云計算發(fā)展將近二十年，已然進入了新的階段：云原生時代。以容器、服務(wù)網(wǎng)格、微服務(wù)等為代表的云原生技術(shù)，正在影響各行各業(yè)的IT基礎(chǔ)設(shè)施、平臺和應(yīng)用系統(tǒng)，也在滲透到如IT/OT融合的工業(yè)互聯(lián)網(wǎng)、IT/CT融合的5G、邊緣計算等新型基礎(chǔ)設(shè)施中。

理解云原生體系存在的新架構(gòu)、新風(fēng)險和新威脅，有助于構(gòu)建面向新型IT基礎(chǔ)設(shè)施的安全防護機制;利用云原生的先進技術(shù)，融合到當(dāng)前的攻防體系中，也有助于我們提升整體安全防護的彈性、適應(yīng)性、敏捷性。

綠盟科技在2018年發(fā)布了《容器安全技術(shù)報告》，報告詳細分析了容器技術(shù)所面臨的風(fēng)險和安全挑戰(zhàn)，介紹了安全左移思路下的安全基線、鏡像安全等內(nèi)容，給初建容器安全的機構(gòu)一些有益的建議。近年隨著編排技術(shù)、無服務(wù)和服務(wù)網(wǎng)格等技術(shù)的快速發(fā)展，綠盟科技將重點放在了整個云原生生態(tài)體系的安全研究上。

鑒于此，綠盟科技發(fā)布《云原生安全技術(shù)報告》，本報告較為全面地分析了云原生落地所面臨的安全風(fēng)險和威脅，進而提出了云原生的防護思路和安全體系。

本報告核心內(nèi)容如下：

1.安全問題成為影響云原生落地的重要因素

隨著云原生越來越多的落地應(yīng)用，其相關(guān)的安全風(fēng)險與威脅也不斷的顯現(xiàn)出來。Docker/Kubernetes等服務(wù)暴露問題、特斯拉Kubernetes集群挖礦事件、Docker Hub中的容器鏡像被“投毒”注入挖礦程序、微軟Azure安全中心檢測到大規(guī)模Kubernetes挖礦事件、Graboid蠕蟲挖礦傳播事件等一系列針對云原生的安全攻擊事件層出不窮。安全問題成為影響云原生落地的重要顧慮因素。

2.容器化基礎(chǔ)設(shè)施面臨的安全威脅和風(fēng)險不會更少

容器作為一種“輕量的虛擬化”技術(shù)，運行于“宿主機”操作系統(tǒng)內(nèi)核之上，因此，傳統(tǒng)的主機安全、網(wǎng)絡(luò)安全等安全問題依然存在。除此之外，容器的逃逸風(fēng)險、容器鏡像的風(fēng)險、虛擬化網(wǎng)絡(luò)風(fēng)險、配置風(fēng)險等安全風(fēng)險問題，還將成為容器化基礎(chǔ)設(shè)施所面臨的新的安全威脅。

3.安全左移，更早的發(fā)現(xiàn)安全問題

在云原生架構(gòu)中，容器生命周期短、業(yè)務(wù)復(fù)雜、網(wǎng)絡(luò)復(fù)雜，現(xiàn)有的物理或虛擬化的安全設(shè)備無法工作，運行時的安全檢測將會投入很高成本。“安全前置”或者“安全左移”可以在軟件開發(fā)生命周期的更早階段，投入更多的安全資源，嵌入安全動作，來有效的收斂安全漏洞問題，盡可能更早的確定其安全性。

4.云原生安全一定是云原生的

云原生安全，其目標(biāo)是防護云原生環(huán)境中的基礎(chǔ)設(shè)施、編排系統(tǒng)和云原生應(yīng)用，確保業(yè)務(wù)系統(tǒng)云原生化后的安全性。云原生架構(gòu)同時又有著其獨特的特性，對傳統(tǒng)的安全防護手段提出了巨大的挑戰(zhàn)。

云原生極大程度的實現(xiàn)了云的優(yōu)勢，云原生安全一定是云原生的，也就是：使用具有云原生特性的安全技術(shù)去實現(xiàn)面向云原生環(huán)境的安全。

5.云原生的可觀測性助力實現(xiàn)安全可見、可防

云原生時代，容器化的基礎(chǔ)設(shè)施使得應(yīng)用自身變的更快、更輕，一臺主機上可以快速部署運行幾十個、甚至上百個容器。而Kubernetes等容器編排平臺，又提供了良好的負(fù)載均衡、任務(wù)調(diào)度、容錯等管理機制。這樣，在云原生中，一臺主機上應(yīng)用的部署密度以及變化頻率，較傳統(tǒng)環(huán)境，有著巨大的變化。

