拥有数百甚至数千成员的社交群在群里是“安静”的,因为群主开启了所有禁止的发言模式,但群里很多人都显示“在线”。群管理员时不时发一些视频图片到群里,内容不堪入目。
各种诈骗层出不穷,招生、快递、刷单、兼职等。许多年轻人被欺骗,因为他们相信互联网可以赚钱。
图片来源:Tik Tok用户:@TOM Cousin,也是哔哩哔哩UP老板,通过IT技术把作弊者送进监狱,呼吁技术大佬!!!
云厂商面试背后的访问欺诈网站数量居高不下。
其实就是诈骗网站的服务采用云厂商的服务。通过这些云厂商注册域名,解析DNS。强调云厂商要主动阻止调查,严格网络审查,不能为违法行为提供服务。
网络安全的未来之家必然是云原生安全。分享好文章如下:
云计算的概念提出已近15年。起初,业界大多将云计算架构分为基础设施即服务、平台即服务和软件即服务。
这种基于虚拟主机的虚拟化技术,从IT架构的角度来看是清晰但有局限性的,因为它并不完全是从应用和业务的角度来看。容器虚拟化技术普及后,从云应用的角度出发,开发出专门为云计算设计的新架构,以容器化、微服务、开发运营一体化、持续交付为主要元素。这种架构是云固有的。
云制作产业联盟在《2020年原创云发展白皮书》中指出,2019年,中国原创云市场规模已达350.2亿元。
云原生市场的快速发展依赖于其相对于传统云技术的重要优势。
从技术特性来看,云原生具有极致的灵活性、服务自治性、故障自愈能力和大规模可复制性;从应用价值来看,云原生异构资源的标准化加速了数字基础设施生产力的解放,提高了业务应用的迭代速度,在使能业务创新方面具有重要价值;从产业效用来看,云原生极大地释放了云的红利,成为驱动业务的重要引擎。
云原生凭借其技术优势和不断拓展的应用场景,逐渐普及到各行各业的敏捷开发和业务创新。可以说“云本来就是吞噬一切的”。
图1:云原住民正在吞噬一切。
一、云原生安全的特点
作为云计算的未来阶段,云原生安全势必成为云安全的主战场。
云原生安全的要求主要体现在两个方面。第一,新组件面临新的风险,比如容器的隔离性不如虚拟机,更容易逃脱攻击,所以需要新的产品和解决方案。第二,传统的云安全需要在新的架构中进行改进,以适应新的架构。
在之前的云计算时代,安全与云平台的结合并不紧密,云安全多以安全资源池的形式实现。云原生安全需要安全能力和云原生平台的紧密结合,真正成为内生安全。这将是云安全的巨大挑战和机遇。
不变的基础设施
“不可变基础设施”是云原生中一个非常重要的概念。可以说是Cloud Native整个架构的核心思想,对智能手机的贡献不亚于app store。容器实例的云更新是替换,不是修改。这种方式保证了多个实例之间的一致性,有利于应用的灵活扩展。为了解决效率问题,cloud native使用编排工具、微服务架构和DevOps来保证替换的效率。相应的,“不可改变的基础设施”也带来了安全防护思路的改变。
1.资产识别的变化
当映像打包时,容器中包含的软件及其操作模式已经确定。镜像是一套完整的软件包。通过识别资产,比如容器中的应用程序,您可以了解整个情况。基于不可变基础设施的概念,软件更新将生成一个全新的映像。
当容器运行时,更应注意容器的动态变化。从集群的角度来看,资产的业务属性应该用标签、名称空等来标识。此外,您需要注意容器的运行历史。不同架构下的资产生命周期是完全不同的。物理机的单位是年,虚拟机的单位是月,容器的单位是分,服务器的单位是秒。不同类型资产的特征如图2所示。
图2:不同类型资产的特征比较
2.保护起点的变化
一般来说,云原生架构中的操作系统应该是基于容器技术的分布式架构解决方案Kubernetes,而不是主机操作系统。在云原生中,没有主机的概念,只有节点的概念。这个节点是一个计算单元,可以是物理机、虚拟机、物联网设备等。因此,可以通过收缩风险面来实现节点这一侧的安全保护。
