信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“twt企業(yè)IT社區(qū)”，執(zhí)筆專(zhuān)家：許小平，顧問(wèn)專(zhuān)家：羅文江。

云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟容器云安全課題組的目標(biāo)是幫助企業(yè)健全容器安全防護(hù)工作體系，提供鏡像安全、基礎(chǔ)設(shè)施安全、運(yùn)行時(shí)安全等能力建設(shè)參考，減少摸索時(shí)間，讓更多重要生產(chǎn)應(yīng)用運(yùn)行在安全的容器環(huán)境中。本期介紹該課題組階段性研究成果之一。

容器云安全的現(xiàn)狀評(píng)估和未來(lái)發(fā)展趨勢(shì)研判

隨著行業(yè)數(shù)字化轉(zhuǎn)型和應(yīng)用下移的戰(zhàn)略開(kāi)展，業(yè)務(wù)上容器云正在成為普遍的選擇，容器云作為軟件基礎(chǔ)設(shè)施的引入和應(yīng)用微服務(wù)容器化的改造，由于技術(shù)架構(gòu)的改變勢(shì)必伴生出了新的安全問(wèn)題，廣義上可分為應(yīng)用安全和業(yè)務(wù)安全（可靠性、性能、連續(xù)性），本文重點(diǎn)關(guān)注前者（容器云平臺(tái)自身也屬于容器應(yīng)用），主要圍繞三個(gè)方面介紹：容器云當(dāng)前面臨哪些安全威脅、容器云安全體系的建設(shè)思路、以及容器云安全的發(fā)展趨勢(shì)。

一.容器云安全現(xiàn)狀

1.容器云安全威脅日益凸顯

一是利用容器云新技術(shù)的漏洞發(fā)起攻擊，容器、微服務(wù)等技術(shù)的應(yīng)用導(dǎo)致企業(yè)資源暴露面增加，成為攻擊主要目標(biāo)，如2020年Azure用戶(hù)因Kubeflow（基于Kubernetes的組件）未授權(quán)訪問(wèn)漏洞被部署惡意容器。同時(shí)鏡像可能存有漏洞，配置不當(dāng)，來(lái)源不可信，通道安全等等風(fēng)險(xiǎn)；部署方面，容器編排組件應(yīng)用更多是K8S，同樣存在自身漏洞或配置問(wèn)題，并存在管理缺陷，同樣增加了容器的安全風(fēng)險(xiǎn)；運(yùn)行層面，為追求輕量化，容器多采用共享宿主操作系統(tǒng)內(nèi)核，提升了逃逸風(fēng)險(xiǎn)的同時(shí)，還增大了攻擊面和影響范圍。

二是通過(guò)私有云的軟件供應(yīng)鏈進(jìn)行攻擊，2021年Docker Hub上的部分容器鏡像被內(nèi)置挖礦程序，下載總數(shù)超2000萬(wàn)次；軟件供應(yīng)鏈安全威脅主要表現(xiàn)為：一是開(kāi)源風(fēng)險(xiǎn)突出。無(wú)論是云服務(wù)商還是上云企業(yè)，開(kāi)源都已成為行業(yè)的主流開(kāi)發(fā)模式，在加快研發(fā)效率的同時(shí)也將安全問(wèn)題引入到軟件供應(yīng)鏈當(dāng)中。二是云服務(wù)商成攻擊突破口，木桶效應(yīng)明顯。相較于傳統(tǒng)針對(duì)軟件自身漏洞的攻擊，云服務(wù)商（私有云）作為軟件供應(yīng)鏈上游，其編碼過(guò)程、開(kāi)發(fā)工具、設(shè)備等均是供應(yīng)鏈?zhǔn)芄裘?，攻擊者只需突破一個(gè)點(diǎn)，即可撕開(kāi)上云企業(yè)的整套防御體系。三是不安全的分發(fā)渠道影響大。通過(guò)網(wǎng)絡(luò)進(jìn)行私有云軟件交付、開(kāi)源軟件分發(fā)以及補(bǔ)丁下發(fā)已成為常態(tài)，分發(fā)渠道作為軟件供應(yīng)鏈中較為脆弱的一環(huán)，其安全影響重大。

2.微服務(wù)細(xì)粒度切分增加云原生規(guī)?；瘧?yīng)用風(fēng)險(xiǎn)

