压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

隨著云計(jì)算技術(shù)的蓬勃發(fā)展，傳統(tǒng)上云實(shí)踐中的應(yīng)用升級(jí)緩慢、架構(gòu)臃腫、無法快速迭代等“痛點(diǎn)”日益明顯。能夠有效解決這些“痛點(diǎn)”的云原生技術(shù)正蓬勃發(fā)展，成為賦能業(yè)務(wù)創(chuàng)新的重要推動(dòng)力，并已經(jīng)應(yīng)用到企業(yè)核心業(yè)務(wù)。然而，云原生技術(shù)在創(chuàng)造效益的同時(shí)，卻也面臨著嚴(yán)峻的安全問題，本文的主要內(nèi)容是對(duì)云原生安全問題及防御技術(shù)做淺析。

注：CNCF對(duì)云原生的定義是“云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式 API。這些技術(shù)能夠構(gòu)建容錯(cuò)性好、易于管理和便于觀察的松耦合系統(tǒng)。結(jié)合可靠的自動(dòng)化手段，云原生技術(shù)使工程師能夠輕松地對(duì)系統(tǒng)作出頻繁和可預(yù)測(cè)的重大變更。”云原生技術(shù)正在蓬勃發(fā)展中，CNCF的云原生全景圖如圖1所示。

圖1 CNCF云原生全景圖

一、云原生安全問題分析

云原生環(huán)境面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)問題。攻擊者可能利用的重要攻擊面包括但不限于：容器運(yùn)行時(shí)、容器編排平臺(tái)、微服務(wù)架構(gòu)Web應(yīng)用、服務(wù)網(wǎng)格、Serverless。下面對(duì)這些重要的攻擊面進(jìn)行梳理。

1.1 容器運(yùn)行時(shí)

首先來看市場(chǎng)情況，據(jù)2020年的數(shù)據(jù)統(tǒng)計(jì)，Docker的市場(chǎng)占有率為50%（同比2019年下降逾29%），而CRI-O的市場(chǎng)占有率從4%上升到17%。

接著進(jìn)行安全問題分析，以Docker為例進(jìn)行容器運(yùn)行時(shí)的安全問題分析，如表1所示。

表 1?容器運(yùn)行時(shí)安全問題分析表

類別	案例	備注
針對(duì)容器鏡像的供應(yīng)鏈攻擊	鏡像漏洞利用	如CVE-2019-5021,Alpine Docker鏡像漏洞
	鏡像投毒	如惡意EXP鏡像、木馬鏡像
容器逃逸	危險(xiǎn)配置導(dǎo)致的容器逃逸	如利用特權(quán)容器逃逸
	危險(xiǎn)掛載導(dǎo)致的容器逃逸	如果容器或Pod在啟動(dòng)時(shí)將宿主機(jī)的核心目錄以寫權(quán)限掛載(如/root, /proc, /etc等)，則攻擊者進(jìn)入容器后可修改敏感文件并逃逸
	相關(guān)程序漏洞導(dǎo)致的容器逃逸	攻擊者可能利用的Docker漏洞包括但不僅限于： （1）CVE-2019-5736（Docker runC容器逃逸漏洞） （2）CVE-2019-14271（Docker cp容器逃逸漏洞） （3）CVE-2019-15752（Docker host模式容器逃逸漏洞）
	內(nèi)核漏洞導(dǎo)致的容器逃逸	攻擊者可能利用的Linux內(nèi)核漏洞包括但不僅限于： （1）CVE-2016-5195（“臟牛”漏洞） （2）CVE-2018-18955(Linux user namespace內(nèi)核提權(quán)漏洞)
DDoS攻擊	未使用Linux的cgroups限制容器資源，致使DDoS攻擊生效	容器運(yùn)行時(shí)在默認(rèn)情況下未對(duì)容器內(nèi)進(jìn)程的資源使用進(jìn)行限制，當(dāng)同一個(gè)宿主環(huán)境下同時(shí)運(yùn)行多個(gè)容器時(shí)，如果一個(gè)服務(wù)特別耗資源或者負(fù)載突然陡增時(shí)，其對(duì)資源的搶占往往會(huì)影響到同一個(gè)環(huán)境中其他服務(wù)的正常運(yùn)行。

有研究團(tuán)隊(duì)為了在輕量化和安全性之間達(dá)到較好的平衡，在“傳統(tǒng)容器”的基礎(chǔ)上，為“容器-主機(jī)”或“容器-容器”之間提供額外的保護(hù)，落地了“安全容器”。典型的“安全容器”技術(shù)包括了Kata、gVisor、Firecracker，但它們?nèi)悦媾R著已知或未知的容器逃逸攻擊的風(fēng)險(xiǎn)。