各大云厂商纷纷推出云原生专用OS,如CoreOS/Container Linux、Photon OS、RancherOS、Red Hat CoreOS、Fedora CoreOS等。这些专门的操作系统极其精简,只有基本的Kubernetes可以运行,其他所有第三方应用都需要在容器中运行。这层楼的安全风险可以降到最低。
通过最少授权原则,每个组织都可以基于标准操作系统制作自己的云原生OS,从而解决OS层的安全问题。在降低风险的同时降低管理成本。
所以云原生安全的起点应该是Kubernetes,从Kubernetes的容器层面向下覆盖节点安全,向上覆盖微服务安全,而不是从底层节点向上。因为节点的向上覆盖能力不足,特别是对于集群、网络策略、微服务等云原生特有组件和功能的保护。
保护边界的变化
云原生的整个架构是由虚拟化技术构建的,虚拟化技术服务于云原生应用,专注于容器。它坚持软件定义一切的理念,与传统架构相比,其边界变得更加模糊。
图3:不同架构的边界特征
如图3所示,在传统的数据中心环境中,系统的边界非常清晰,以网络设备上的边界为主。外部边界由防火墙、路由器等实现。内部边界由虚拟局域网等措施保证。
因此,传统IDC以物理网络设备为边界,区分标志主要使用物理地址和互联网协议地址。在以虚拟机为主的云计算环境中,虚拟机是最小的单位,虚拟化网络的访问控制措施是边界。粒度达到虚拟机级别,通过IP地址或内部域名来标识不同的资产。
但是在云原生环境下,资产视角变成了业务视角和应用视角,主要由名称空分隔,识别资产的方法主要是标签,所以整个边界变得模糊化和精细化。利益是业务和应用的天然区分,但同时安全控制和管理更加复杂,基于IP或域名的安全保护措施必须调整。
此外,云原生控制措施基于白名单机制,包括Kubernetes支持的网络策略。云原生架构的安全性是基于零信任的思想,所以云原生架构是实现生产环境零信任的最佳IT架构。
高度简化和自动化
如上所述,DevOps保证了云原生应用的发布效率,但安全保护往往与效率相冲突。在非全自动化流程中,传统安全措施对效率的影响可能并不明显。例如,业务上线的安全测试和检测一般在质量保证完成后进行,然后在安全测试完成后进行上线确认。这些工作往往通过内部邮件进行传阅,对其时效性有一定的容忍度。
但是在云原生环境中,DevOps是云原生应用的生命周期管理过程,安全控制需要无缝嵌入到这个过程中,也就是目前比较流行的DevSecOps。DevSecOps作为一个大系统,应该包括产品库安全管理、运营安全策略等。除了代码安全测试。因此,有必要在DevOps流程中嵌入云原生安全产品或工具。
一种全新的攻击手段
目前针对云的攻击种类越来越多。无论是两年前爆发的特斯拉集群入侵,还是集装箱官方镜像仓库中毒,还是近几年的攻防演练,都是靠攻击集装箱得分的。这一趋势已经得到证实。
2022年,针对云原生系统的攻击开始增多。由于目前的云原生系统普遍缺乏安全防护手段,攻击成功率极高。云原生安全领域的攻防不对等比其他架构严重得多。针对云的攻击手段是独特的,因此安全组织MITRE的对策和技术知识库推出了专门针对容器的攻击模型。
二。云原生安全的典型应用案例
以小优科技服务的某股份制银行云原生安全应用案例为例,看看云原生安全的典型应用场景。该行全栈云容器平台基于IaaS私有云“两地三中心”架构,部署在北京香山、酒仙桥、武汉三个数据中心。
