《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 云安全的下半場:原生安全

云安全的下半場:原生安全

2020-12-18
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
關(guān)鍵詞: 云安全 原生安全

  云安全將成為純安全問題

  關(guān)于云安全的未來,高德納(Gartner)有兩個(gè)比較有意思的論斷:

   論斷1:網(wǎng)絡(luò)安全的未來在云中

  隨著云計(jì)算的日益普及,,企業(yè)上云已經(jīng)成為必然的趨勢,。Gartner曾作出一個(gè)預(yù)測:在2020年前,,50%的企業(yè)將業(yè)務(wù)工作流放到本地需要作為異常事件進(jìn)行審批。公司“無云”的策略會和現(xiàn)在“無網(wǎng)絡(luò)”的策略一樣少,??梢姡朴?jì)算將成為企業(yè)各項(xiàng)應(yīng)用必不可少的服務(wù)平臺和基礎(chǔ)設(shè)施,那么討論網(wǎng)絡(luò)安全怎么做,,就必須要考慮面向云計(jì)算的網(wǎng)絡(luò)安全怎么做,,例如虛擬網(wǎng)絡(luò)隔離、東西向的入侵檢測,,等等,。

  ?論斷2:云安全會變成單純的安全(Cloud security becomes … just security)

  云計(jì)算與各行各業(yè)IT基礎(chǔ)設(shè)施進(jìn)一步融合,云或是基礎(chǔ),,或是組件,。例如,5G,、邊緣計(jì)算和工業(yè)互聯(lián)網(wǎng),,都需要云計(jì)算技術(shù)構(gòu)建云化的基礎(chǔ)設(shè)施或編排平臺,那么這些新型系統(tǒng)的基礎(chǔ)設(shè)施安全,,其實(shí)本質(zhì)上就是云計(jì)算IaaS/PaaS/CaaS的安全,;此外,如欺騙技術(shù),、靶場技術(shù)等新的網(wǎng)絡(luò)安全機(jī)制,,或多或少地使用了虛擬化、容器等技術(shù),,因而,,這些云計(jì)算技術(shù)融入后,就形成了新的,、普適的安全技術(shù),,即“just security”。

  一方面,,云化的基礎(chǔ)設(shè)施和平臺需要安全防護(hù),,用傳統(tǒng)安全手段賦能云計(jì)算;另一方面,,云計(jì)算的各種新技術(shù),、新理念(如軟件定義、虛擬化,、容器,、編排和微服務(wù)等),也在深刻變革著當(dāng)前的安全技術(shù)發(fā)展路線,,因而,,未來的云安全,一定會將“云”這個(gè)定語去除,,等價(jià)于安全本身,,即安全技術(shù)必然覆蓋云計(jì)算場景,安全技術(shù)必然利用云計(jì)算技術(shù)。

  云計(jì)算的下半場:云原生計(jì)算

  如很多其他新技術(shù)一樣,,云計(jì)算起源于美國,,但千萬不要照搬美國的云計(jì)算發(fā)展過程到國內(nèi)復(fù)制一套相似的產(chǎn)品。事實(shí)上,,在云計(jì)算的上半場,,即從云計(jì)算誕生至今,中美兩國走了兩條不同的發(fā)展路線,,這與各自國情是有密切關(guān)系的,。

  具體而言,美國的云計(jì)算發(fā)展路線是先SaaS(Software as a Service,,軟件即服務(wù))后IaaS(Infrastructure as a Service,基礎(chǔ)設(shè)施即服務(wù)),。SaaS是最早的云計(jì)算服務(wù)形態(tài),。早在1999年,前甲骨文(Oracle)執(zhí)行官馬克·貝尼奧夫(Marc Benioff)就創(chuàng)辦了Salesforce,,這是當(dāng)前最大的客戶關(guān)系管理(CRM) SaaS服務(wù)提供商,。經(jīng)過20年的發(fā)展,美國的SaaS服務(wù)已經(jīng)深入企業(yè)業(yè)務(wù),,平均每個(gè)企業(yè)會用到1427個(gè)云服務(wù),,每名員工平均會用到36個(gè)云服務(wù)。SaaS的安全防護(hù)主要是以云端接入安全代理(CASB)為主,,因而國外的CASB市場巨大,,然而其挑戰(zhàn)在于需要適配大量SaaS服務(wù),所以這個(gè)市場的玩家目前主要是Skyhigh,、Netskope等巨頭,。