正所謂“未知攻焉知防”，面對云原生架構(gòu)下的大規(guī)模集群以及海量靈活的微服務(wù)應(yīng)用，只有知道集群中應(yīng)用的具體操作、行為，才能夠進行高效的安全防護。

6.微隔離實現(xiàn)零信任的云原生網(wǎng)絡(luò)安全

云原生架構(gòu)中，容器或者微服務(wù)的生命周期相比較傳統(tǒng)網(wǎng)絡(luò)或者租戶網(wǎng)絡(luò)，變的短了很多，其變化頻率要高很多。微服務(wù)之間有著復(fù)雜的業(yè)務(wù)訪問關(guān)系，尤其是當(dāng)工作負(fù)載數(shù)量達到一定規(guī)模以后，這種訪問關(guān)系將會變得異常的龐大和復(fù)雜。

因此，在云原生環(huán)境中，網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)、租戶網(wǎng)絡(luò)等資源層面的隔離，甚至需要服務(wù)之間應(yīng)用層面的隔離。一方面需要能夠針對業(yè)務(wù)角色，從業(yè)務(wù)視角更細粒度的實現(xiàn)微服務(wù)之間的訪問隔離;另一方面，這種靈活快速的網(wǎng)絡(luò)狀態(tài)變化，也需要隔離策略與訪問控制策略能夠完全自動化的適應(yīng)業(yè)務(wù)和網(wǎng)絡(luò)的快速變化，實現(xiàn)快速高效的管理、部署和生效。

7.ServiceMesh可以有效支撐微服務(wù)安全

Service Mesh采用類似SDN的架構(gòu)，通過邏輯上獨立的數(shù)據(jù)平面和控制平面實現(xiàn)微服務(wù)間網(wǎng)絡(luò)通信的管理。網(wǎng)格內(nèi)服務(wù)發(fā)送和接收的所有流量都經(jīng)過代理，這讓控制網(wǎng)格內(nèi)的流量變簡單，而且不需要對服務(wù)做任何的更改，再配合網(wǎng)格外部的控制平面，可以實現(xiàn)網(wǎng)絡(luò)隔離、應(yīng)用隔離、甚至是應(yīng)用的API安全。

8.API安全和業(yè)務(wù)安全成為云原生應(yīng)用的重要安全威脅

云原生應(yīng)用基于微服務(wù)的架構(gòu)設(shè)計，使得應(yīng)用之間的交互模式轉(zhuǎn)向各類API的請求/響應(yīng)，API通信在云原生應(yīng)用交互中占據(jù)了重要地位。API安全也成為了云原生應(yīng)用安全中尤為重要的一個部分。系統(tǒng)中存在哪些暴露的API服務(wù)，存在哪些API調(diào)用，這些調(diào)用是否全部是完成某個需求所必須發(fā)生的業(yè)務(wù)聯(lián)系，是否存在API探測、API濫用，是否存在針對某個服務(wù)的拒絕服務(wù)攻擊，如何在海量的正常業(yè)務(wù)調(diào)用邏輯中，發(fā)現(xiàn)非法的異常調(diào)用請求。這些問題都直接影響著云原生應(yīng)用的安全性。

9.Serverless的安全風(fēng)險同樣不容小覷

Serverless是云原生架構(gòu)下一種新的計算模式，在給開發(fā)者帶來便利的同時，其安全風(fēng)險也備受關(guān)注。應(yīng)用程序的代碼安全、數(shù)據(jù)隱私、訪問權(quán)限、不同服務(wù)間的隔離等，都是其面臨的重要安全挑戰(zhàn)。實現(xiàn)其安全建設(shè)，需要Serverless服務(wù)提供商、應(yīng)用開發(fā)者等多方的共同努力。

10.云原生安全助力新基建落地安全

5G、邊緣計算、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等作為新基建的重要組成部分，其安全性將在一定程度上影響著新基建的落地實施。而云原生技術(shù)與架構(gòu)正在成為包括5G核心網(wǎng)、邊緣云等的重要實現(xiàn)方式之一。新基建安全不止云原生安全，但是新基建的安全離不開云原生安全。

獲取完整版報告內(nèi)容，請關(guān)注綠盟科技公眾號后臺回復(fù)“云原生報告”即可

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）