底层IaaS提供大约2,000个节点,运行超过20,000个容器,并在开发、测试、预生产和生产环境中涉及近50个Kubernetes集群。全栈云容器平台上承载的业务系统有43个,包括手机银行系统、统一支付平台、金融服务开发平台、多方安全计算平台、5G网上超市系统等金融业务系统。
需求描述
银行对云原生安全的要求如下。
1.整个生命周期中的适应性安全
保卫所有涉及容器安全的对象,包括操作系统、Kubernetes平台、容器、容器镜像、镜像仓库、微服务。在每个资产对象的保护方案中,考虑资产清查、加固、检测、响应、预测的安全框架,形成安全运行的闭环。
2.智能监控
基于动态学习业务系统流程和网络流量的方法,利用机器学习技术构建安全基线模型,实现风险识别和风险态势感知。配合传统的基于规则的分析识别技术和机器学习技术,全面发现安全漏洞和风险。
3.安全内部化
全栈云容器平台不仅提供基础运行环境,还直接集成安全能力。在创建Kubernetes集群时,防御容器以Daemonset的形式同步创建,每个集群节点运行一个防御容器,提供检测和保护功能。当集群扩展或收缩时,防御容器可以随节点数量自动调整,降低安全运维成本。
4.流程敏捷性
基于安全向左移动的思想,实现了DevSecOps。也就是说,在软件开发阶段,安全检查会同步介入。通过支持软件全生命周期多个卡点,尽早暴露风险,降低安全运维成本。安全点包括文件扫描、镜像安全扫描、镜像构建入库、镜像操作拦截等。安全向左移动可以尽早发现问题,有助于降低维修成本。
5.零信任
根据零信任、持续信任评估和动态访问控制的思想。零信任的技术路线之一是微隔离。在集装箱网络中,需要微隔离技术来降低风险。
解决办法
根据银行系统的特点和需求,设计了以下云原生安全架构。
图4;云原生安全系统架构
1.资产中心
资产中心自动收集和更新与容器相关的信息,如图像、仓库、容器、集群节点、微服务、Kubernetes配置信息等。支持各项资产数据的分层聚合展示,实现云原生资产的全面可视化,帮助用户更直观地了解云原生资产的现状,消除安全与运维之间的信息壁垒。
2.漏洞管理
从漏洞的角度梳理整个风险,形成漏洞发现、漏洞验证、漏洞修复的闭环。找到漏洞,扫描业务容器的映像和集群,获取当前漏洞列表。验证漏洞,验证漏洞以保证扫描结果的正确性。分类:根据漏洞的严重程度和相关资产的重要性对漏洞进行分类,以便优先进行修复工作。验证,修复漏洞后,重新扫描审计资产,以确认问题已得到缓解。
3.符合性审计
在业务系统上线前,检查业务系统所在的容器、集群、节点的合规性,防止不安全配置导致容器逃逸或集群入侵。在制定规范需求时,全栈云原生安全防护平台基于CIS合规性进行切割定制,并提供可视化基线检测结果和修复建议,协助用户修复不合规配置。
4.镜像安全性
作为镜像集装箱操作的基础,如果存在安全隐患和风险,将直接影响集装箱环境的安全。面对镜像中可能存在的安全问题,需要自动扫描业务环境的镜像资产,并支持手动扫描识别风险,基于策略屏蔽危险镜像,对可写入镜像源文件的高风险镜像提供修复建议。
云原生安全防护平台支持对容器镜像制作过程、镜像操作、镜像发布进行全方位监控和检测。可以自动从节点、仓库获取图片,从官方漏洞数据库、木马病毒、可疑历史操作、敏感信息泄露、可信图片等扫描图片。
5.集装箱安全
云原生安全防护平台自动学习容器的调用行为,形成容器的运行模型,同时监控容器的调用行为,当模型外的容器调用动作发生时,给出实时警告或阻止。
容器安全平台支持检测容器中的行为。当一个容器出现跑路、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改名称空等恶意行为时,按照预设策略触发报警或阻止容器运行,隔离发现异常的POD。
6.微服务安全
