邮发代号 2-786
征订热线:010-82341063
随着组织从本地模式发展到以云为中心的思维方式,传统的直接迁移方法在很大程度上变得不可行。云环境下许多资产是动态和短暂的,传统安全方法通常无法管理容器和无服务器环境。因此,云环境下安全的孤岛、差距和整体复杂性会增加。
业务上云已经成为组织数字化转型的必由之路。云原生作为下一代云计算已经成为业界趋势,相关的技术、产品、标准和解决方案以及生态系统都已在同步扩张之中。云原生技术应用的不断增加也带来了新的云安全需求和挑战,如何在云原生市场中确保业务安全,是企业当前面临的极大挑战。
通过安全硬件、软件以及云安全资源池的方式,可以让传统防火墙、入侵防御、反病毒、安全审计、终端检测与响应等安全产品,能够与云原生有较好的适配性,在云上的部署较为简单易行。但对于云工作负载的威胁检测和安全防护、用户行为的监控和审计、云配置合规与风险管理等安全产品,对于云原生环境下所产生的新的安全需求,需要进行重新定义和设计。
过去的几年,云工作负载保护平台(CWPP)以及云安全态势管理(CSPM)等云安全产品的诞生,对云原生安全的保护发挥了一定的作用。但是,随着新应用场景的出现、技术的演化和市场趋势的变化,云原生应用保护平台(CNAPP)的概念应运而生。
CNAPP 是 Gartner 近年提出的概念,是业界首个将应用和风险情境融合在一起的平台,它融合了CWPP 来保护工作负载,并带来了 CSPM 来保护单个云原生实施点的平台。Gartner 将其概述为以下五个核心组件。
基础设施即代码(IaC)是通过机器可读的定义文件,而不是物理硬件配置或交互式配置工具,来管理和配置计算数据中心的过程。它将研发运营一体化(DevOps)软件开发的最佳实践应用于云基础设施资源的管理。适用的基础设施资源包括了虚拟机、网络、负载均衡、数据库和其他应用程序。
IaC 的发展是为了帮助解决“环境切换”的问题。如果没有 IaC,基础设施管理可能是一个混乱和脆弱的过程。系统管理员手动连接到远程云厂商并使用应用程序接口(API)或网页仪表板来配置新硬件和资源。此手工流程并未提供应用程序基础设施的整体视图。管理员可能会手动更改一个环境,而忘记同步到另一个环境。这就是环境切换问题的发生原因。
简单来说,IaC 意味着使用配置文件管理用户的IT 基础设施。它可将组织的基础设施资源编码为文本文件,然后将这些基础设施文件提交给分布式版本控制系统(例如 Git 等版本控制系统)。版本控制存储库是持续集成/持续交付(CI/CD)的基础,它支持功能分支和拉取请求(Pull Request)工作流。IaC 能够解决原有 IT 基础设施管理的成本过高、可扩展性和可用性不足、监控和性能可见性不够以及配置不一致等问题。通俗来讲,IaC 让用户就像管理代码一样 , 针对基础设施配置文件进行管理,对配置文件的版本进行追踪记录,从而让基础设施的零散管理变得简单化和集约化,避免了由于零散管理所带来的系列问题。
IaC 既然是编码文件,就避免不了编码或者是编码人员所带来的问题,针对 IaC 的扫描是最基础的安全保障。用户可以使用 Pull Request 和代码审查工作流来审核和验证修改的正确性,如果发现问题,支持 DevOps 的基础设施即代码系统可以自动完成基础设施部署和回滚,进而保障了云原生应用程序开发、测试、预生产和生产环境等的安全性和稳定性。
云原生时代,容器成为重要基础设施,也是云原生应用程序的主要载体,容器的安全性成为制约云原生应用推广的最大瓶颈。
作为容器的最紧密联系者,镜像是容器的最基础的载体,它的安全性对容器的安全影响极大。镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器的安全。根据镜像创建和使用方式,通常有以下 3 个因素影响镜像安全。
源镜像不安全。镜像一般都是开发者基于已有的某个镜像创建的,原有镜像自身就存在安全缺陷或者原有镜像是攻击者上传的一个恶意镜像,那么基于它们创建的新镜像也会具有安全问题。
