云原生安全VS传统安全 六大全新挑战

近两年来,我们常常听见“云原生”这个词出现在各大媒体平台。谷歌、Red Hat、微软、亚马逊、阿里巴巴、华为等超过300家国内外知名企业也纷纷加入CNCF(云原生计算基金会)。在云原生技术发展得如火如荼的同时,另一边云原生技术本身却不被大众所了解,而“云原生安全”对大家来说更是个陌生的词汇。所以,云原生技术到底是什么?云原生安全与传统安全又有何区别?今天,我们一起来详细了解一下云原生安全与传统安全。

云原生技术到底是什么

简单来说, “云原生” 可以概括为:充分利用原生云能力(自动扩展、无中断部署、自动化管理、弹性等)来进行应用设计、部署和智能化运维的方法。根据CNCF官网上对云原生的定义,云原生技术主要指以容器、持续交付、DevOps以及微服务为代表的技术体系,2018年,又加入Service Mesh(服务网络)和声明API。

图片4.jpg

云原生技术的出现,是为了让当前基于容器的大规模分布式系统管理拥有更高的自动化、更低的成本与更低的复杂性,使得互联网系统相比以前更容易管理、容错性更好、更便于可视化。

云原生安全有何不同

那么,云原生安全相比传统安全又有何不同呢?

其实,云原生安全并不独特,传统环境下的安全问题在云环境下仍然存在,比如DOS攻击、内部越权、数据泄露、数据篡改、漏洞攻击等,但由于云原生架构的多租户、虚拟化、快速弹性伸缩等特点,对传统安全的某些层面提出了新的挑战,如果要用一句话总结传统安全与云原生安全的不同,那可以概括为:传统安全更重视边界防护,而云原生安全更重视持续安全。

以下,我们就从六个风险点,为大家介绍云原生环境下的一些典型安全问题。

1.   菜里下毒—镜像安全很重要

被大家所熟知的,Docker官方提供了docker hub可以让用户自由上传创建的镜像,以便其他用户下载,用以快速搭建环境。在提供便利的同时,也带来了新的安全风险,如:下载的镜像是否被恶意植入后门?镜像所搭建的环境是否本身就包含漏洞?

此外,快速迭代的云原生应用加大了引入漏洞/bug,病毒和不安全API,secrets等的机会,所以如何用内生在CI流程当中的镜像安全扫描和加固方案以及安全左移的理念来持续发现和减少风险至关重要。

据统计,在对Docker Hub上公开热门镜像中的前十页镜像扫描发现,在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多我们经常使用的镜像都包含在其中,如:Httpd、Nginx、Mysql等等。由此可见,镜像安全,是云原生安全中不可忽视的一环。

2.   芒刺在背—运行时安全需注意

微服务架构作为云原生技术的重要组成部分,其核心思路在于考虑围绕着业务领域组件来创建应用,简单来说就是为每个业务创建单独的容器环境,这些应用可独立地进行开发、管理和加速,互不干扰。

微服务架构依赖于容器技术,而其分散的特性也为管理引入了复杂度,于是出现了k8s来对各个分散的容器进行统一编排管理,这对业务来说,无疑是个好消息。但同时Pod, 容器,deamon等复杂动态的资源和k8s对集群资源的动态调度,也给运行时安全检测和防护引入了前所未有的难题。

众所周知,逃逸漏洞是云环境下一种常见的漏洞,黑客可以利用一些漏洞或管理人员的配置问题,从容器环境中跳出而获得宿主机权限。因此,一旦单个容器环境存在逃逸漏洞,可能就会导致整个集群沦陷。

例如常见的利用特权容器、runC等漏洞实现逃逸,可以说,微服务架构下这种统一管理模式,是悬在众多云用户头上的达摩克里斯之剑,而针对容器运行时安全的防护,值得所有人提高警惕。

3.   凿壁偷光—你的隔离还不够结实

docker以其轻量为大家所喜爱,通过docker我们可以很方便快捷地建一个独立的运行环境。但同样的,方便的背后,潜在着安全风险。

我们以知名的脏牛漏洞(CVE-2016-5195)为例:

图片5.jpg

攻击者可以直接突破隔离进行提权,从而获得宿主机的root权限。

那为什么会出现这样的问题呢?如下图所示,我们可以了解到,docker的隔离实际上只做到了进程间与文件的隔离,依赖于linux内核的namespace与cgroup技术,相比于基于OS的传统虚拟化方式,容器的资源和权限隔离不够彻底,这也就为针对系统的提权、文件系统的攻击等方式创造了条件。

图片6.jpg

4.   天机泄露—数据管理之殇

云环境因其特殊性,通常多个用户共享云上存储,这也导致了单个用户的应用存在问题就有可能导致其他客户的数据信息泄露,而云计算本身依托于海量数据,因此数据泄露的风险远大于传统环境。

通过租用一些公有云平台我们可以知道,accesskey是实现连接云平台的重要身份凭证,而accesskey的管理也是个重要的问题,我们在渗透过程中经常会在一些debug信息以及某些备份信息中发现泄漏的acccesskey,图为阿里云accesskey的利用工具,攻击者可以直接通过accesskey实现数据读取、命令执行等操作。