  近幾年來,隨著企業(yè)進(jìn)一步將業(yè)務(wù)云化,,特別是將IT基礎(chǔ)設(shè)施替換為IaaS服務(wù)中的虛擬計(jì)算資源,,通過軟件定義廣域網(wǎng)(SDWAN)連接分支結(jié)構(gòu)、云端資源,,形成全棧云化,、全分支機(jī)構(gòu)云化的趨勢。此時(shí),,雖然IaaS整體營收還遠(yuǎn)不及SaaS,,但其增長率激增,2019年的公有IaaS服務(wù)增長率達(dá)到了37.3%,,遠(yuǎn)超云服務(wù)總體增長率(17.5%),。如亞馬遜云服務(wù)(AWS)這樣的公有IaaS,其安全防護(hù)主要是利用亞馬遜(Amazon)提供的各類接口,在虛擬網(wǎng)絡(luò),、虛擬機(jī)層面提供網(wǎng)絡(luò)和終端防護(hù),,Gartner把虛擬機(jī)層面的安全防護(hù)技術(shù)稱為云工作負(fù)載保護(hù)平臺(CWPP)。

  中國的云計(jì)算發(fā)展是從虛擬化起步,,從私有云到公有行業(yè)云,,走出了具有中國特色的發(fā)展路線。里程碑是開源的IaaS項(xiàng)目Openstack在國內(nèi)興起,,國內(nèi)廠商,,如華為、華三,、EasyStack等企業(yè)基于Openstack研發(fā)了各自的云平臺,,此時(shí)國內(nèi)的云計(jì)算需求主要是將硬件服務(wù)器虛擬化,再加入多租戶管理,、網(wǎng)絡(luò)隔離等需求,,因而,多數(shù)云計(jì)算服務(wù)商提供的是私有云的解決方案,。通常商用私有云系統(tǒng)是封閉的,,缺乏對網(wǎng)絡(luò)流量按需控制的應(yīng)用接口,因而,,針對這類私有云的安全機(jī)制多為安全資源池,,通過路由、VLAN或開放網(wǎng)絡(luò)接口將流量牽引到資源池進(jìn)行處理,。隨著節(jié)約成本,、集約化管理和提供增值服務(wù)等需求的進(jìn)一步增強(qiáng),具有云平臺開發(fā)能力的服務(wù)商基于前述的私有云平臺,,提供了公有IaaS的服務(wù),。然而,這種公有IaaS服務(wù)與AWS,、阿里云不太一樣,,它們具有鮮明的行業(yè)特性。例如,,為政府提供的政務(wù)云,,會將所有下屬政府機(jī)構(gòu)的服務(wù)器遷移到新的云平臺上,提供政務(wù)相關(guān)的服務(wù),。這樣的公有IaaS服務(wù),,本質(zhì)上還是前述的OpenStack系的系統(tǒng),封裝了自服務(wù)功能,,并提供行業(yè)相關(guān)的合規(guī)服務(wù)和增值服務(wù),,因而其安全防護(hù)技術(shù)也可以基于安全資源池之上,,提供面向租戶的安全即服務(wù)(Security as a Service)。

  但總體而言,,這樣的上云實(shí)踐只是“形”上的改變,,還遠(yuǎn)沒有到“神”上的變化。過去兩年的行業(yè)發(fā)展表明,,無論是中國還是美國,,云計(jì)算的新增長點(diǎn)已經(jīng)都轉(zhuǎn)向云原生相關(guān)的領(lǐng)域,如容器即服務(wù)(CaaS),、編排技術(shù),、微服務(wù)、DevOps等,,至此云計(jì)算進(jìn)入下半場,。其驅(qū)動力無外乎兩方面:

  1.應(yīng)用快速交付和開發(fā)運(yùn)營一體化,DevOps的開發(fā)運(yùn)營模式已經(jīng)深入人心,,由開發(fā)團(tuán)隊(duì)驅(qū)動的容器化部署,、應(yīng)用編排等,事實(shí)上提出了新型的云交付模式,。

