隨著數字經濟時代到來,云計算、大數據、物聯網等新興技術在關鍵信息基礎設施領域深度應用,數字技術已經成為企業轉型和發展的關鍵要素,而云是企業數字化轉型的基礎支柱,也是企業的首要技術重點。我國在十四五規劃中,將云計算作為數字經濟重點產品之首,要求加快數字化發展,建設數字中國,實施“上云用數賦智”行動。在數字化轉型不斷加深的大背景下,越來越多的關鍵信息基礎設施正在將數據和應用程序遷移到云中。同時,新基建也推動了大量云化基礎設施采用了云原生的技術路線。如圖1所示,關鍵信息基礎設施在經歷信息安全時代后,進入數字網絡“云安全”時代。

圖1 關鍵信息基礎設施網絡安全發展

隨著關鍵信息基礎設施上云步伐加速,云上安全問題也更加廣泛和突出。調研顯示,云計算所面臨的挑戰中,安全問題排在首位。

圖2 云計算安全問題突出

關鍵信息基礎設施云安全建設重點

滿足監管合規要求

隨著《網絡安全法》、《數據安全法》、《網絡安全審查辦法》和《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的頒布,關鍵信息基礎設施云上安全得到空前重視。隨著《條例》的實施,現有承載著能源、交通、水利、金融、公共服務、電子政務等重要行業應用的云計算服務平臺,將越來越多地納入到關基安全管控范疇當中,云服務提供者及其客戶將面臨常態化的合規監管約束。根據《條例》第十二條要求,“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用”,實現“安全三同步”建設,同時具備安全職責明晰、制度完善、落實有力的安全運營管理機制,并將云安全能力建設融合到DevSecOps研發運營一體化工作中,實現敏捷開發。同時參照《信息安全技術 關鍵信息基礎設施安全保護要求》等標準,關鍵信息基礎設施安全保護制度應建立在網絡安全等級保護體系基礎上,著眼分析識別、檢測評估、監測預警、事件處置、主動防御等重點活動的建設,圍繞關鍵信息基礎設施網絡安全風險識別到事件處置進行閉環管理。依據相關政策標準要求,梳理關鍵信息基礎設施安全保護框架,如圖3所示。

圖3 關鍵信息基礎設施安全保護框架

通過框架內容可以發現,關鍵信息基礎設施網絡安全需要建立起分析識別、檢測評估、監測預警、事件處置、主動防御的立體化安全保護體系,在滿足合規要求的基礎上,打造實戰化防御能力。

  • 分析識別圍繞關鍵信息基礎設施承載的業務,開展業務識別、資產識別、風險識別等活動,為后續環節開展工作打下基礎;
  • 檢測評估對安全防護環節的安全措施有效性進行驗證,定期開展相關核查活動;
  • 監測預警制定實施網絡安全監測預警制度,及時對安全事件做出響應;
  • 事件處置對網絡安全事件進行報告和處置并采取相應的應對措施。
  • 主動防御在減少暴露面的同時,采取誘捕、溯源、干擾和阻斷等措施主動發現網絡攻擊事件;

新的基礎設施需要新的安全防護

隨著越來越多的關鍵信息基礎設施云化,云數據中心數據、算力集中,云上威脅加劇。對組織機構數據和業務影響比較大的威脅,諸如數據勒索、數據丟失、數據泄露等,成為云上安全威脅的關注重點。云計算專屬安全問題主要集中在hypervisor層的安全威脅、虛擬資源的隔離機制變化和虛擬機的安全威脅等方面。根據調查顯示,關基行業最關切的12個云安全風險如圖4所示。針對這些威脅風險,關鍵信息基礎設施企業需要建立新的、有效的安全解決方案。

圖4 12大重點云安全風險

行業需求的不斷變化、業務規模的持續上漲,促使各行業積極尋求變革、擁抱新技術。云原生作為構建云上業務應用的最優模式集合,提供計算、編排、存儲、安全、可觀測等靈活多樣的技術方案,已成為云上業務技術選型的優先項。銀行業從傳統網點模式走向互聯網金融模式,制造業依托工業互聯網走向“智造”,交通業大力推廣“智慧交通”走向真正的互聯互通。云原生在行業轉型升級過程中提供眾多可靈活組合的標準能力,呈現降本增效、彈性伸縮、敏捷迭代、高可用性等多重價值。與此同時,隨著云原生技術的進一步普及,伴隨而來諸多全新的安全性問題,如圖5所示。例如,鏡像風險、微服務風險、基礎設施風險等。因此關鍵信息基礎設施需要新的云安全解決方案。

