系列 | 默安科技谈云原生安全之变 (四) : 应用与数据安全

在云原生环境中，应用从单体架构转向微服务架构，云计算资源也从IAAS逐渐转型CAAS，云原生应用除了继承了传统的应用风险之外，由于微服务化的设计模式，导致功能组件化、服务数量激增、配置复杂等问题。

云原生应用面临的新风险，主要是“新”在：应用开发模式的转变和应用架构设计的转变，即DevSecOps与微服务架构，其中DevSecOps的安全讨论将在本系列文章最后一期（即下一期）单独讨论，默安科技作为国内DevSecOps领域的先行者，具备完整的解决方案。

云原生应用与数据风险除了集成传统的风险以外，新的设计模式又带来了哪些新风险？

上述部分内容在本系列第三期“微服务网络安全”一文中有少许阐述，本文继续对几个比较重要的能力进行深入探讨。

云原生WAF主要是解决应用与数据风险的所集成下来的传统问题，同时也用了一些与云原生密切相关的新技术，其技术原理中的引流、过滤等能力，是后续API治理和数据安全的基础。

云原生WAF分为两种模式。在Istio的官方文档中推荐的best-practices是在流量出入口处进行WAF防护，实现方式可以有多种，甚至可以与K8S完全不相关，在外部流量出入口建设WAF，在此不做讨论。

当前，部署在流量出入口的WAF比较流行的实现方式有两种：一种是直接采用开源的API网关，复用其中的WAF能力；另一种是存在istio的情况下，对Ingress与Egress的envoy添加过滤器，实现WAF的能力。云原生API网关以开源项目居多，随着技术的不断发展，云原生API网关也都相应支持在Kubernetes上进行部署，目前主流的云原生API网关有Ambassador、Zuul、Gloo、Kong等，Ambassador与Gloo均为Kubernetes原生网关，都能兼容微服务治理框架Istio的方案，Kong属于这四者中开源社区最为活跃及成熟的，其同样可以支持Kubernetes的部署方案。在Istio的Ingress与Egress的envoy添加过滤器的方式也是一种比较常见的方法，并且现在envoy的扩展支持C++、LUA、WASM三种方式，特别是WASM在提供灵活性的同时也很好地兼顾了效率。

更加符合云原生的WAF模式是通过POD或微服务的粒度来启用WAF防护，可以通过对POD打上相关标签，按需启用WAF能力，而不是只在流量出入口进行防护。这种方式能够感知服务->服务之间的流量，进行检测与响应，同时WAF的控制粒度可以细化到单个微服务或者POD，不仅能抵御内对内的攻击，也能够对外对内的攻击行为进行防护，因为流量最终还是落到POD中，可以兼容南北向攻击。

例如：Paloalto的WAF能力启用的粒度，就可以基于Containers、images、Labels等维度，选择性开启，为用户提供了更高的灵活度。

此种WAF的实现模式，基本都是基于Envoy filter，复用其引流、过滤、速率控制等能力，达到服务->服务和用户->服务之间的安全防护、访问控制、处置响应等能力。

云原生的API安全与传统API安全类似，所需要的能力包括：API自动梳理、API脆弱性检查、API访问控制，其针对API的攻击，其实在WAF中已经解决了一部分。

API的自动发现，一定程度上依赖于微服务的自动化发现与访问关系可视化，这部分在上期“微服务网络安全”一文中有过探讨。API发现方式目前大致分为两种：一种是基于流量，持续对正常的业务访问进行持续观测，发现可使用的API。

但仅仅基于流量的方式可能会漏掉一些没有被访问到的API，这也是业务发布经常出现的风险，某几个API明明在业务中已经用不到了，但依然没有删除，严重安全风险往往就出在这些API上，于是就出现了另一种API发现手段：基于开发过程中的信息来发现API。例如允许开发人员上传swagger文档，平台自动解析文件中的API；再例如使用IAST类工具的插桩能力，可自动获取该应用的所有API，不论是被使用到的还是没有使用到的，再将应用的API信息传入到运行时阶段，形成完整的API列表，默安科技尚付CNAPP云原生保护平台（以下简称“尚付CNAPP”）就支持该能力。

API脆弱性检查，与目前web漏扫所实现的功能基本一致，IAST与DAST类产品都可以解决一部分这种风险，当然从与DevSecOps集成的角度来说，更推荐IAST产品，需要关注的是两个问题，第一，除了传统的漏洞之外，API漏洞中更重要的是未授权访问、或越权访问的漏洞，更偏向与业务逻辑漏洞，DAST是很难发现这类漏洞的，目前也少有厂家能覆盖此类问题，默安的IAST在未授权和越权访问漏洞方面已经有了较长时间的积累，能够帮助用户省去大量的重复性工作，自动化发现可能的安全风险；第二，开发过程中的信息，往往与运行时割裂，如何自动化地将开发过程发现的文件、API列表、API漏洞信息等传到运行时阶段，做到全生命周期的保护是一个比较大的挑战。默安科技尚付CNAPP平台能够很好地解决这一问题，支持将开发过程中的项目信息、漏洞信息、API信息自动关联到上线的资产上。

API的访问控制，除了让用户手动添加访问控制策略之外，一般都应该提供自动学习的能力，对正常的业务访问进行持续观测，进而对API地址、类型、参数、数值模式、调用频率等等进行学习，形成推荐的访问控制策略，能够减少用户的设置工作。

数据安全的实现是一个庞大的体系，从云原生体系的角度来说，开发阶段到运行时的过程中都可以进行敏感数据的发现与泄露监测。

开发阶段，可以依靠镜像扫描与自动化安全测试，来进行敏感数据的发现、数据合规性检查。镜像扫描中可包含敏感数据的扫描，不仅仅是针对明文密码、密钥等，也可以是针对镜像中的业务敏感数据进行检查；自动化安全测试中，可利用IAST产品，在测试过程中发现API接口的明文敏感数据。

运行阶段，可依靠流量层面的安全监测能力和CSPM配置检查能力。在网络流量监测方面，对服务与服务间、用户与微服务间，网络流量中的敏感数据进行及时发现，对数据拖取等行为监测并阻断；依靠CSPM云安全配置检查的能力，对存储桶资源进行配置核查，及时发现未授权、弱密码的云存储资源，也可调用云厂商的API对存储桶的内容进行检查，发现明文存储的业务敏感数据，企业管理员及时进行处置。

云原生安全体系中，应用与数据安全有与传统安全相近类似的地方，虽然可以用传统安全的手段来解决部分问题，但传统的安全手段仍会涉及到新的架构与部署模式，带来很多新的安全风险，因此云原生应用与数据安全需要与云原生体系强关联的安全解决方案。

默安科技尚付 CNAPP，从诞生之初，所努力的方向就是CNAPP平台。早在公司成立之初，默安科技就开始了DevSecOps、CWPP等能力的布局，经过多年沉淀，默安科技成为DevSecOps领域的国内优秀产品和方案提供商，加上公司对容器安全、CSPM等方面的产品创新，在2022年正式推出了“尚付 CNAPP云原生保护平台”，帮助客户打造完整、体系化的云原生安全解决方案。默安科技希望对未来的一些预见，能够帮助广大政企客户建设更安全、更稳定的云原生体系。