  2.新型IT基礎(chǔ)設(shè)施部署,如5G,、工業(yè)互聯(lián)網(wǎng)和邊緣計(jì)算場景下,,資源受限,有資源虛擬化等需求,,大量使用了容器,、編排和微服務(wù)等技術(shù),也使得云原生應(yīng)用未來可期,。

  云原生相關(guān)的技術(shù)棧在過去3~5年中得到了快速發(fā)展,,以Docker、Kubernetes,、Istio為代表的容器運(yùn)行時(shí),、編排系統(tǒng)、服務(wù)網(wǎng)格已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn),,而API網(wǎng)關(guān),、無服務(wù)框架也在快速演進(jìn)中??深A(yù)計(jì),,未來5年內(nèi),云原生相關(guān)的技術(shù)會在互聯(lián)網(wǎng)企業(yè),、金融,、運(yùn)營商等行業(yè)得到大量應(yīng)用,。筆者認(rèn)為云原生就是云計(jì)算的下半場。誰贏得云原生的賽道,,誰才真正贏得了云計(jì)算,。

  原生安全:基于云原生、無處不在的安全

  如果說云安全的未來等價(jià)于純安全,,而云計(jì)算的下半場是云原生,,那不妨也做個(gè)推論:云原生的未來也會等價(jià)于原生安全。那么,,什么樣的安全才是原生安全呢,?筆者認(rèn)為原生安全有兩個(gè)特點(diǎn):基于云原生,無處不在,。即,,使用了云原生的技術(shù),能適用于各類場景,。

  原生安全的發(fā)展會有三個(gè)階段,,如圖1所示:

  1. 安全賦能于云原生體系,構(gòu)建云原生的安全能力,。當(dāng)前云原生技術(shù)發(fā)展迅速,,但相應(yīng)的安全防護(hù)匱乏,就連最基礎(chǔ)的鏡像安全,、安全基線都不盡如人意,。因而應(yīng)該研究如何將現(xiàn)有成熟的安全能力,如隔離,、訪問控制,、入侵檢測、應(yīng)用安全,,應(yīng)用于云原生環(huán)境,,構(gòu)建安全的云原生系統(tǒng)。

  2. 云原生的新特性,,例如輕快不變的基礎(chǔ)設(shè)施,、彈性服務(wù)編排、開發(fā)運(yùn)營一體化等,,具有諸多優(yōu)點(diǎn),。因而,安全廠商會開始研究如何將這些能力賦能于傳統(tǒng)安全產(chǎn)品,,通過軟件定義安全的架構(gòu),,構(gòu)建原生安全架構(gòu),從而提供彈性,、按需,、云原生的安全能力,,提高“防護(hù)-檢測-響應(yīng)”閉環(huán)的效率。

  3. 當(dāng)安全設(shè)備或平臺云原生化后,,就能提供(云)原生的安全能力,,不僅適用于通用云原生場景、5G,、邊緣計(jì)算等場景,,甚至可以獨(dú)立部署在大型電商等需要輕量級、高彈性傳統(tǒng)場景,,最終成為無處不在的安全,。

微信圖片_20201218150904.jpg

  圖1 原生安全的演進(jìn)

  安全左移與右移

  如果考慮云原生應(yīng)用的生命周期,則應(yīng)關(guān)注DevOps的整個(gè)閉環(huán)(見圖2),,即從開發(fā),、編譯、持續(xù)集成/持續(xù)部署(CI/CD),,到運(yùn)行時(shí)運(yùn)營,。由于容器的生命周期極其短暫,對于攻守雙方來說,,在短期內(nèi)都無法應(yīng)用現(xiàn)有的武器庫或安全機(jī)制,,所以在云原生安全的初期,攻擊者會關(guān)注代碼,、第三方庫和鏡像這些生命周期長的資產(chǎn),,而防守者也應(yīng)該關(guān)注安全編碼、開源軟件脆弱性管理,、鏡像和倉庫脆弱性評估,以及安全基線核查,,這些安全機(jī)制基本上處于DevOps的左邊的閉環(huán),,因而我們將這些安全舉措稱為安全左移,以區(qū)別于傳統(tǒng)在運(yùn)行時(shí)做的安全運(yùn)營工作,。事實(shí)上,,過去兩年,國內(nèi)外很大一部分容器安全解決方案都聚焦在這部分內(nèi)容,。

微信圖片_20201218150914.jpg

  圖2 DevOps閉環(huán)

