杜岚演讲从三个方面对云原生安全做了详细介绍,核心围绕云原生安全面临哪些安全威胁,又需要解决哪些安全问题,以及我们要怎样建设云原生安全防护体系,并分享了云原生安全的发展趋势。
一、云原生安全威胁凸显
在阐述云原生安全之前,杜岚先从两个方面对云原生做了概述。狭义层面,云原生是技术和应用模式的改变,CNCF(云原生计算基金会,The Cloud Native Computing Foundation)给出的定义是包含不可变基础设施、服务网格、声明式API等技术,它是面向云应用设计的一种思想理念,是能够充分发挥云效能的最佳实践路径,它有弹性、可靠、松耦合、易管理可观测的特点,能够帮助企业去提升它的交付效率和降低运维复杂度。
广义层面,云原生不仅仅是一种技术,而是一种思维认知的改变,一种应用生在云上、长在云上的理念,所以除了技术以外还有文化、组织架构和方法论认知升级。通俗来讲,云原生就是应对业务上云、虚实结合,企业业务高效迭代新需求的一套新理念和新工具。
云原生概念从2013年就已经提出了,最近几年该技术发展迅猛,标准到实践相对更加成熟。对企业来说云原生是一种既能够省成本,又能够提升效率,还能增强稳定性的一种架构,同时云原生还能够很好跟人工智能和大数据等上层技术、新应用相结合。杜岚表示,“从信通院调研数据来看,企业已经开始大规模地应用云原生,并且已经应用到核心生产系统当中,云原生价值已被企业广泛认可,云计算也进入全面云原生化时代。”
但杜岚也指出:“技术架构、应用模式的变化一定会伴生新的安全问题,据信通院调查数据显示,目前企业上云进行云原生化改造最大顾虑就是安全性,近七成用户对云原生技术在大规模应用时的安全性、可靠性、性能、连续性心存顾虑。”
从其演讲中我们得知,云原生安全风险包括云原生基础设施自身以及上层应用云原生化改造后的安全风险。云原生基础设施架构包括以容器为主的云原生计算环境,DevOps工具链等,云原生应用主要包括微服务、Serverless以及显著扩大的API应用规模。
1、容器化部署成为云原生基础架构风险输入源
“容器在整个构建、部署、运行全链条里面都存在漏洞引入和安全威胁扩散风险。”在构建方面,容器有镜像和镜像仓库模式,增加了软件供应链风险,同时镜像可能存有漏洞,配置不当,来源不可信,通道安全等等风险;部署方面,容器编排组件应用更多是K8S,同样存在自身漏洞或配置问题,并存在管理缺陷,同样增加了容器的安全风险;运行层面,为追求轻量化,容器多采用共享宿主操作系统内核,提升了逃逸风险的同时,还增大了攻击面和影响范围。
杜岚表示,为了业务的灵活稳定,容器还要经常去做迁移、弹性扩缩容,所以容器应用生命周期被大幅缩短,甚至是分钟级别,基于高度动态的工作负载去做安全防护也将非常困难。在云原生网络层面,随着服务被容器拆分的非常微小,访问也会大幅增多,容器东西向流量将会增多,无论是规模还是逻辑复杂度,都为安全防护增加更大难度。
2、微服务细粒度切分增加云原生规模化应用风险
“微服务对应用做了细粒度切分,增加了规模化应用风险。”微服务场景下,业务逻辑分散在多进程中,每一个进程都有自己的入口点,暴露的端口数量大幅增加,将导致防范攻击面比原来单体应用大得多。而且暴露的都是业务内部的接口,攻击风险和影响都会将更大。同样,微服务之间调度逻辑复杂,性能要求更高,对访问控制策略要求也越高,容易带来越权风险。同时,基于社区化的开源组件,也为让微服务治理框架本身引入新的漏洞。
3、Serverless灵活性带来模型和平台管控风险
Serverless是一种更灵活、轻便的,针对应用程序开发和部署运行的新架构,其目标是在平台层做到足够丰富,同时能够把应用拆分的更加简单,开发人员可以只专注应用程序功能上的开发,而不是代码编写。Serverless从架构层面上来看更加灵活,但其存在应用程序固有风险、平台安全风险、计算模型风险。
4、API爆发式增长催化分离管控和权限滥用风险
杜岚认为,API安全在整个云原生架构下面会显得非常重要且突出。API是贯穿了云原生从架构到应用普遍都存在的安全问题,云原生化之后,从基础架构层、到微服务业务层会有很多标准或非标准的API,API数据急剧增加、调用异常频繁。一方面,爆发式的增长导致API在身份认证、访问控制、通信加密、以及攻击防御等方面的安全问题更加明显,面临更多潜在风险。另一方面,企业面对大量API设计需求,其相应的API安全方案往往不够成熟,从而引起滥用风险。
5、DevOps提升研发流程和安全管理的防范难度
