云原生應用程序保護平臺(CNAPP)技術淺析
隨著組織從本地模式發展到以云為中心的思維方式,傳統的直接遷移方法在很大程度上變得不可行。云環境下許多資產是動態和短暫的,傳統安全方法通常無法管理容器和無服務器環境。因此,云環境下安全的孤島、差距和整體復雜性會增加。
業務上云已經成為組織數字化轉型的必由之路。云原生作為下一代云計算已經成為業界趨勢,相關的技術、產品、標準和解決方案以及生態系統都已在同步擴張之中。云原生技術應用的不斷增加也帶來了新的云安全需求和挑戰,如何在云原生市場中確保業務安全,是企業當前面臨的極大挑戰。
通過安全硬件、軟件以及云安全資源池的方式,可以讓傳統防火墻、入侵防御、反病毒、安全審計、終端檢測與響應等安全產品,能夠與云原生有較好的適配性,在云上的部署較為簡單易行。但對于云工作負載的威脅檢測和安全防護、用戶行為的監控和審計、云配置合規與風險管理等安全產品,對于云原生環境下所產生的新的安全需求,需要進行重新定義和設計。
過去的幾年,云工作負載保護平臺(CWPP)以及云安全態勢管理(CSPM)等云安全產品的誕生,對云原生安全的保護發揮了一定的作用。但是,隨著新應用場景的出現、技術的演化和市場趨勢的變化,云原生應用保護平臺(CNAPP)的概念應運而生。
CNAPP 是 Gartner 近年提出的概念,是業界首個將應用和風險情境融合在一起的平臺,它融合了CWPP 來保護工作負載,并帶來了 CSPM 來保護單個云原生實施點的平臺。Gartner 將其概述為以下五個核心組件。
一、基礎設施即代碼(IaC)掃描
基礎設施即代碼(IaC)是通過機器可讀的定義文件,而不是物理硬件配置或交互式配置工具,來管理和配置計算數據中心的過程。它將研發運營一體化(DevOps)軟件開發的最佳實踐應用于云基礎設施資源的管理。適用的基礎設施資源包括了虛擬機、網絡、負載均衡、數據庫和其他應用程序。
IaC 的發展是為了幫助解決“環境切換”的問題。如果沒有 IaC,基礎設施管理可能是一個混亂和脆弱的過程。系統管理員手動連接到遠程云廠商并使用應用程序接口(API)或網頁儀表板來配置新硬件和資源。此手工流程并未提供應用程序基礎設施的整體視圖。管理員可能會手動更改一個環境,而忘記同步到另一個環境。這就是環境切換問題的發生原因。
簡單來說,IaC 意味著使用配置文件管理用戶的IT 基礎設施。它可將組織的基礎設施資源編碼為文本文件,然后將這些基礎設施文件提交給分布式版本控制系統(例如 Git 等版本控制系統)。版本控制存儲庫是持續集成/持續交付(CI/CD)的基礎,它支持功能分支和拉取請求(Pull Request)工作流。IaC 能夠解決原有 IT 基礎設施管理的成本過高、可擴展性和可用性不足、監控和性能可見性不夠以及配置不一致等問題。通俗來講,IaC 讓用戶就像管理代碼一樣 , 針對基礎設施配置文件進行管理,對配置文件的版本進行追蹤記錄,從而讓基礎設施的零散管理變得簡單化和集約化,避免了由于零散管理所帶來的系列問題。
IaC 既然是編碼文件,就避免不了編碼或者是編碼人員所帶來的問題,針對 IaC 的掃描是最基礎的安全保障。用戶可以使用 Pull Request 和代碼審查工作流來審核和驗證修改的正確性,如果發現問題,支持 DevOps 的基礎設施即代碼系統可以自動完成基礎設施部署和回滾,進而保障了云原生應用程序開發、測試、預生產和生產環境等的安全性和穩定性。
二、容器掃描