  當(dāng)然,,攻防永遠(yuǎn)是成本和收益之間的平衡,如果防守方能做好對長生命周期資產(chǎn)的持續(xù)風(fēng)險(xiǎn)和脆弱性評估和緩解,,那么攻擊者的成本顯然會升高,,那他們下一步就會借助自動化的攻擊手段,嘗試在運(yùn)行時(shí)攻擊微服務(wù),、無服務(wù)和容器,,進(jìn)而借助短暫存在的容器橫向移動尋找其他可持久化的資源,。那么此時(shí),容器工作載荷的行為分析,、容器網(wǎng)絡(luò)的入侵檢測,、服務(wù)網(wǎng)格的API安全和業(yè)務(wù)安全,則又會成為防守者的新重點(diǎn),,此時(shí),,我們將這種重點(diǎn)放在運(yùn)行時(shí)的安全思路稱為安全右移。

  無論是安全左移還是安全右移,,其實(shí)都是考慮到云原生環(huán)境中的脆弱性,、面臨的威脅和風(fēng)險(xiǎn),在有限的安全投入前提下,,做出當(dāng)前最有利的安全方案,。

  總體而言,云原生的(安全)技術(shù)棧如圖3所示,,可見,,云原生安全不只是獨(dú)立的容器、編排或微服務(wù),,而應(yīng)該完整地考慮整個(gè)云計(jì)算系統(tǒng)的所有組件及其安全功能需求,。

微信圖片_20201218150920.png

  圖3 云原生安全技術(shù)棧

  運(yùn)行時(shí)安全

  從技術(shù)實(shí)現(xiàn)來看,運(yùn)行時(shí)安全比開發(fā)安全更難,,本節(jié)重點(diǎn)討論如何實(shí)現(xiàn)運(yùn)行時(shí)安全,,主要分為異常行為檢測、安全防護(hù)和API/業(yè)務(wù)安全三方面,。

  異常行為檢測

  攻擊者對云原生系統(tǒng)的攻擊,,可以分為已知威脅和未知威脅。對容器而言,,最危險(xiǎn)的已知威脅莫過于容器逃逸,,文獻(xiàn)討論了從文件鏈接、容器運(yùn)行時(shí),、宿主機(jī)操作系統(tǒng)內(nèi)核等多個(gè)層面實(shí)現(xiàn)的容器逃逸,,對于這類攻擊,從內(nèi)核層面捕獲進(jìn)程,、網(wǎng)絡(luò)等各種行為,,通過規(guī)則即可及時(shí)發(fā)現(xiàn)潛在的逃逸行為。

  而對未知的攻擊而言,,最好的辦法就是為容器的正常行為建立基線,。通常運(yùn)行微服務(wù)的容器只運(yùn)行少數(shù)進(jìn)程,且行為可預(yù)測,,所以建立的基線能夠很好地刻畫相關(guān)容器的行為,,進(jìn)而可以在運(yùn)行時(shí)及時(shí)發(fā)現(xiàn)偏離基線的可疑行為,。

微信圖片_20201218150944.png

  圖4 偏移行為基線的可疑行為

  安全防護(hù)

  運(yùn)行時(shí)安全防護(hù)可分為面向容器的安全防護(hù)和面向微服務(wù)/服務(wù)網(wǎng)格的安全防護(hù)。在容器層面,,主要關(guān)心的是容器組建的網(wǎng)絡(luò)中是否存在入侵行為,,例如針對容器及其打開服務(wù)的偵查、橫向移動,,此時(shí)通??墒褂锰貦?quán)容器的方式,部署網(wǎng)絡(luò)入侵檢測組件,,即可實(shí)現(xiàn)微隔離,、訪問控制、網(wǎng)絡(luò)流量監(jiān)控,、入侵檢測和防護(hù)等功能,,如圖5所示。

微信圖片_20201218151249.png

  圖5 基于特權(quán)容器的容器安全防護(hù)

  在微服務(wù)和服務(wù)網(wǎng)格層面,,則需要考慮將安全能力部署到服務(wù)網(wǎng)格中的每個(gè)微服務(wù)最近側(cè),,因而使用邊車(Sidecar)的方式,將安全微網(wǎng)關(guān)部署在應(yīng)用容器旁,,如圖6所示,,這樣可以實(shí)現(xiàn)應(yīng)用的認(rèn)證授權(quán)、通信加密等應(yīng)用層面的安全防護(hù)等功能,。