圖5 新的云原生安全風險

構建先進云安全能力框架

依托《關鍵信息基礎設施安全保護條例》,并參照《信息安全技術 關鍵信息基礎設施安全保護要求》等標準,本著解決關鍵信息基礎設施面臨的新安全風險的目標,需要圍繞關鍵信息基礎設施打造特殊保護、整體防控、動態防護、聯防聯控、主動防御、精準防護、縱深防御的安全體系。

建設思路

不同環境場景下關鍵信息基礎設施所面對的安全威脅呈現動態變化,需要根據關鍵信息基礎設施的業務特點、網絡特征及面臨的安全威脅,構建動態的風險監測和安全防護措施,形成動態的安全防護機制。所以關鍵信息基礎設施云安全建設思路在遵循合規要求、全棧覆蓋、自適應安全、可視化運營四大準則的基礎上,通過完整識別出云平臺信息化各個層次,將安全能力與云基礎設施、虛擬機、容器、云服務、云應用、云數據相結合,實現安全能力對云平臺的深度結合、全面覆蓋,做到安全自適應,如圖6所示。

圖6 云安全解決方案建設思路

整體能力框架

云計算平臺從基礎設施層面的計算環境到云端應用的開發部署模式一直在快速發展演進。以云原生技術為代表的新技術的應用,不斷引入各類新型安全風險,“安全邊界”的定義方式隨著系統技術架構的演進“悄悄”發生著變化。為了打造內、外部綜合防護的安全能力,實現關鍵信息基礎設施云安全的動態防護,強化覆蓋整個業務鏈、供應鏈的應急響應能力,關鍵信息基礎設施云安全整體能力框架,應在打造云安全運營體系的基礎上,圍繞云安全管理體系、技術體系、合規監管體系,提供全棧式安全產品與服務,滿足重點行業、關鍵領域的業務安全需求,整體能力框架如圖7所示。

圖7 云安全整體能力框架


關鍵信息基礎設施云安全解決方案要求

關鍵信息基礎設施網絡安全事關國家安全、社會安全,亟待構建與數字化業務融合的新型網絡安全體系。云計算模糊了傳統的安全邊界,安全建設前移將成為趨勢,安全攻防的復雜程度也大大增加。伴隨著云原生技術的應用,除了增加的復雜性之外,云原生化工作負載在整個生命周期中出現了許多新的威脅向量,如容器鏡像漏洞、嵌入的密鑰、配置錯誤或公開的服務、易受攻擊的容器運行時等。專注于保護容器化工作負載和K8s的云工作負載保護平臺(CWPP),成為保護組織云原生安全的關鍵。

然而每個組織都有自己的要求和優先級,為了使組織能夠選擇適合自己的解決方案,下面提供了一個評估以容器為中心的CWPP的框架標準,整體包括14大類別,每個類別包含必備項和首選項。必備項是指提供云原生全生命周期保護必須具備的能力。首選項是指用于區分最佳解決方案和普通解決方案的標準依據。

1、鏡像掃描

為了保護容器安全,軟件成分分析(SCA)工具需要解析容器鏡像格式,并分析正在運行的工作負載,以便準確地掃描和報告漏洞。

(1)必備項

  • 推送鏡像時在鏡像倉庫中掃描:當鏡像推送或存儲到鏡像倉庫時,CWPP可以掃描容器鏡像以識別已知的漏洞。
  • 拉取或編排中的掃描CWPP作為容器交付或容器編排的一部分進行掃描,以識別已知的漏洞。
  • 連續掃描運行的容器掃描實例化的容器或運行的工作負載,以識別新報告的或環境漂移導致的已知漏洞。
  • 顯示容器鏡像和正在運行的容器中的特定漏洞如果發現新的CVE,CWPP會顯示該漏洞存在于哪些鏡像或正在運行的容器和相關鏡像層中。

