云原生時代下新安全范式的思考與應對
隨著云原生不斷深入應用,用戶更加聚焦于發揮云計算的效能。以容器、微服務、開發運營一體化(DevOps)為代表的云原生技術蓬勃發展,憑借應用簡單快捷、部署應用輕松自如、運行應用按需伸縮等優點,云原生技術得到迅速推廣,成為業界主流,極大地釋放了云計算紅利。但隨著云原生的廣泛應用,系統架構愈加復雜,資源規模愈加龐大,云計算威脅事件頻發,迫切需要構建有效的云原生安全體系。
一、云原生帶來的安全挑戰
(一)安全機制的顛覆性變化
在云原生時代,傳統物理邊界變得模糊,安全邊界也不再是數據中心邊緣和企業網邊緣的某個硬件盒子。在這種情況下安全問題也發生了本質變化,從 “安全的邊界設置在哪里?”轉變為“哪些用戶能訪問這些業務?特定用戶具有哪些訪問權限?特定用戶為什么配置有這些權限?特定用戶的這些權限需要隨時隨地根據策略進行調整嗎?”。
針對云原生時代以上安全問題的提出,安全的機制也必須進行轉變。首先,從“基于邊界為中心”的部署原則轉變為“基于以數據/業務訪問為中心”的安全部署原則。第二,傳統安全邊界變成了無處不在的邊界,“內部安全”和“邊界安全”的重要性趨于一致。第三,將訪問控制、認證和授權放在應用層實現,而不是在傳統的網絡層實現。
(二)安全需求的顛覆性變化
過去用戶在其數據中心采用機械的、基于已定策略的縱深防御進行層層保護,但是在云原生時代,用戶本身就具有代碼設計和開發能力,主要依靠內部開發的云端服務或定制化軟件來實現業務,在這種情況下,不同的客戶對應不同的安全業務場景,也有不同的安全需求。
云原生時代,需要滿足不同用戶各類典型應用場景的安全需求。例如,金融類用戶非常關注其金融數據的運行是否安全,需要對借貸業務的數據進行全鏈路加密和全過程監控 ; 制造業用戶則關注企業內部信息資產的安全,需要滿足用戶的角色權限控制、證書管理與審計、數據的訪問控制等;云平臺提供商用戶則關注是否能高效管控包括云資源、業務數據等各方的權限,需要進行密鑰管理以避免泄露容器的敏感信息。
(三)防護對象的顛覆性變化
傳統安全防護范疇中的“端點、網絡、邊界”各個層級相對清晰,而云原生時代下這些邊界界限變得非常模糊。為了實現云原生屬性,云應用需要在發布、服務方式、隨需彈性、數據和工作負載管理等多方面重新構建。
其中,工作負載是對運行應用所需要的資源和進程的抽象化定義。從最初的物理服務器,演進為虛擬機形式,再到云服務中容器成為工作負載的主流,目前正在發展的工作負載新形式直接對應用運行時(Run-time)虛擬化,改變了傳統意義上的服務進程監聽運行模式,是更加精細粒度的瞬態工作負載。多種形式和生命周期的云工作負載會長期共存并共同演進,因此需要解決好對每類負載做好安全保護。
二、云原生時代需要有相適宜的新安全范式
(一)以原生的思維構建云安全體系
一方面,由于傳統安全邊界變成了無處不在的邊界,基于邊界防護的安全體系已經不再適用。另一方面,云原生是充分利用原生云能力(自動擴展、無中斷部署、自動化管理和彈性等)進行應用設計和部署的方法,通過微服務、容器、云數據庫、K8s、彈性搜索和遙測(Telemetry)等技術,不是簡單把原有的企業網環境和虛機遷移到云里,而是為了實現云原生屬性,對云應用在發布、服務方式、隨需彈性、數據和工作負載管理等多方面進行了重構。
由于傳統的基于邊界的安全已力不從心,同時由于云原生屬性明確關注云應用的快速開發與部署,這就需要有與之相適宜的新安全范式來支撐。云原生安全與過去邊界原生安全的差異點在于,在云應用的全生命周期階段將安全內嵌進來,而不是過去外掛式的干預措施來保障開發、分發、部署和運行時的安全。
云原生安全作為一種新興的安全理念,并不是只解決云原生技術帶來的安全問題,而是強調以原生的思維構建云安全體系,驅動安全與云計算深度融合,推動云服務商提供更安全的云服務,幫助客戶更安全的上云。
(二)云原生時代下安全理念的變革
邊界防護的安全防護理念雖然很好的運行了二三十年,但是已經很難滿足如今的需求。云原生技術作為云計算基礎設施的關鍵和新常態,隨著云原生應用部署的加速,從“邊界防護”到“嵌入式內生安全”的安全范式轉變,正在今天的安全行業里潛移默化地發生,以解決現有“護欄式”“查缺補漏”式的安全建設模式,增強安全協調與韌性恢復能力,實現對云原生安全的動態、全局性的理解,從而演變到與云業務深度融合的多維度、全方位、內生式的安全防護體系。