云原生安全防护平台提供对微服务和应用的定期检测。支持自动检测,发现Kubernetes集群中的微服务和API,并以可视化的视角展示。通过可以定期手动或自动发现的微服务和API扫描安全风险。
7.集群安全性
Kubernetes的很多核心组件都存在不同程度的漏洞,包括高危甚至超临界漏洞。除了包含漏洞的组件之外,不安全的配置也可能将整个集群置于风险之中。该平台支持对不同类型云团的不同版本进行安全风险扫描,如Kubernetes版本信息泄露、匿名认证、各种可能的攻击等。
8.网络微隔离
容器的微隔离用于防止容器之间的攻击,减少攻击面,自动建立和管理容器级的访问控制策略。基于容器、容器组和业务视角的超细粒度双向网络访问控制,通过双向控制、访问可视化和访问过程的可追溯性,可以监控非法访问的轨迹,跟踪行为访问的全过程。
第三,云原生安全的重点
企业在构建云原生安全体系时,需要使用专业的云原生安全产品,包括持续的云原生安全运营。因此,企业在云原生安全建设中要注意以下三点。
防御能力的有效性
容器运行时安全性应该能够处理未知威胁和已知威胁。从整体上统一MITRE的ATTCK框架,增强安全事件分析能力,通过持续运行优化配置,减少误报和漏报。随着风险准确性的提高
安全左移
在软件生命周期中,修复问题的成本越高,修复问题的成本越低。左移是把更多的安全放在开发阶段,包括安全需求分析、安全设计、安全编码、供应链安全、图像安全等等。
在云原生环境中,业务需要频繁调整和上线。安全左移的思想不仅可以使DevOps团队尽早发现安全风险,还可以减少安全投入,提高整体安全水平,保证安全威胁的及时解决。Ops是云原生的重要组成部分,所以DevSecOps也是云原生安全的重要组成部分。
工具链的集成
Gartner 2021技术成熟度曲线增加了云原生应用保护平台的类别,该平台包含一组集成的安全和合规功能,可在开发和生产过程中保护云原生应用。一些企业使用10种或更多不同的安全工具来手动将DevSecOps缝合在一起,并且每个工具都有自己的责任和应用程序风险视图。
在开发阶段,静态应用安全测试、API安全测试、动态应用安全测试、基础设施(静态代码分析)和威胁建模是保护云原生应用最常用的五种工具。
在生产运营阶段,WEB应用防火墙、WEB应用和API防护、应用安全监控、云工作防护平台和云安全态势管理是保护云原生应用最常用的五大工具。
如果保护云原生应用需要使用多个厂商的多种工具,显然会降低开发和运营的效率,导致风险的分散可见性。
CNAPP产品允许企业使用单一集成产品来保护云原生应用的整个生命周期。
CNAPP重构了云原生应用安全防护的思想和方法。企业不应该把开发和运营看作两个独立的部分,而应该分别使用不同的工具。他们应该将安全性和合规性视为跨越开发、运营和维护的连续统一体,并使用集成的安全工具。企业安全团队和DevSecOps架构师可以采用集成的方法来理解和降低应用程序风险。
通过在整个开发生命周期中综合考虑漏洞及其运行环境,可以发现更多的风险,使开发团队可以专注于应用程序中风险最大的部分。
第四,总结
从基础设施的角度来看,云原生安全的发展趋势可以分为几个步骤:首先部署容器化,然后是容器微服务,然后是服务网格,最后是无服务器。相应的安全能力建设从容器安全开始,然后关注微服务应用和数据安全,以及与ServiceMesh相匹配的安全能力建设。
从软件生命周期来看,云原生安全建设将更加注重DevOps开发过程中同步的安全需求设计、安全开发、安全测试、安全发布和安全运维,形成整体的DevSecOps解决方案。
随着云原生技术的普及,云原生安全将取代现有的云安全,所以未来全职讨论云安全可能指的是云原生安全。
文末福利