(2)首選項

  • 支持獲取第一手漏洞研究和威脅情報CWPP可以通過基于內部研究的額外漏洞信息來增強NVD和CVE報告。
  • 分析鏡像元數據:可以掃描標簽、鏡像配置、相關的文檔文件、針對已知問題或敏感數據類型的環境變量和其他元數據。
  • 包括一個可以觸發鏡像掃描的API或Webhook:提供一個WebAPI或Webhook,可以根據需要調用鏡像掃描。
  • 包括一個API或webhook來觸發鏡像掃描并返回掃描結果,作為在CI/CD內的構建和部署的一部分:提供一個web API或webhook來調用鏡像掃描,作為連續集成/連續交付(CI/CD)的一部分并返回可以作為構建管道的一部分進行編程解析的結果。
  • 識別鏡像層次結構和所屬方:CWPP可以區分鏡像層層次結構和傳遞依賴中的漏洞,它還可以跟蹤基本鏡像和鏡像層的來源。
  • 識別存在漏洞的鏡像層:CWPP需要詳細說明文檔文件中引入漏洞的相應層。
  • 通過相應的策略引擎對容器構建管道進行控制:CWPP具有預定義的規則和相應的策略引擎,用于控制容器構建和交付。
  • 通過相應的策略引擎對容器實例化進行控制:CWPP提供預定義規則和相應的策略引擎阻止易受攻擊的容器鏡像實例化為容器實例的能力。
  • 突出顯示具有已知漏洞的組件:CWPP顯示的容器鏡像和運行的容器,可以通過更新的依賴項、修補程序或文檔化的代碼進行修復。
  • 突出顯示具有可用修復程序的已知漏洞的組件:CWPP可以通過更新的容器鏡像和運行時容器補丁或文檔化的代碼修復進行漏洞修復。
  • 突出顯示具有已發布漏洞的組件:CWPP可以顯示容器鏡像和運行時容器當前容易受到的攻擊或基于公共脆弱性評分系統(CVSS)給出的威脅分析指標。
  • 啟用與SaaS斷開連接的本地鏡像分析:CWPP提供了直接在CI/CD管道或容器鏡像倉庫中進行掃描的能力,而無需在數據中心環境或私有云之外共享鏡像內容
  • 提供關于已知漏洞的攻擊向量細節:CWPP公開了關于漏洞如何被潛在利用的信息,這有助于確定優先級。
  • 支持沙箱掃描:CWPP可以在一個孤立的非生產環境中實例化一個容器,并觀察正在運行的容器,從而發現在啟動后和運行期間出現的漏洞。
  • 支持容器鏡像倉庫的預定掃描:可以按照定制的時間計劃掃描容器鏡像倉庫。
  • 掃描有效容器鏡像以確定已知的漏洞:CWPP掃描有效鏡像(即給定容器的所有鏡像層)并報告漏洞。
  • 使用CVE和NVD之外的其他第三方漏洞源:CWPP使用其他漏洞源,如SontatypeOSS索引或VulnDB。
  • 基于鏡像和鏡像倉庫元數據驗證鏡像完整性:CWPP比較鏡像倉庫路徑和鏡像名稱,以識別社工攻擊。
  • 使用哈希驗證鏡像的完整性:CWPP確保運行的容器的哈希與鏡像的哈希匹配,以識別社工攻擊。
  • 使用簽名驗證鏡像完整性:CWPP確保運行的容器的數字簽名與鏡像的數字簽名匹配,以識別社工攻擊。
  • 支持對易受攻擊的鏡像進行虛擬補丁:CWPP以代碼修復或更新的容器鏡像依賴關系的形式,為已知的漏洞提供可支持自定義策略的緩解機制。