在研发运维方面的安全问题上,即DevOps包括代码前期设计层面,流程、管理层面,以及工具层面。“DevOps也是一个比较独立的安全方向,不仅仅是存在于云原生架构当中,但其在云原生架构当中仍然重要。”
“总的来说,云原生在显著提升云上效能的同时,也带来了一些复杂的安全问题,传统的安全防护理念(指的是非原生化的安全产品和服务),很难覆盖云原生安全需求,所以我们为了保障云原生安全需要更深刻理解云原生架构,以提供更具针对性的安全解决方案,去构建更完整的防护体系。”杜岚总结表述道。
二、云原生安全防护体系
云原生安全遵循设计原则主要包括零信任、安全左移、持续监控和响应、工作负载可观测。
1、零信任
杜岚认为,零信任更加适合云原生安全防护体系建设,因为在云原生架构下没有传统边界概念。“底层架构都被拆的非常小,将是追求细粒度典型零信任场景。在云原生安全防护体系下,更适合运用零信任去做到权限控制,去做微隔离,以达到精准控制。”
2、安全左移
安全左移是一种思路,是把安全投资更多的放在建设前期,放在开发安全上面去,比如包括安全的编码、镜像、供应链安全,在前期软件层面,应用层面做到足够安全,在运行之后能够大幅减少风险。
3、持续监控和响应
云原生架构的复杂和动态特性更多要求主动防御,需要做持续监控,要监控尽可能多的云原生元素,同时建立持续响应防护机制,能迅速对攻击做分析处理及后续的追踪溯源。
4、工作负载可观测
可观测是云原生架构要求具备的重要能力,从安全防护体系角度来讲,利用可观测能力可获取安全分析响应需要的原始数据。
据了解,目前云服务商、安全厂商陆续推出了云原生安全的一些项目和服务,其中面向容器安全和网络安全的比较多,如腾讯安全此次发布的产品。在行业上,信通院去年5月份联合腾讯云等18家行业领先云服务商和安全厂商共同发布了《云原生安全架构白皮书》,其中对云原生安全防护体系有全面介绍。
据杜岚介绍,《云原生安全架构白皮书》当中防护体系底层认为云原生安全前提是云基础设施安全,腾讯主机安全旗舰版发布就是为了构筑这一关键环节的安全能力。其次是云原生基础架构安全,其中以容器为核心基础架构安全尤为重要,它是云原生的底座,容器目前也是应用范围最广、程度最深,近几年也陆续爆出很多安全隐患,这也是云原生安全当中的重中之重。
“再往上则是云原生应用安全,包括微服务架构安全、Serverless安全,以及通用API安全治理,及DevOps,还有数据安全以及云原生安全防护体系,整体上需要建立一个动态闭环,包括安全管理和运营。”杜岚补充说道。
总体上云原生安全建设需要注意以下几点:
1、云原生安全策略先行,结合实际,建立基线及准入机制;
2、全面的考虑云原生安全整体架构;
3、根据云原生的建设节奏逐步完善;
4、贴合云原生技术演进方向,防止建设完不能用或者没有用;
5、贴合云原生的特点,使用符合云原生特点的解决方案。
三、云原生安全发展趋势
1、安全技术的主导力量从单边走向多元。云服务商与安全厂商势必将加强深度合作,结合双方在技术研究、人才储备、产品应用等方面的积累和经验;在云原生安全的不同赛道将衍生出更加专注于细分领域的安全服务商,进一步丰富和完善云原生安全生态。
2、安全理念以人为中心转向以服务为中心。传统安全侧重以人为主的防护策略,已经不能满足云原生实例频繁启停的生命周期变化以及海量的东西向流量交互;以服务为中心构建的容器安全防护措施,持续监控响应模型和可视化平台,将成为云原生安全防护的主流方案。
3、安全产品形态从粗暴上云转向与平台/应用深度融合。云原生安全将与云原生平台,应用深度融合,提供新型云原生信息基础设施的防护、检测和响应能力;并将云原生技术赋能于这些安全产品,应用和解决方案,实现进程级防护能力,微隔离访问控制,全流程实时监控响应,实现安全方案的内生配置和深度融合。
4、安全落地方案走向轻量化、敏捷化、精细化。随着容器部署的环节越来越复杂,运行实例生命周期越来越短,要求安全方案的反应必须迅速敏捷,及时发现容器启动,密切跟踪容器行为,并在发现异常时迅速反应;云原生提供的服务粒度越来越细,相应安全方案的防护粒度也需越来越细,从过去的容器粒度,到目前的函数粒度,未来可能是语句粒度、变量粒度。
据了解,为推动云原生安全、云安全技术的落地,信通院目前在持续推动云原生相关标准的制定工作,其中容器安全标准经过多次会议处于报批过程中;《云原生能力成熟度模型 第3部分:架构安全》标准即将发布。云原生安全能力的系列标准,包括API安全治理、云原生数据安全、云原生MSS等也处于立项或规划当中。