1.2 容器編排平臺(tái)安全問題分析

首先來看市場(chǎng)情況,據(jù)2020年的數(shù)據(jù)統(tǒng)計(jì)，Kubernetes（簡(jiǎn)稱K8s）的市場(chǎng)占有率為75%，而OpenShift從前一年的9%份額，提升到15%的份額（OpenShift以Docker作為容器引擎驅(qū)動(dòng)，以K8s作為容器編排引擎組件）。由此可見，K8s已經(jīng)成為目前業(yè)界容器編排的事實(shí)標(biāo)準(zhǔn)。

接著進(jìn)行安全問題分析，以K8s為例進(jìn)行容器編排平臺(tái)的安全問題分析，圖2為阿里云提出的“云上容器ATT&CK攻防矩陣”。由圖可知，黑客在攻擊K8s集群的過程中有很多手段，K8s集群的攻擊面較大。

圖 2 阿里云云上容器ATT&CK攻防矩陣

1.3 微服務(wù)架構(gòu)Web應(yīng)用安全問題分析

微服務(wù)Web應(yīng)用在解決傳統(tǒng)單體應(yīng)用不足之處的同時(shí)放大了攻擊面（如端口和東西流量均顯著增多），引入了安全隱患。比如，對(duì)于微服務(wù)Web應(yīng)用，傳統(tǒng)單體應(yīng)用所面臨的OWASP Top10等安全漏洞依舊存在，并且受到架構(gòu)特點(diǎn)的影響，敏感信息泄露、失效的身份認(rèn)證、失效的訪問控制等漏洞類型的風(fēng)險(xiǎn)愈加突出。

1.4 服務(wù)網(wǎng)格平臺(tái)安全問題

服務(wù)網(wǎng)格作為一種云原生應(yīng)用的體系結(jié)構(gòu)模式，應(yīng)對(duì)了微服務(wù)架構(gòu)在網(wǎng)絡(luò)和管理上的挑戰(zhàn)，也推動(dòng)了技術(shù)堆棧分層架構(gòu)的發(fā)展。從分布式負(fù)載均衡、防火墻的服務(wù)的可見性，服務(wù)網(wǎng)格通過在各個(gè)架構(gòu)層提供通信層來避免服務(wù)碎片化，以安全隔離的方式解決了跨集群的工作負(fù)載問題，并超越了Kubernetes容器集群，拓展到運(yùn)行在裸機(jī)上的服務(wù)。服務(wù)網(wǎng)格與微服務(wù)在云原生技術(shù)棧中是相輔相成的兩部分，前者更關(guān)注應(yīng)用的交付和運(yùn)行時(shí)，后者更關(guān)注應(yīng)用的設(shè)計(jì)與開發(fā)。若未在服務(wù)網(wǎng)格中采用雙向TLS認(rèn)證，服務(wù)間容易受到中間人攻擊。若未做東西向、南北向的認(rèn)證鑒權(quán)，服務(wù)間容易受到越權(quán)攻擊。

1.5 Serverless安全問題

Serverless（無服務(wù)器運(yùn)算）又被稱為函數(shù)即服務(wù)（Function-as-a-Service，縮寫為 FaaS），是云計(jì)算的一種模型。以平臺(tái)即服務(wù)（PaaS）為基礎(chǔ)，無服務(wù)器運(yùn)算提供一個(gè)微型的架構(gòu)，終端客戶不需要部署、配置或管理服務(wù)器服務(wù)，代碼運(yùn)行所需要的服務(wù)器服務(wù)皆由云端平臺(tái)來提供,Serverless 使得底層運(yùn)維工作量進(jìn)一步降低，業(yè)務(wù)上線后，也無需擔(dān)憂服務(wù)器運(yùn)維，而是全部交給了云平臺(tái)或云廠商。Serverless應(yīng)用的示意圖如圖3所示。

圖 3 Serverless應(yīng)用示意圖

與傳統(tǒng)的單體應(yīng)用相似，Serverless應(yīng)用容易受到典型的Web攻擊；此外，在這特殊的應(yīng)用場(chǎng)景下，Serverless用戶可能會(huì)遭受DoW(Denial of Wallet)這類平臺(tái)賬戶的拒絕服務(wù)攻擊，從而蒙受經(jīng)濟(jì)損失。

二、云原生安全防御技術(shù)分析

對(duì)于云原生安全問題的防御，業(yè)界提出了不同的實(shí)踐方法。例如，綠盟的安全研究人員認(rèn)為應(yīng)該踐行以下三項(xiàng)原則：

（1）安全左移：在云原生建設(shè)初期將安全投資更多地放到開發(fā)安全、包括安全編碼供應(yīng)鏈（軟件庫(kù)、開源軟件）安全、鏡像安全；

（2）聚焦“不變”：容器對(duì)應(yīng)的鏡像、文件系統(tǒng)都是不變的，由相同或繼承的鏡像啟動(dòng)的容器進(jìn)程及其行為是相似的，用于微服務(wù)的容器進(jìn)程是少數(shù)且其行為是可預(yù)測(cè)的，可以通過學(xué)習(xí)進(jìn)行畫像；