2、鏡像倉庫支持

容器鏡像作為典型的DevOps工作流的一部分被創建并存儲在鏡像倉庫中。容器CWPP與給定的容器鏡像倉庫集成的能力,對于確保整個生命周期的容器安全至關重要。

(1)必備項

  • OCI分發規范-符合鏡像倉庫的要求:CWPP集成了OCI分發規范并符合容器鏡像倉庫的文檔要求。

(2)首選項

  • 對Amazon、Azure、Harbor、Jfrog等鏡像倉庫的支持:直接鏡像倉庫集成,以增強CWPP本身的功能。

3、容器運行時保護

容器運行時和容器編排引擎都是生產集群的攻擊向量。CWPP必須能夠連續監控運行時的活動,并在發生異常行為或攻擊時做出反應。

(1)必備項

  • 支持應用程序或進程顯示:可以監控容器工作負載行為和服務通信,并提供一個可視化引擎來幫助理解大規模的容器行為。
  • 支持應用程序或進程警報:當出現偏離自定義的安全策略或容器基線時,可以對系統調用、異常的容器工作負載行為和服務通信發出警報。
  • 支持應用程序的強制執行:當出現偏離容器基線或定制的安全策略時,可以對系統調用、異常的容器工作負載行為和服務通信采取糾正措施。包括阻止正在運行的容器中的特定操作,或使用容器編排引擎終止工作負載。
  • 阻止工作負載啟動:阻止任何違反組織策略的工作負載的容器初始化。
  • 檢查容器漂移:可以檢測運行的容器是否偏離容器鏡像源、支持的IaC或硬性合規標準。
  • 支持容器基線化和流量分析:可以記錄給定容器工作負載的容器行為和服務流量,并通知不符合基線的異常行為。
  • 檢測違法主機隔離策略行為:檢測在沒有適當隔離策略的情況下啟動容器工作負載、與主機系統(如文件系統、命令行)交互或試圖違反容器安全原則。
  • 檢測到持久性存儲的掛載:檢測容器工作負載試圖掛載可能導致安全問題的存儲路徑。
  • 檢測特權容器和具有升級特權能力的容器:檢測容器工作負載在使用特權標志啟動時,是否以root身份主動運行或從用戶模式請求提升特權。
  • 支持基于簽名的惡意軟件或防病毒掃描:掃描運行容器中基于已知簽名的病毒或惡意軟件。

(2)首選項

  • 檢測異常行為:檢測容器出現偏離已建立的(硬性的)基線或IaC定義的異常行為。
  • 基于自定義安全策略檢查容器異常:CWPP將功能擴展到基本的漂移檢測或違反基線的行為之外。此功能由一個策略引擎支持,該策略引擎具有可自定義的細粒度策略,可用于定義和管理容器行為。
  • 日志記錄并控制容器內的交互式用戶會話:當用戶向正在運行的容器發出操作系統命令時,CWPP記錄用戶輸入。
  • 支持基于機器學習或基于行為的惡意軟件或防病毒掃描:通過分析流量、進程行為或其他屬性,在沒有簽名幫助的情況下,掃描正在運行的容器中的病毒或惡意軟件。

4、DevOps工具集成

容器鏡像和相應的IaC的創建通常是通過DevOps支持工具來驅動。DevOps工具通常包括一組基于git的版本控制系統(VCSs)和代碼存儲庫、工件存儲庫、持續集成和持續交付服務、應用程序開發生命周期管理(ADLM)和缺陷跟蹤。

(1)必備項

  • 應用程序開發生命周期管理ADLM和缺陷跟蹤支持:CWPP可以將安全發現(從鏡像掃描或容器安全事件)導出到外部ADLM或缺陷跟蹤系統,這樣就可以使用標準的DevOps工作流來處理問題。

(2)首選項

  • 二進制或工件存儲庫支持:提供webhook或與二進制存儲庫的本地集成,以掃描編譯的工件或推送到存儲庫的依賴項。
  • CI/CD支持:提供一個與CD服務集成的GUI,如CloudBeesJenkins、AWS代碼部署或Azure管道。
  • 基于git的VCS支持:提供webhook或與基于git的VCS的本地集成,以掃描純文本源代碼和將代碼提交到存儲庫中的IaC。

因此,云安全建設已然成為關鍵信息基礎設施數字化轉型升級的“剛性需求”,需要在做好頂層設計的基礎上,選擇適合組織自身需求的安全解決方案,打造主動防御、動態防御、整體防控和精準防護的安全體系,真正將關鍵信息基礎設施云安全工作做實落地,實現關鍵信息基礎設施網絡安全的平戰一體化。

5、安全監控

CWPP包括安全監控功能,并將警報和安全信息傳遞給第三方操作服務,以支持安全操作團隊成功修復安全問題。

(1)必備項

  • 電子郵件警報:CWPP必須提電子郵件、短信的告警功能,以進行基礎級操作告警。
  • 數據導出與SIEM集成:CWPP必須提供數據導出功能,并與SIEM系統集成。
  • Webhook集成:提供通過Webhook與自定義解決方案或處理管道進行集成的能力,以實現可擴展性。