在整個云原生平臺、用戶及云原生產品的生命周期里,首先需要系統性地梳理所需的云原生安全能力、云原生產品的安全技術保障能力、如何保障云原生安全管理平臺等,以確保云原生安全成為云原生系統的有機組成。其次,將安全能力建設合理地內置到云平臺的部署建設中,做到二者深度融合、全面覆蓋。最后,需要云業務系統持續安全運行,實現云原生安全管理和響應閉環。
(三)云原生時代下安全產品的變革
云原生安全主要包括三大類。
一是對云原生要求不高的傳統安全產品,例如防火墻(FW)、入侵防御系統(IPS)、應用控制網關(ACG)、終端檢測與響應(EDR)、安全信息和事件管理(SIEM)等,這些產品一般由第三方開發,可以直接或以虛擬化形式部署上云。目前該類產品屬于靜態存量市場,在將來的一段時間內,會隨著信息基礎設施不斷云化而逐漸飽和或者萎縮。
二是云平臺運營商原生提供的安全組件,例如云數據庫安全、應用軟件編程接口(API)安全、容器安全、用戶行為監控等,這類組件一般由云平臺運營商自行開發部署或從第三方購買集成。目前,云平臺運營商在這塊也投入了大量資源進行開發。
三是云原生安全產品,例如云工作負載保護平臺(CWPP)、云安全態勢管理(CSPM)、云訪問安全代理(CASB)等。這塊安全產品的未來所在,也是安全與云計算深度融合創新的具體結合點,是未來安全廠商或者云計算廠商搶占制高權的必爭之地。
未來,隨著云原生安全時代的到來,涵蓋基礎設施安全、容器安全、應用安全、研發安全、管理安全等方面的云原生安全產品體系將趨于整合,幫助用戶快速地構建“動態創建、策略驅動、精準管控和靈活訪問”云安全體系。
三、云原生時代下的安全體系建設
構建有效的云原生安全體系是夯實數字經濟安全底座的基本保證。云原生安全是內生式安全,通過云平臺與生俱來的安全特性來保障安全,驅動云平臺提供商提供更安全的云服務。
云原生安全理念強調更安全的上云,還強調更安全的云服務,這就要求云平臺提供商需要將安全前移,在云平臺運營全生命周期內融入各項安全措施來提升云安全服務質量。云原生安全體系主要包括云原生計算安全、云原生網絡安全、云原生應用安全、云原生數據安全和云原生安全管理等五個方面。
(一)云原生計算安全
云原生計算安全主要包括云主機安全、容器安全和運行環境安全等方面,主要實現對計算資源的安全防護和隔離。其中,云原生主機安全通過資產管理、漏洞管理、基線檢查、病毒檢測、威脅響應處置,實現云上工作負載的安全防護,對主機層面、容器及其上承載的數據庫等工作負載進行全面的安全防護;云原生容器安全通過安全策略、鏡像檢測、合規基線檢測、運行時檢測和防護、容器網絡隔離、安全運行環境,實現云上容器的安全防護。
(二)云原生網絡安全
云原生網絡安全主要完成連通資源間的安全防護和隔離,為用戶的上層業務安全提供保障。通過云防火墻、云 Web 防火墻、分布式拒絕服務攻擊(DDoS)安全防護、網絡入侵防護等技術,實現云原生網絡的安全防護。例如,云防火墻通過對互聯網與云上資產間的東西向流量,以及云內虛擬私有云(VPC)間的南北向流量進行訪問控制,實現云上流量的安全可信與可控。云 Web 防火墻通過對云上 Web 應用的惡意流量、訪問行為進行檢測和攔截,實現 Web 應用核心業務和數據安全。
(三)云原生應用安全
云原生應用安全主要保障應用配置安全和應用環境安全等。針對云應用的安全,通過在產品研發全生命周期便融入安全措施來提升云應用質量,覆蓋云應用研發運營整個過程。可通過靜態應用程序安全測試、動態應用程序安全測試、交互式應用程序安全測試、軟件組成分析、運行時應用自保護等手段,滿足應用數據的機密性、完整性和可用性,以實現云原生應用的安全防護。
(四)云原生數據安全
云原生應用安全主要包括密碼管理、數據加密、數據脫敏、數據安全治理、數據安全審計、數據防泄漏和隱私保護等諸多方面。例如,數據分類治理對云上流轉數據的發現和分類分級,并對敏感數據的泄露進行監測與攔截。數據安全審計可挖掘數據運行過程中各類潛在風險和隱患,對訪問操作、會話信息、SQL 語句進行全量雙向審計、分析、告警。數據防泄漏對云主機中使用的數據進行深度內容分析,監控敏感數據泄漏和發現敏感信息存儲的隱患。
(五)云原生安全管理
云原生安全管理主要包括云原生安全服務、安全編排自動化及響應(SOAR)、安全運營中心(SOC)等。依托豐富的原生安全服務,同構混合的安全能力,多云安全統一管理,幫助云上用戶實現安全隨需可用。例如,通過自定義或內置安全編排策略,針對云上各類高級別安全事件提供更快速的響應,實現大部分風險事件告警的自動化閉環處置。通過安全運營中心平臺,對于安全事件統籌協同響應處理,將本地設備和服務與云端實現全互聯,如配置下發、一鍵封堵、情報共享、知識查詢、云端探測結果同步等。