云原生時代,容器成為重要基礎設施,也是云原生應用程序的主要載體,容器的安全性成為制約云原生應用推廣的最大瓶頸。
作為容器的最緊密聯系者,鏡像是容器的最基礎的載體,它的安全性對容器的安全影響極大。鏡像包含了容器運行的所有基礎文件,可以說鏡像的安全就決定了容器的安全。根據鏡像創建和使用方式,通常有以下 3 個因素影響鏡像安全。
源鏡像不安全。鏡像一般都是開發者基于已有的某個鏡像創建的,原有鏡像自身就存在安全缺陷或者原有鏡像是攻擊者上傳的一個惡意鏡像,那么基于它們創建的新鏡像也會具有安全問題。
集成包含漏洞的軟件。開發者在制作鏡像時經常會使用軟件庫的代碼或軟件,如果這些代碼或軟件本身存在漏洞或惡意代碼,那么被制作成的鏡像也同樣具有這些問題,將會影響容器的安全。
鏡像篡改。鏡像在轉移、存儲以及使用的過程中,有可能被篡改。例如,被植入惡意程序可修改鏡像里的內容。一旦使用被惡意篡改的鏡像創建容器后,將會對容器和應用程序的安全造成極大影響。
安全左移是目前比較流行的安全治理思路,針對容器以上的安全問題,容器鏡像掃描是目前最有效的解決方案。要盡力做到讓鏡像在進入生產環境前最大限度地解決安全問題,對于鏡像的掃描主要控制在以下四個節點。
鏡像構建時的掃描。在鏡像構建完成后,可對構建的鏡像進行漏洞掃描,包括構建工具。通過漏洞掃描發現漏洞,提前預防,達到安全控制,必要時應對鏡像進行簽名,以保障鏡像的發布安全。
鏡像傳輸時的安全。應對鏡像進行簽名驗簽操作,禁止未簽名的或者簽名失敗的鏡像上線。在高安全場景,可以對鏡像簽名的密鑰進行統一管理,實現分層分類的密鑰管理工作,確保鏡像的傳輸安全。
鏡像存儲時的掃描。在鏡像倉庫中對上傳的鏡像進行漏洞掃描,掃描內容包括二進制構建、第三方架構、基線核查、病毒檢查以及敏感信息等內容,如發現安全問題,立刻對鏡像進行隔離,并設置策略對鏡像實行禁止拉取操作。
鏡像運行時的掃描。應具備在拉起主機鏡像時的持續監控能力,鏡像的掃描能力可被持續集成和持續交付系統調用,如發現安全問題,對鏡像實行禁止運行策略。
三、云工作負載保護平臺(CWPP)
云工作負載保護平臺顧名思義是為云計算工作負載提供安全防護的產品。一般認為,CWPP 是從端點保護平臺(EPP)分化出來的。但其與 EPP 所適用的范圍不同,EPP一般適用于終端,如桌面電腦、筆記本、個人設備以及用于訪問網絡、數據和應用的設備,而CWPP 適用的工作負載一般是提供服務、存儲、計算的設備。因為云計算工作負載或者服務器自身的計算特征,以及所面臨的安全威脅類型都完全不一樣 , 直接將終端產品拿過來使用往往并不適用。
所以,與 EPP 解決的終端維度的問題不同,CWPP 主要解決的問題圍繞數據中心維度,關注的是混合數據中心架構需要統一的管理,針對的是Linux 系統需要做重點支持,同時關注殺毒軟件的無效、跟云平臺的對接,以及 API 與 DevSecOps 的結合等。從技術角度來看,CWPP 最核心的是和云平臺原生的對接。
CWPP 的定義就是面向多云/混合云環境,適用于大規模的分布式部署,其要求安全防護能力對云工作負載(虛機和容器)要做到隨行,以解決在云內工作負載的漂移問題。
CWPP 作為 CNAPP 的重要組成部分,主要目的是確保云原生應用的基礎設施層安全,進而能夠讓云原生應用安全、穩定地提供對外服務。
四、云基礎架構授權管理(CIEM)
