云安全管理平台、云安全代理网关、云安全运营中心、云工作负载保护平台、容器安全以SASE等新型云安全“纵深防御”系列产品，构建了新的云安全及云原生安全“纵深防御”体系，有效提升了云设施的安全防护能力，在国家重大活动网络安全保障、重点行业网络安全支撑以及社会服务方面大范围推广应用，市场份额持续保持第一，引领了中国云安全行业的快速发展。