(2)首選項

  • 可操作事件或高風險事件的過濾視圖:能夠使用可定制的標準來過濾和呈現高風險事件和突發事件。
  • 即時通訊告警和聊天系統集成:CWPP應該提供通過即時通訊和聊天通訊系統發送警報的能力。
  • 映射到ATT&CK框架:安全事件應該映射到ATT&CK框架,為告警和報告提供潛在的威脅上下文。

6、漏洞管理

容器CWPP提供了一系列的構建時、交付時和運行時安全功能,從而檢測到容器鏡像、鏡像倉庫、運行容器工作負載、集群的問題。因此,容器CWPP還必須提供漏洞管理能力。

(1)必備項

  • 驗證和確定鏡像掃描結果的優先級:必須包含一個為容器鏡像或鏡像倉庫安全全問題分配責任人和以及補救責任的機制。
  • 驗證基線審計的結果并確定優先級:必須包括一種機制,為工作負載和集群配置中的基線或基線違規的情況分配所有權,例如對CIS基線進行審計。
  • 運行容器中驗證和確定安全風險的優先級:必須包含在實例化容器中檢測到的,或由于新報告的cve或環境漂移導致的工作負載的安全問題分配所有權和補救責任的機制。

(2)首選項

  • 與第三方漏洞管理或ITSM的集成:應支持與第三方治理、風險和合規性(GRC)、IT服務管理(ITSM)或漏洞管理平臺的集成。
  • 用于修復的本地工作流:應該提供一個修復工作流引擎,通過解決方案來跟蹤安全問題。
  • 修復指導:提供關于如何糾正潛在安全問題的指導,例如引用不易受攻擊的依賴關系、更新容器運行時組件或強化集群配置。

7、K8S的集成和功能

K8S是目前大多數組織所選擇的容器編排引擎,它使得企業可以快速采用容器工作負載。

(1)必備項

  • 審計IAM的權限和角色:K8S平臺或云服務商中的身份和訪問管理(IAM)原則對于控制誰擁有只讀訪問權限或管理訪問權限至關重要。CWPP必須能夠識別對K8S資源的過度許可訪問。
  • 審核命名空間:審核K8S集群中定義不當或過度允許的命名空間。
  • 審核配額:對K8S集群中定義不當或過于允許的配額進行審核。
  • 審計資源限制:對K8S集群中定義不當或過度允許的資源限制進行審計。
  • 支持K8S的CIS基線:可以根據K8S的CIS基線來審計K8S環境的配置。
  • 檢測針對kube-apiserver的攻擊kube-apiserver負責控制K8S集群中的大部分內容,包括配置、啟動和終止。容器CWPP必須能夠檢測到針對kube-apiserver的攻擊。
  • 檢測針對etcd的攻擊:etcd 通常用于存儲敏感的信息片段。因此,它成為攻擊者尋求攻擊K8S集群或其他集成系統的主要目標,CWPP必須能夠檢測到針對etcd的攻擊。
  • 檢測對K8S的攻擊:CWPP必須能夠檢測到對K8S的攻擊。
  • 檢測對kube-scheduler的攻擊:kube-scheduler是一個控制平面組件,負責將pod匹配到最佳可用的工作節點。因此,CWPP還必須檢測針對kube-scheduler的攻擊。
  • 檢測對kube-proxy的攻擊:kube-proxy在集群中的每個工作節點上運行。它促進了與K8S集群中的pods的入站網絡通信。因此,CWPP必須能夠檢測針對kube-proxy的攻擊。
  • 檢測針對kube-controller-manager的攻擊:kube-controller-manager是另一個控制平面組件,負責管理集群中的許多默認控制循環進程,因此,CWPP還必須檢測針對kube-controller-manager的攻擊。
  • 與現有K8S準入控制器集成:CWPP與現有的K8S準入控制器集成,用于審計和執行,而不用依賴于集群中的專有代理。
  • 集成K8S審計日志:CWPP接收K8S API審計日志,以檢測有風險或異常的活動,例如在配置圖中存儲憑據或使用節點端口公開服務。
  • 防止針對API服務器的攻擊:當檢測到針對K8S API服務器的攻擊時,CWPP允許自定義響應操作,除了通知或警報。
  • 防止針對etcd的攻擊:當檢測到針對K8S etcd服務的攻擊時,CWPP允許自定義響應操作,除了通知或警報。
  • 防止針對K8S的攻擊:當檢測到工作節點上針對K8S 的攻擊時,CWPP允許自定義響應操作,除了通知或警報。
  • 防止針對kube-scheduler的攻擊:當檢測到針對kube-scheduler的攻擊時,CWPP允許自定義響應操作,除了通知或警報。
  • 防止針對kube-proxy的旁路:當檢測到針對工作節點上的kube代理實例的攻擊時,CWPP允許自定義響應操作,除了通知或警報。
  • 防止針對kube-controller-manager的攻擊:當檢測到針對kube-controller-manager的攻擊時,CWPP允許自定義響應操作,除了通知或警報。