（3）業(yè)務(wù)安全：保護(hù)最貼近最終價(jià)值且處于最頂層的業(yè)務(wù)。

亦有字節(jié)跳動(dòng)的安全研究人員指出應(yīng)該重點(diǎn)通過互聯(lián)網(wǎng)的三大核心要素：計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)開展防御工作，其觀點(diǎn)如下：

（1）容器安全的本質(zhì)是對(duì)Linux Kernel安全機(jī)制的充分利用；

（2）eBPF技術(shù)將蓬勃發(fā)展，在syscall和網(wǎng)絡(luò)監(jiān)控領(lǐng)域廣泛使用；

（3）動(dòng)態(tài)防御的重點(diǎn)是采集、可視化、關(guān)聯(lián)分析和響應(yīng)的全流程建設(shè)。

目前，騰訊安全已搭建了包含安全治理、數(shù)據(jù)安全、應(yīng)用安全、計(jì)算安全、網(wǎng)絡(luò)安全等五個(gè)領(lǐng)域的完備云原生安全防護(hù)體系。

經(jīng)過上述分析，可以發(fā)現(xiàn)“云原生安全”的治理需要綜合的解決方案。筆者認(rèn)為在云原生安全防護(hù)體系的建設(shè)過程中應(yīng)做好以下幾項(xiàng)工作：

（1）結(jié)合云原生技術(shù)的具體落地情況開展并落實(shí)最小權(quán)限、縱深防御工作

對(duì)于云原生環(huán)境中的各種組成部分，均可貫徹落實(shí)“安全左移”的原則，進(jìn)行安全基線配置，防范于未然。而對(duì)于微服務(wù)架構(gòu)Web應(yīng)用以及Serverless應(yīng)用的防護(hù)而言，其重點(diǎn)是應(yīng)用安全問題，如表2所示。

表 2 云原生環(huán)境各組成部分防御方法梳理

安全問題來源	防御方法
容器運(yùn)行時(shí)	代碼審計(jì) 鏡像掃描 鏡像加固 安全基線配置
容器編排平臺(tái)	安全基線配置
微服務(wù)架構(gòu)Web應(yīng)用	應(yīng)用安全 微隔離（云原生防火墻、云原生應(yīng)用防火墻模式）
服務(wù)網(wǎng)格平臺(tái)	與WAF、API網(wǎng)關(guān)等機(jī)制進(jìn)行聯(lián)動(dòng) 安全基線配置
Serverless	應(yīng)用安全 安全基線配置

（2）圍繞云原生應(yīng)用的生命周期來進(jìn)行DevSecOps建設(shè)

以當(dāng)前的云原生環(huán)境的關(guān)鍵技術(shù)?！癒8S + Docker”舉例進(jìn)行分析，如圖4所示。應(yīng)該在容器的全生命周期注重“配置安全”，在項(xiàng)目構(gòu)建時(shí)注重“鏡像安全”，在項(xiàng)目部署時(shí)注重“容器準(zhǔn)入”，在容器的運(yùn)行環(huán)境注重云計(jì)算的三要素“計(jì)算”“網(wǎng)絡(luò)”以及“存儲(chǔ)”等方面的安全問題。

圖 4 圍繞云原生應(yīng)用的生命周期構(gòu)建安全防護(hù)體系

（3）圍繞攻擊前、中、后的安全實(shí)施準(zhǔn)則進(jìn)行構(gòu)建

在實(shí)際落地時(shí)，可依據(jù)安全實(shí)施準(zhǔn)則對(duì)攻擊前、中、后這三個(gè)階段開展檢測(cè)與防御工作。

表 3 對(duì)攻擊前、中、后這三個(gè)階段開展檢測(cè)與防御工作

攻擊前	攻擊時(shí)	攻擊后
資產(chǎn)清點(diǎn) 鏡像安全 基線合規(guī) 資產(chǎn)加固	鏡像運(yùn)行控制 容器安全 網(wǎng)絡(luò)安全 運(yùn)用K8S集群的安全機(jī)制 主機(jī)安全	日志審計(jì)

“攻擊前”階段工作

在檢測(cè)方面應(yīng)注重的工作包括了資產(chǎn)清點(diǎn)和鏡像安全工作。資產(chǎn)清點(diǎn)的核心工作是資產(chǎn)版本比對(duì)。資產(chǎn)版本比對(duì)工作有助于防御工作的開展；在防御方面應(yīng)注重的工作包括了基線合規(guī)工作和資產(chǎn)加固工作。基線合規(guī)工作有助于收斂暴露給外部的攻擊面。