微信圖片_20201218151251.png

  圖6  基于Sidecar的微服務(wù)安全防護(hù)

  API和業(yè)務(wù)安全

  業(yè)務(wù)安全是離客戶最近且價(jià)值最大的安全功能,,然而云原生場景非常復(fù)雜,很難有統(tǒng)一的業(yè)務(wù)安全模型,;此外,,在微服務(wù)和服務(wù)網(wǎng)格的場景下,服務(wù)之間大部分是通過API調(diào)用實(shí)現(xiàn),,這與當(dāng)前Web應(yīng)用存在大量人機(jī)交互完全不同,,因而API安全在云原生場景下也存在很大的差異。

  從技術(shù)上看,,要實(shí)現(xiàn)API和業(yè)務(wù)安全,,第一步是獲得API調(diào)用的可觀察能力(visibility),,當(dāng)前有很多開源項(xiàng)目具有這樣的能力,,但其在開發(fā)、構(gòu)建過程中的侵入性各有不同,,如表1所示,。一般而言,侵入性越強(qiáng),,其最后獲得的API請求信息越多,,但在既有開發(fā)流程和項(xiàng)目中的部署越難,。

微信截圖_20201218151038.png

  其中Jaeger通過在代碼中插樁的方式,能夠獲得所有調(diào)用順序和參數(shù),,因而理論上就能建立非常精準(zhǔn)的API調(diào)用參數(shù)和序列的基線,,而Sidecar反向代理的方式無法獲得調(diào)用序列,只能通過分析,,啟發(fā)式地獲得近似基線,,其上限可以逼近Jaeger所得到的基線。至于具體采用哪種觀測方法,,則取決于客戶側(cè)的部署情況,。

  原生安全:未來的安全

  我們在前面談到,如果云原生安全成為原生安全,,那就說明云原生已經(jīng)融入到了各行各業(yè),,成為普適的云計(jì)算場景。事實(shí)上,,隨著國家大力推動新基建戰(zhàn)略,,包括5G、物聯(lián)網(wǎng),、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施,,云計(jì)算、人工智能等新技術(shù)基礎(chǔ)設(shè)施,,數(shù)據(jù)中心等計(jì)算基礎(chǔ)設(shè)施等,。而這些基礎(chǔ)設(shè)施,未來或多或少都會與云原生技術(shù)有所聯(lián)系,。

  例如在邊緣計(jì)算的場景下,,目前行業(yè)中主流的開源邊緣計(jì)算平臺,如OpenNess,、KubeEdge和StarlingX均采用了容器和編排技術(shù),,并且可以提供第三方微服務(wù)。我們將前面所提到的云原生安全技術(shù)棧移植到這三個(gè)邊緣計(jì)算系統(tǒng)中,,證明是完全可行的,。圖7展示了面向KubeEdge的安全防護(hù)原型系統(tǒng)。

微信圖片_20201218151124.png

  圖7 KubeEdge安全防護(hù)原型系統(tǒng)

  而在5G核心網(wǎng)中,,我們發(fā)現(xiàn)在切片技術(shù)應(yīng)用中,,資源層會使用虛擬化和容器技術(shù),如一些開源的5G核心網(wǎng)項(xiàng)目也在使用容器編排技術(shù),。事實(shí)上,,一些主流的商用5GC網(wǎng)元也采用了容器技術(shù);而控制層則會通過RESTful/HTTP協(xié)議進(jìn)行通信。

  可見5G核心網(wǎng)的網(wǎng)元自身防護(hù),,則可以使用前述云原生安全技術(shù)棧進(jìn)行加固和防護(hù),;而網(wǎng)元的業(yè)務(wù)側(cè)安全,有可以借助前述API/業(yè)務(wù)安全的基線方式刻畫正常網(wǎng)元業(yè)務(wù),,進(jìn)而發(fā)現(xiàn)可以的網(wǎng)元請求,。

  當(dāng)新基建推動大量云化基礎(chǔ)設(shè)施采用了云原生的技術(shù)路線,當(dāng)云原生的安全能力可以部署在云化或非云化的環(huán)境中,,那我們真的可以說,,未來的安全就是“原生安全”。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。