(2)首選項

  • 審計K8S網絡策略:K8S網絡策略使用容器網絡接口(CNI)插件來控制K8S集群中的服務流量。CWPP應該能夠審核定義不正確或過度允許的K8S網絡策略。
  • 審計K8Spod安全策略:K8S以pod安全策略(PSP)的形式為工作負載提供了一種安全機制。CWPP應該能夠審核定義不正確或過度允許的psp。
  • 審核Helm圖表:CWPP代理連接到Helm包管理器,提供了審計Helm圖表的漏洞或錯誤配置的能力。
  • 審計操作員框架包:CWPP代理連接到K8S操作員存儲庫,如OperatorHub.io,提供審計操作員框架包的漏洞或錯誤配置的能力。
  • 在Kubernetes-native格式中定義設置:CWPP策略和配置直接定義為K8S-native YAML,并提供導出到本地格式的能力。
  • 部署自定義準入控制器:CWPP部署自定義資源和自定義準入控制器,用于審計和執行,而不用依賴于集群中的專有代理。
  • 使用K8S元數據映射漏洞和運行時事件:CWPP映射K8S中每個應用程序和命名空間的安全發現,以幫助分類。

8、基礎設施安全

由于應用程序和基礎設施是容器化的,它們也被代碼化,理想情況下是不可變的。因此,可以以編程方式審計容器鏡像、IaC和策略作為代碼(PaC),以確保符合基線、硬性標準或自定義組織標準。

(1)必備項

  • 違反基線或環境漂移的警報:當一個正在運行的容器偏離原始鏡像、部署清單或IaC時,CWPP可以通過電子郵件、短信其他機制發出警報。
  • 對易受攻擊的容器引擎和運行時發出警報:當容器和容器編排引擎、運行時和其他控制平面組件存在已知漏洞時,CWPP可以通過電子郵件、短信其他機制發出警報。
  • 支持Docker的CIS基線:CWPP可以根據Docker的CIS基線來審計容器環境的配置。

(2)首選項

  • 包括一個觸發IaC審計的API:除了定期掃描容器基礎設施和容器啟動以遵守基線之外,CWPP還可以通過API觸發IaC掃描,以支持作為Git提交或CI/CD構建的一部分的掃描。
  • 映射到GDPR:CWPP將安全基線配置映射到通用數據保護法規(GDPR)。
  • 映射到HIPAA:CWPP將安全基線配置映射到HIPAA中。
  • 映射到HITRUST:CWPP將安全的基線配置映射到HITRUST。
  • 映射到NISTSP800-53:CWPP將安全基線配置映射到美國國家標準與技術研究所(NIST)特別出版物(SP)800-53。
  • 映射到NISTSP800-190:CWPP將安全基線配置映射到NISTSP800-190,作為容器安全標準。
  • 映射到NISTSP800-204:CWPP將安全基線配置映射到NISTSP800-204,作為一個微服務體系結構標準。
  • 映射到NISTSP800-204A:CWPP將安全基線配置映射到NISTSP800-204A,作為在服務網格上運行微服務體系結構的標準。
  • 映射到PCIDSS:CWPP將安全基線配置映射到支付卡行業數據安全標準(PCIDSS)。

9、部署模式

CWPP需要以某些方式部署,以便了解容器工作負載和容器化環境。

(1)必備項

  • 非內核代理:CWPP通過與容器引擎的集成而在主機上部署(即,每個主機有一個特權代理或容器)。
  • 非內核用戶模式檢測:CWPP通過用戶模式檢測進行部署(即,每個主機有一個非特權容器或代理)。