“微服務(wù)對(duì)應(yīng)用做了細(xì)粒度切分，增加了規(guī)?；瘧?yīng)用風(fēng)險(xiǎn)。”微服務(wù)場(chǎng)景下，業(yè)務(wù)邏輯分散在多進(jìn)程中，每一個(gè)進(jìn)程都有自己的入口點(diǎn)，暴露的端口數(shù)量大幅增加，將導(dǎo)致防范攻擊面比原來(lái)單體應(yīng)用大得多。而且暴露的都是業(yè)務(wù)內(nèi)部的接口，攻擊風(fēng)險(xiǎn)和影響都會(huì)將更大。同樣，微服務(wù)之間調(diào)度邏輯復(fù)雜，性能要求更高，對(duì)訪問(wèn)控制策略要求也越高，容易帶來(lái)越權(quán)風(fēng)險(xiǎn)。同時(shí)，基于社區(qū)化的開(kāi)源組件，也為讓微服務(wù)治理框架本身引入新的漏洞。

3.DevOps提升研發(fā)流程和安全管理的防范難度

容器云往往和DevOps等理念組成云原生架構(gòu)體系，在研發(fā)運(yùn)維方面的安全問(wèn)題上，即DevOps包括代碼前期設(shè)計(jì)層面，流程、管理層面，以及工具層面。但DevOps在顯著提升云上效能的同時(shí)，也帶來(lái)了一些復(fù)雜的安全問(wèn)題，傳統(tǒng)的安全防護(hù)理念（指的是非容器化的安全產(chǎn)品和服務(wù)），很難覆蓋DevOps下容器云的安全需求，為了保障容器云安全需要更深刻理解云原生架構(gòu)，以提供更具針對(duì)性的安全解決方案，去構(gòu)建更完整的防護(hù)體系。

二.建設(shè)思路

目前業(yè)內(nèi)尚未出現(xiàn)可以遵循的安全合規(guī)標(biāo)準(zhǔn)，在新的面向云原生（容器）的合規(guī)性要求出臺(tái)前，可考慮在當(dāng)前安全合規(guī)性底線的基礎(chǔ)上，有針對(duì)性的落實(shí)緩解措施，可以遵循“從無(wú)到有”向“從有到優(yōu)”演進(jìn)的建設(shè)思路。

1.復(fù)用現(xiàn)有安全管控措施

容器應(yīng)用的整個(gè)生命周期主要由四個(gè)階段組成：開(kāi)發(fā)、分發(fā)、部署、和運(yùn)行，當(dāng)前企業(yè)內(nèi)已實(shí)施建設(shè)的安全措施，基本屬于“運(yùn)行”階段，可考慮從復(fù)用現(xiàn)有安全建設(shè)成果開(kāi)始，主要從以下維度開(kāi)展：

●容器應(yīng)用的網(wǎng)絡(luò)邊界管控、容器資源配額

●容器云平臺(tái)審計(jì)日志分析、控制平面的身份認(rèn)證和權(quán)限

●主機(jī)操作系統(tǒng)漏洞掃描和安全界限管理

●應(yīng)用數(shù)據(jù)的存儲(chǔ)安全

●完善安全事件持續(xù)響應(yīng)機(jī)制等

●后續(xù)可基于此繼續(xù)完善容器緊相關(guān)的安全措施：

●CVE漏洞版本管理（平臺(tái)組件、開(kāi)源組件）

●CIS Benchmark基線合規(guī)檢測(cè)（運(yùn)行時(shí)容器、k8s、主機(jī)）

2.建設(shè)預(yù)防性的安全左移

容器應(yīng)用的生命周期的四階段中，每個(gè)階段都會(huì)放大了前一個(gè)階段的安全威脅，體現(xiàn)了安全左移的必要性，做到上線即安全。

主要包含以下階段：

●開(kāi)發(fā)編譯中的安全檢查：靜態(tài)代碼掃描、動(dòng)態(tài)威脅分析、依賴(lài)安全分析、功能單元測(cè)試、秘鑰管理；

●分發(fā)階段的鏡像制品的掃描：鏡像漏洞掃描、可信基礎(chǔ)鏡像等；

●部署物料（yaml）的安全基線檢查：禁止特權(quán)用戶(hù)、秘鑰憑證管理等。

安全本身不是臨時(shí)抱佛腳，就能求得安全的，需要在日常運(yùn)營(yíng)操作中，建立全流程信息化的臺(tái)賬，從而系統(tǒng)化的梳理、規(guī)范、加固業(yè)務(wù)路徑上的關(guān)鍵點(diǎn)。容器云安全更是跨多專(zhuān)業(yè)的實(shí)踐領(lǐng)域，幾乎所有的Day1和Day2操作都會(huì)與安全域重提，涉及到從身份認(rèn)證到數(shù)據(jù)存儲(chǔ)方面。常見(jiàn)的安全實(shí)施往往會(huì)阻礙了容器和微服務(wù)架構(gòu)的迭代速度和敏捷性，因此需要安全領(lǐng)導(dǎo)層實(shí)施更緊密的雙向理解和集成，整個(gè)組織在容器應(yīng)用的開(kāi)發(fā)交付生命周期中采用安全的云原生模式和架構(gòu)，最主要的是實(shí)現(xiàn)安全架構(gòu)和組織目標(biāo)的協(xié)同作用，建立持續(xù)的檢測(cè)-響應(yīng)-加固的機(jī)制。