图片7.jpg

5.   一发入魂—东西向安全困惑

与传统内网安全不同的是,微服务架构因其复杂的内部通信链路(包括进程和pod,容器和容器,pod和pod之间的通信等等)及不可见性,针对东西向流量,传统的基于简单ip维度及人工方式配置的ACL流量管控模式已经不再是万能的解药,网络威胁一旦进入云平台内部,便可以肆意蔓延。

以CVE-2019-3462APT远程代码执行漏洞为例,攻击者一旦进入网络环境中,便可以利用中间人攻击或者一个恶意的下载镜像来触发该漏洞,导致远程代码执行,进而进行横向攻击。

图片8.jpg

而很尴尬的现状是安全团队不能再像传统 IT 架构一样直接将安全产品、方案部署在网络边界、业务边界阻断各种威胁/风险事件,因此我们需要一种更加适用于云原生环境的更细粒度的安全隔离机制。

6.   病入膏肓—头痛的资产梳理与威胁感知

资产管理,一直是让IT部门一个比较头疼的问题,频繁的服务器变动,往往让运维人员疲于奔命,大量的公司,还在用着excel来记录公司的IT资产情况。

图片9.jpg

而微服务架构的出现,对于资产管理来说更是一场巨大的灾难,随时可能发生的容器以及云原生架构下的各个层次资源(服务,pod,容器等)的添加、删除、调度,让管理者很难对资产进行及时的盘点更新,也存在极大的可能遗忘一些已经不被使用的容器。随着时间的推移,这些容器可能出现一些新的安全威胁,这就给黑客带来了可趁之机,在用户毫无感知的情况下,整个集群就已沦为黑客的肉鸡,而等到用户真的发现问题,损失已铸成,想要弥补也为时已晚。

探真云原生安全解决方案

那么,如何针对以上有别于传统架构下的安全风险挑战,打造更适合于云原生环境下的防御体系呢?探真科技根据当前云原生环境下所可能遇到的各个风险点,以及各种场景的适配情况,给出了解决方案:

图片10.jpg

1.镜像扫描

针对当前公有云、私有云存在的镜像安全问题,探真科技镜像安全扫描方案可与客户的CICD流程深度融合,借助35w+的安全规则库,检测出相关镜像的CVE漏洞、脆弱Package、敏感信息、Malware等安全风险。

当系统完成镜像文件扫描程序后,用户可以查看漏洞严重程度、CVSS分数、目前是否有提供维修更新镜像等信息。通过内建的过滤机制,用户可以根据事件严重性,决定镜像文件更新操作的排期,从而确保使用者上传、部署于Kubernetes环境的镜像都是来自可信来源、未经手动干预后的镜像。

2.微隔离

微隔离(Micro-Segmentation)是一种专门针对虚拟化平台的隔离技术,有别于传统防火墙的边界流量隔离,微隔离的核心能力便是针对东西向流量的隔离,拥有更细粒度的隔离效果。

探真微隔离方案通过可视化展现让安全运维与管理人员更加了解内部网络信息流动的情况,能够按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组,同时由策略控制中心通过自学习模式,自适应学习出针对每个应用服务之间最适合的隔离策略,做到更加精准的东西向流量访问权限控制,减少横向移动攻击的可能性。

3.安全合规检查

针对国家等保2.0提出的安全合规要求,探真科技合规侦测策略从身份鉴别、访问控制、安全审计、入侵防御、恶意代码防护、资源控制六大方面进行了完整的覆盖,同时结合CIS docker安全基线、kubernetes安全基线、探真科技自定义的安全策略等,及时发现云环境下存在的安全配置问题。

4.特权账号管理

针对特权账号管理问题,探真动态鉴权能够适配云原生环境(如docker、k8s、openshift等),集成进入CICD流程,去除容器内密码、秘钥、证书等登录凭证。探真动态鉴权还能够替代云服务商的KMS,实现企业跨云、跨中心统一特权管理,完美适配云原生环境下各种复杂账号管控场景。

5.容器运行时安全防护

探真科技根据云环境下的漏洞攻防场景,提出了独家的AI免疫防御技术,通过深度监测系统底层调用,借用无监督学习,为每个应用建立了单独的安全调用基线,并配合强大的攻击检测引擎,可及时发现系统中存在的各种威胁,针对系统提权、虚拟机逃逸、漏洞攻击、挖矿程序、非正常扫描行为等都具备极强的检测与防御能力。

6.资产自动发现与威胁态势感知

探真科技威胁感知支持自动化资产发现,以可视化效果呈现给客户当前的所有资产所处的位置、状态以及所面临的风险,同时接入镜像安全、隔离安全、运行时安全、账号安全等多种数据,根据存在风险点匹配云上容器ATT&CK矩阵下的近300条规则侦测入侵行为事件,给予用户一个完整的安全感知视角,真正做到了防患于未然。

图片11.jpg

云原生安全未来展望

根据IDC在2020年5月发布的《2020年中国云计算市场十大预测》指出,到2022年,60%的中国500强企业将投资于云原生应用和平台的自动化、编排和开发生命周期管理。

同年10月,腾讯云安全发布了《2021云安全九大趋势》,涵盖了云原生安全,零信任及身份认证,数据安全及合规,软硬件供应链安全等几大行业广泛关注的领域,其中,云原生安全成为高频词。

可以预见,在产业快速上云的当下及未来,云原生安全,也将扮演更加重要的角色。云原生安全可以说是安全的未来主要方向。微信搜索“探真科技“获取东西向攻击实例视频,百度搜索“探真科技”移步官网解锁更多相关知识。