(2)首選項

  • Kubernetes Daemon設置:CWPP在每個節點的pod中,為K8S集群中的所有容器提供檢測和執行。
  • 通過HelmHelm圖表部署或 Kubernetes操作員進行部署:操作員使用所提供的腳本和編碼接口來擴展和自定義側板、刪除集、允許控件和其他組件的部署。

10、通用監測

雖然通用監測也是一個非安全主題,但跟蹤、日志記錄、監視和可觀察性機制本質上是容器安全產品的一部分。

(1)首選項

  • 公開Prometheus端點:CWPP公開Prometheus端點,并通過其他非安全指標的發現和收集機制進行查詢,以獲取關于容器配置、性能和可用性的數據。
  • 支持Grafana集成:CWPP與Grafana本地集成,以提供通用的儀表板和指標。

11、基礎設施支持

為了深入了解安全配置并幫助進行保護和修復,CWPP需要與各種容器平臺服務集成。

(1)必備項

  • 支持與OCI兼容的運行時:CWPP提供了與容器、CRI-O、Docker、runC和其他與OCI兼容的運行時的集成,以控制大多數容器平臺的運行時安全性。

12、管理

工作負載保護服務需要具有管理功能。這些功能包括支持自定義和通過API進行訪問的服務。

(1)必備項

  • 支持API的管理(REST或GraphQL),具有完整文檔化的API目錄:API可用于啟用遠程配置,并從其他安全和DevOps工具管理、設置和更改容器平臺上的安全策略。
  • 在CSV中導出原始數據:來自CWPP的原始數據必須以CSV格式提供,以便導入其他安全系統。
  • 導出報告:在GUI中生成的所有安全狀態報告必須是可導出的。
  • 具有容器元數據、安全事件和其他數據的搜索功能:所有的資產、配置和操作數據都必須能夠進行搜索。
  • 支持活動目錄進行身份驗證和授權:CWPP可以從Microsoft活動目錄繼承角色和組分配,并在容器CWPP管理界面中分配權限。
  • 支持LDAP進行身份驗證和授權:可以使用輕量級目錄訪問協議(LDAP)從外部身份提供者繼承角色和組分配,并相應地在容器CWPP管理接口中分配權限。
  • 支持SAML for SSO:使用SAML和兼容的服務,如Auth0、Okta和Ping標識,在容器CWPP管理界面中啟用單點登錄(SSO)。
  • 支持RBAC進行授權:在CWPP管理界面中提供一個RBAC機制,以限制誰可以讀取或修改配置、安全策略、漏洞數據等。
  • 使用統一的、與云無關和與平臺無關的控制界面:具有統一的安全管理界面進行安全管理操作。

(2)首選項

  • 管理CLI:必須提供命令行(CLI)訪問,以支持配置和管理、設置和更改容器平臺上的安全策略。
  • 合規性報告:在默認情況下生成合規性報告,如GDPR、HIPAA、NISTSP800-190 和PCIDSS。
  • 可定制的指標:所提供的任何指標都應該是可定制的,以允許用戶根據需求求進行調整。
  • 針對構建中的容器威脅進行可定制的風險評分:任何構建時風險評分都應該是可定制,以允許根據客戶需求進行調整。
  • 為交付中的容器威脅進行可自定義的風險評分:所提供的任何交付時間風險評分都應該可定制,以允許根據客戶需求進行調整。
  • 在運行時對容器威脅進行可自定義的風險評分:運行時風險評分應該可定制,以允許根據客戶端需求進行調整。
  • 能夠通過API導出原始數據:API訪問原始數據,應該允許導出到第三方供應商的安全解決方案。
  • 持久的自定義搜索:應該存儲自定義搜索,這樣就可以快速復制潛在的大型復雜搜索條件。
  • 關于提高安全性的建議:應提供基于風險的建議,以便用戶能夠快速識別和確定補救活動的優先級。