“攻擊時(shí)”階段工作

在檢測(cè)方面應(yīng)關(guān)注的檢測(cè)項(xiàng)可包括宿主機(jī)上與容器內(nèi)的異常行為監(jiān)控（Docker容器、微服務(wù)的功能一般是較為固化的，若發(fā)現(xiàn)文件、網(wǎng)絡(luò)、進(jìn)程等方面的異常行為，應(yīng)予以警惕；為了檢測(cè)這類異常行為，可運(yùn)用現(xiàn)階段較為成熟的主機(jī)入侵檢測(cè)技術(shù)經(jīng)驗(yàn)并選擇合適的算法對(duì)宿主機(jī)與容器進(jìn)行異常行為監(jiān)控）以及容器準(zhǔn)入工作的合規(guī)性；在防御方面應(yīng)注重的工作可包括：在宿主機(jī)上以及容器內(nèi)做文件權(quán)限控制以及在Docker宿主機(jī)充分利用Linux內(nèi)核的安全能力（可選用的安全技術(shù)包括了：可做資源隔離的Namespace、可用黑白名單限定進(jìn)程調(diào)用的Seccomp、可限定容器能力的Capability、可限定應(yīng)用程序訪問控制權(quán)限的Apparmor）。

“攻擊后”階段工作

在檢測(cè)方面應(yīng)注重操作日志審計(jì)。在具體實(shí)踐時(shí)，可通過日志收集容器將業(yè)務(wù)容器的日志統(tǒng)一發(fā)送到大數(shù)據(jù)平臺(tái)，進(jìn)行分析、告警；在防御方面應(yīng)注重應(yīng)急響應(yīng)。在具體實(shí)踐時(shí)，若發(fā)現(xiàn)生產(chǎn)環(huán)境受到了攻擊，應(yīng)及時(shí)進(jìn)行應(yīng)急響應(yīng)，提防危害擴(kuò)大化。

（4）改造并綜合運(yùn)用現(xiàn)有云安全技術(shù)

不應(yīng)將“云原生安全”視為一個(gè)獨(dú)立的命題，為云原生環(huán)境提供更多支持的主機(jī)安全、微隔離等技術(shù)可賦能于云原生安全，如圖5所示。

圖 5 容器安全、主機(jī)安全與微隔離賦能云原生安全

三、總結(jié)與展望

云原生技術(shù)正逐步成熟，容器、微服務(wù)、聲明式API等代表技術(shù)的應(yīng)用正逐步落地，生態(tài)正逐步健全。但云原生環(huán)境面臨著嚴(yán)峻的安全問題，安全技術(shù)亟待發(fā)展。預(yù)計(jì)在未來24-36個(gè)月內(nèi)云原生安全技術(shù)將高速發(fā)展。

本文介紹了云原生安全問題及防御技術(shù)方法。經(jīng)過比較可以發(fā)現(xiàn)，云原生安全技術(shù)與傳統(tǒng)的云安全技術(shù)有著異同?！霸圃踩钡闹卫硇枰C合的解決方案。在落地云原生安全技術(shù)時(shí)，可從以下幾個(gè)方面做考慮：?jiǎn)挝坏木唧w落地情況、云原生應(yīng)用的生命周期、安全運(yùn)維準(zhǔn)則、對(duì)現(xiàn)有云安全技術(shù)的改造與綜合運(yùn)用。

安全必須為業(yè)務(wù)服務(wù)。當(dāng)業(yè)務(wù)需要現(xiàn)代化時(shí)，安全也要順勢(shì)而為進(jìn)行變革，不要淪為業(yè)務(wù)的阻礙。在云原生時(shí)代，DevSecOps理念及產(chǎn)品將逐漸落地應(yīng)用。云原生安全與信息基礎(chǔ)設(shè)施將深度融合，提供SECaaS 也將成為一大發(fā)展趨勢(shì)。

參考鏈接

[1]?[綠盟 云原生安全技術(shù)報(bào)告]

https://www.nsfocus.com.cn/html/2021/92_0113/146.html

[2]?[字節(jié)跳動(dòng)安全范兒沙龍——業(yè)務(wù)安全攻與防 / 容器安全與動(dòng)態(tài)防御]

https://mp.weixin.qq.com/s/tdTDlZIftrI6xYoJl5fSlA

[3]?[騰訊 除了云原生，2021 年還有這八大趨勢(shì)值得關(guān)注]

https://xw.qq.com/cmsid/20201026A09M7B00

[4]?云上容器 ATT&CK 矩陣詳解，阿里云助力企業(yè)容器化安全落地
https://blog.csdn.net/csdnnews/article/details/106821667

[5]?《云原生服務(wù)網(wǎng)格Istio 原理、實(shí)踐、架構(gòu)與源碼解析》（張超盟、章鑫、徐中虎、徐飛編著）

來源：FreeBuf.COM