3.零信任微隔離

由于容器業(yè)務(wù)的敏捷性要求和動(dòng)態(tài)性編排（部署），對(duì)傳統(tǒng)基于邊界的安全管控帶來(lái)了挑戰(zhàn)。目前容器云領(lǐng)域大都選擇建設(shè)基于零信任理念的微隔離方案，零信任安全模型的主要概念是“從不信任，總是驗(yàn)證”，即不應(yīng)默認(rèn)信任設(shè)備，即使設(shè)備已經(jīng)連接到經(jīng)許可的網(wǎng)絡(luò)（例如企業(yè)局域網(wǎng)）并且之前已通過(guò)驗(yàn)證?；诖说臑楦綦x方案可以主動(dòng)隔離，自適應(yīng)容器多變的環(huán)境。通過(guò)對(duì)訪問(wèn)關(guān)系的梳理和學(xué)習(xí)，提供自適應(yīng)、自遷移、自維護(hù)的網(wǎng)絡(luò)隔離策略，也稱(chēng)為“聲明式”的網(wǎng)絡(luò)策略，從而快速、安全地落地容器微隔離能力。

另外零信任同樣可以加強(qiáng)容器云的統(tǒng)一訪問(wèn)管控，大量分散用戶(hù)訪問(wèn)云上與數(shù)據(jù)中心的業(yè)務(wù)時(shí)，需具備統(tǒng)一權(quán)限控制策略。零信任以身份而非網(wǎng)絡(luò)為中心，一方面，通過(guò)強(qiáng)身份驗(yàn)證與授權(quán)對(duì)所有訪問(wèn)主體進(jìn)行管控，在建立信任前，不進(jìn)行任何數(shù)據(jù)傳輸操作；另一方面，通過(guò)統(tǒng)一接入、統(tǒng)一訪問(wèn)控制和統(tǒng)一資源納管體系，為用戶(hù)提供一致的訪問(wèn)體驗(yàn)，保護(hù)分布式的關(guān)鍵數(shù)據(jù)和業(yè)務(wù)，讓企業(yè)充分體驗(yàn)容器云優(yōu)勢(shì)的同時(shí)免去安全顧慮。

4.總結(jié)

總體上容器云安全建設(shè)需要注意以下幾點(diǎn)：

1、復(fù)用現(xiàn)有安全建設(shè)成果，結(jié)合實(shí)際建立基線及準(zhǔn)入機(jī)制；

2、全面的考慮容器云安全整體架構(gòu)；

3、根據(jù)容器云平臺(tái)和應(yīng)用上云的建設(shè)節(jié)奏逐步完善；

4、貼合云原生技術(shù)演進(jìn)方向，防止建設(shè)完不能用或者沒(méi)有用；

5、貼合容器云應(yīng)用的特點(diǎn)，使用符合云原生特點(diǎn)的解決方案。

近期聯(lián)合業(yè)內(nèi)也推出了云原生安全成熟度評(píng)估，主要融合了零信任、安全左移、持續(xù)監(jiān)測(cè)與響應(yīng)以及可觀測(cè)四大理念，涵蓋了基礎(chǔ)設(shè)施安全、云原生基礎(chǔ)架構(gòu)安全、云原生應(yīng)用安全、云原生研發(fā)運(yùn)營(yíng)安全、云原生安全運(yùn)維5個(gè)維度、15個(gè)子維度、46個(gè)實(shí)踐項(xiàng)、356個(gè)細(xì)分能力要求，全場(chǎng)景多維度檢驗(yàn)云原生平臺(tái)架構(gòu)的安全防護(hù)能力。企業(yè)可快速對(duì)照、定位安全能力水平，診斷自身問(wèn)題，查漏補(bǔ)缺，根據(jù)業(yè)務(wù)需求結(jié)合模型高階能力定制安全架構(gòu)演進(jìn)方向。

三.容器云安全未來(lái)發(fā)展的思路和方向

隨著容器云的持續(xù)下沉普及，傳統(tǒng)的安全建設(shè)愈發(fā)感受到了瓶頸，主要涉及自動(dòng)化程度不夠、管控粒度待細(xì)化、安全賦能待加強(qiáng)。因此推斷未來(lái)會(huì)主要呈現(xiàn)以下發(fā)展方向：