13、網絡安全

容器的工作負載必須與生產群集中的主機上的其他工作負載進行通信。CWPP通常提供許多網絡安全機制來監控和控制容器級的網絡通信。

(1)必備項

  • 提醒異常通信模式:CWPP檢測和警報異常或未經授權服務間或服務內容器的通信。
  • 跨集群和跨云網絡授權:屬于同一邏輯應用程序的工作負載可以在不同的集群、區域或云中實例化。因此,網絡隔離規則必須同步,確保在工作負載被實例化時都要遵循限制,以保持網絡訪問控制和最小化用戶干預。
  • 在使用靜態策略的容器集群內使用微隔離功能:CWPP提供了一種機制,它可以基于靜態策略來隔離容器流量。
  • 服務流量可視化:為容器級流量(服務間和服務內)、控制平面和數據平面通信以及集群的進入/出口提供一個可視化引擎。

(2)首選項

  • 對暴露的服務進行警報:對服務在容器化環境之外暴露時進行檢測和發出警報,特別是當這種暴露違反了其他容器限制和訪問控制時。
  • TLS證書的審核:審核用于傳輸層安全(TLS)通信的證書,包括密鑰大小、簽名權限、根證書頒發機構、中間證書頒發機構和其他可自定義的參數。
  • 審計TLS配置:審計TLS和相互TLS(mTLS)配置,如密碼套件和協議版本。
  • 捕獲和保留服務通信的能力:CWPP記錄所有容器網絡流量,如源IP地址、目標IP地址、主機名、協議和其他連接數據,以支持數字取證和事件響應。
  • 基于容器第7層的下一代防火墻:CWPP使用預定義的規則,提供一個自定義規則引擎,用于限制應用程序級的容器流量。
  • 使用動態策略在容器集群內的微隔離能力:CWPP提供了一種機制,可以基于異常的容器行為和服務通信動態地隔離容器流量。
  • 強制執行mTLS或基于證書的身份驗證:可以在容器化的環境中強制執行mTLS或強制執行基于證書的身份驗證,以保護服務通信。
  • 能夠從流量可視化視圖和生產流量中生成微隔離規則:CWPP提供了基于實時容器流量和生產服務通信來創建或自定義規則的能力。
  • 與第三方微隔離的集成:CWPP與第三方微隔離產品的集成,而不是在容器CWPP中使用專有的機制或基于代理的方法。
  • 集群之間或非容器化架構之間的微隔離能力:CWPP可以控制進出容器集群的網絡流量,而不是僅僅在容器化環境中。
  • 網絡庫存:CWPP提供了在給定的日期內檢查所有網絡端點、服務、pod和容器以及它們各自的通信的能力。
  • 微隔離規則建模:CWPP可以在生產集群部署之前,對網絡安全規則的創建或修改的影響進行建模。
  • 流量可視化顯示微隔離規則:可視化引擎顯示對于給定的工作負載和容器的入站/出站通信情況,并驗證采用的容器網絡安全策略是否有效。

14、Secrets管理

Secrets管理功能提供了加密安全的存儲機制和API,因此工作負載可以無縫連接并獲取它們需要的Secrets。容器CWPP可以作為其他Secrets管理工具的代理,或者由其他工具履行這個角色.

(1)首選項

  • 對不遵守Secrets調取規則的容器進行審計:CWPP會持續監視工作負載,以確保它們遵守調取Secrets的請求。理想情況下,它還應該終止不符合規則的Secrets調取請求的工作負載。
  • 審計容器鏡像中嵌入的Secrets:CWPP在構建時和交付時審計容器鏡像,以確保它們不包含硬編碼或嵌入的Secrets。
  • 對IaC中嵌入的Secrets進行審計:CWPP在構建時和交付時審計IaC,以確保它不包含硬編碼或嵌入的Secrets。
  • 與 Kubernetes Secrets/etcd集成:CWPP提供了與由etcd支持的原生K8S Secrets機制的簡化集成。

寫在最后

關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。電力、交通、能源、金融等關鍵基礎設施皆與數字化掛鉤,各種關鍵核心資產紛紛上云,虛擬空間與物理世界的邊界逐漸消弭。因此,云安全建設已然成為關鍵信息基礎設施數字化轉型升級的“剛性需求”,需要在做好頂層設計的基礎上,選擇適合組織自身需求的安全解決方案,打造主動防御、動態防御、整體防控和精準防護的安全體系,真正將關鍵信息基礎設施云安全工作做實落地,實現關鍵信息基礎設施網絡安全的平戰一體化。

關鍵信息基礎設施
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接