云內擁有成千上萬的用戶、應用程序、服務以及其他資產,而對于每個資產來說,都有一組獨特的權限和訪問要求來完成其工作。如何分配和跟蹤這些用戶的訪問權限,特別是如何確保每個用戶僅具備必要的訪問權限級別,并避免可能導致安全風險的過多權限,可以通過云基礎架構和授權管理(CIEM)來解決該問題。
CIEM 是指授予、解析、實施、撤銷和管理訪問權限的下一代云安全技術。CIEM 的目的是管理授權、修復云訪問風險,并在多云環境中實施最小特權原則,以減少過多的權限、訪問權限和云基礎架構權利。
任何云安全策略的核心都是身份管理。身份(包括人員和非人員)構成了安全的邊界,而不是網絡。因此,為了確保有效地保護環境以及駐留在其中的數據,我們需要轉變視角并采用新的身份管理方法,在本地云、混合云運營環境實現對用戶、設備、應用服務的聯合身份管理技術,對應用和工作負載做到相互認證才可進行彼此通信。由于云原生應用的短暫性,用戶身份憑證需要做到頻繁輪換,以適應對高速云原生應用的需求,同時控制和限制受損憑證的影響范圍。
Gartner 認為,“CIEM 工具通過管理時間控制來管理混合云和多云 IaaS 中的權利,幫助企業管理云訪問風險。他們使用分析、機器學習(ML)和其他方法來檢測賬戶權利中的異常,例如權限累積以及休眠和不必要的權限。理想情況下,CIEM 提供最小特權方法的實施和修正。”
與 CSPM 相比,CIEM 在緩解身份風險方面具有更好的潛在價值,因為它是一個以身份為中心的解決方案,專注于權利管理,而不是更全面且可能更為昂貴的解決方案。
五、云安全態勢管理(CSPM)
云安全態勢管理(CSPM)和傳統的網絡安全態勢感知在概念上類似,但在其原理上又大相徑庭。主要區別在于云與傳統信息系統環境的不同,如果只是簡單地把傳統的態勢感知遷移到云端是遠遠不夠的,難以真正解決客戶在云上所面臨的安全問題。
CSPM 強調持續管理云安全風險,通過檢測、記錄、報告并提供自動化來解決問題。這些問題的范圍可以從云服務配置到安全設置,并且通常與云資源的治理、合規性和安全性相關。
CSPM 工具側重于四個關鍵領域:身份安全和合規性、監控和分析、資產的盤點和分類、成本管理和資源組織。CSPM 可以檢測到缺乏加密、加密密鑰管理不當、額外賬戶權限等問題。大多數對云服務的成功攻擊都是由于配置不當造成的,而CSPM 可以減輕這些風險。
六、總 結
實際上,CNAPP 是一組集成的安全性和合規性功能集,旨在幫助保護開發和生產中的云原生應用程序。CNAPP 整合并增強了大量以前孤立的功能平臺,包括前面提到的 CWPP、CSPM、CIEM 等,也同樣整合了一些必要的工具和方法,包括前面提到的 IaC 掃描和容器掃描等。
建立一個集成且全面的 CNAPP 框架,能夠盡可能早地在軟件生命周期中進行自動化修復流程。該框架為 DevOps 和生產工程團隊提供可見性和洞察力,以改善信息系統的整體安全狀況。
此外,隨著組織轉向 CNAPP 模型,集成 CIEM和 CSPM 并提供網絡配置監控和掃描機密、敏感數據等功能的解決方案可以發揮至關重要的作用。據調查顯示,83% 的企業報告聲稱他們的云漏洞中至少有一個與訪問有關。Gartner 建議組織要制定明確定義的云原生保護戰略,并尋求整合 CNAPP 領域的工具和供應商解決方案。
可以說,CNAPP 代表了云安全的未來。雖然目前沒有供應商能夠提供全面的解決方案,但隨著空間的發展和技術成熟,希望 CNAPP 能夠在未來為云原生安全提供更好的安全保障。