1、安全技術(shù)的主導(dǎo)力量從單邊走向多元。云服務(wù)商與安全廠商勢(shì)必將加強(qiáng)深度合作，結(jié)合雙方在技術(shù)研究、人才儲(chǔ)備、產(chǎn)品應(yīng)用等方面的積累和經(jīng)驗(yàn)；在云原生安全的不同賽道將衍生出更加專(zhuān)注于細(xì)分領(lǐng)域的安全服務(wù)商，進(jìn)一步豐富和完善云原生安全生態(tài)。

2、安全理念以人為中心轉(zhuǎn)向以服務(wù)為中心。傳統(tǒng)安全側(cè)重以人為主的防護(hù)策略，已經(jīng)不能滿足云原生實(shí)例頻繁啟停的生命周期變化以及海量的東西向流量交互；以服務(wù)為中心構(gòu)建的容器安全防護(hù)措施，持續(xù)監(jiān)控響應(yīng)模型和可視化平臺(tái)，將成為云原生安全防護(hù)的主流方案。

3、安全產(chǎn)品形態(tài)從粗暴上云轉(zhuǎn)向與平臺(tái)/應(yīng)用深度融合。云原生安全將與云原生平臺(tái)，應(yīng)用深度融合，提供新型云原生信息基礎(chǔ)設(shè)施的防護(hù)、檢測(cè)和響應(yīng)能力；并將云原生技術(shù)賦能于這些安全產(chǎn)品，應(yīng)用和解決方案，實(shí)現(xiàn)進(jìn)程級(jí)防護(hù)能力，微隔離訪問(wèn)控制，全流程實(shí)時(shí)監(jiān)控響應(yīng)，實(shí)現(xiàn)安全方案的內(nèi)生配置和深度融合。

4、安全落地方案走向輕量化、敏捷化、精細(xì)化。隨著容器部署的環(huán)節(jié)越來(lái)越復(fù)雜，運(yùn)行實(shí)例生命周期越來(lái)越短，要求安全方案的反應(yīng)必須迅速敏捷，及時(shí)發(fā)現(xiàn)容器啟動(dòng)，密切跟蹤容器行為，并在發(fā)現(xiàn)異常時(shí)迅速反應(yīng)；云原生提供的服務(wù)粒度越來(lái)越細(xì)，相應(yīng)安全方案的防護(hù)粒度也需越來(lái)越細(xì)，從過(guò)去的容器粒度，到目前的函數(shù)粒度，未來(lái)可能是語(yǔ)句粒度、變量粒度。

顧問(wèn)專(zhuān)家及同行點(diǎn)評(píng)

楊斌-某單位：好有意義的文章，特別在云化的今天，安全是所有運(yùn)維人員都息息相關(guān)受重視的問(wèn)題，作者為大家提供了從思路到實(shí)踐的可行思路，清晰列明各維度子項(xiàng)的安全要求，并對(duì)可能的發(fā)展方向做出研判，為安全運(yùn)維提供了方向指引。

本文執(zhí)筆專(zhuān)家簡(jiǎn)介

許小平容器云安全用戶(hù)委員會(huì)委員

twt社區(qū)云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟——容器云安全方向課題組專(zhuān)家。從事軟件架構(gòu)開(kāi)發(fā)行業(yè)10年，熟悉容器云原生、linux內(nèi)核、區(qū)塊鏈、DevOps等技術(shù)領(lǐng)域，參與代碼貢獻(xiàn)開(kāi)源社區(qū)項(xiàng)目，如docker、kubernetes、grafana、ethereum等，具備參加國(guó)有股份銀行容器云建設(shè)、推廣的經(jīng)驗(yàn)，參編撰寫(xiě)多篇云計(jì)算的行業(yè)標(biāo)準(zhǔn)規(guī)范。

本文顧問(wèn)專(zhuān)家簡(jiǎn)介

羅文江容器云安全用戶(hù)委員會(huì)委員

twt社區(qū)云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟——容器云安全方向課題組組長(zhǎng)，招商銀行云計(jì)算架構(gòu)師，當(dāng)前從事銀行私有云和公有云基礎(chǔ)設(shè)施、以及混合云架構(gòu)的建設(shè)，參與包括容器云等相關(guān)云服務(wù)的規(guī)劃、技術(shù)選型、架構(gòu)設(shè)計(jì)和實(shí)施，以及業(yè)務(wù)連續(xù)性等保障體系的建設(shè)工作。