集成包含漏洞的软件。开发者在制作镜像时经常会使用软件库的代码或软件,如果这些代码或软件本身存在漏洞或恶意代码,那么被制作成的镜像也同样具有这些问题,将会影响容器的安全。
镜像篡改。镜像在转移、存储以及使用的过程中,有可能被篡改。例如,被植入恶意程序可修改镜像里的内容。一旦使用被恶意篡改的镜像创建容器后,将会对容器和应用程序的安全造成极大影响。
安全左移是目前比较流行的安全治理思路,针对容器以上的安全问题,容器镜像扫描是目前最有效的解决方案。要尽力做到让镜像在进入生产环境前最大限度地解决安全问题,对于镜像的扫描主要控制在以下四个节点。
镜像构建时的扫描。在镜像构建完成后,可对构建的镜像进行漏洞扫描,包括构建工具。通过漏洞扫描发现漏洞,提前预防,达到安全控制,必要时应对镜像进行签名,以保障镜像的发布安全。
镜像传输时的安全。应对镜像进行签名验签操作,禁止未签名的或者签名失败的镜像上线。在高安全场景,可以对镜像签名的密钥进行统一管理,实现分层分类的密钥管理工作,确保镜像的传输安全。
镜像存储时的扫描。在镜像仓库中对上传的镜像进行漏洞扫描,扫描内容包括二进制构建、第三方架构、基线核查、病毒检查以及敏感信息等内容,如发现安全问题,立刻对镜像进行隔离,并设置策略对镜像实行禁止拉取操作。
镜像运行时的扫描。应具备在拉起主机镜像时的持续监控能力,镜像的扫描能力可被持续集成和持续交付系统调用,如发现安全问题,对镜像实行禁止运行策略。
云工作负载保护平台顾名思义是为云计算工作负载提供安全防护的产品。一般认为,CWPP 是从端点保护平台(EPP)分化出来的。但其与 EPP 所适用的范围不同,EPP一般适用于终端,如桌面电脑、笔记本、个人设备以及用于访问网络、数据和应用的设备,而CWPP 适用的工作负载一般是提供服务、存储、计算的设备。因为云计算工作负载或者服务器自身的计算特征,以及所面临的安全威胁类型都完全不一样 , 直接将终端产品拿过来使用往往并不适用。
所以,与 EPP 解决的终端维度的问题不同,CWPP 主要解决的问题围绕数据中心维度,关注的是混合数据中心架构需要统一的管理,针对的是Linux 系统需要做重点支持,同时关注杀毒软件的无效、跟云平台的对接,以及 API 与 DevSecOps 的结合等。从技术角度来看,CWPP 最核心的是和云平台原生的对接。
CWPP 的定义就是面向多云/混合云环境,适用于大规模的分布式部署,其要求安全防护能力对云工作负载(虚机和容器)要做到随行,以解决在云内工作负载的漂移问题。
CWPP 作为 CNAPP 的重要组成部分,主要目的是确保云原生应用的基础设施层安全,进而能够让云原生应用安全、稳定地提供对外服务。
云内拥有成千上万的用户、应用程序、服务以及其他资产,而对于每个资产来说,都有一组独特的权限和访问要求来完成其工作。如何分配和跟踪这些用户的访问权限,特别是如何确保每个用户仅具备必要的访问权限级别,并避免可能导致安全风险的过多权限,可以通过云基础架构和授权管理(CIEM)来解决该问题。
CIEM 是指授予、解析、实施、撤销和管理访问权限的下一代云安全技术。CIEM 的目的是管理授权、修复云访问风险,并在多云环境中实施最小特权原则,以减少过多的权限、访问权限和云基础架构权利。
任何云安全策略的核心都是身份管理。身份(包括人员和非人员)构成了安全的边界,而不是网络。因此,为了确保有效地保护环境以及驻留在其中的数据,我们需要转变视角并采用新的身份管理方法,在本地云、混合云运营环境实现对用户、设备、应用服务的联合身份管理技术,对应用和工作负载做到相互认证才可进行彼此通信。由于云原生应用的短暂性,用户身份凭证需要做到频繁轮换,以适应对高速云原生应用的需求,同时控制和限制受损凭证的影响范围。
Gartner 认为,“CIEM 工具通过管理时间控制来管理混合云和多云 IaaS 中的权利,帮助企业管理云访问风险。他们使用分析、机器学习(ML)和其他方法来检测账户权利中的异常,例如权限累积以及休眠和不必要的权限。理想情况下,CIEM 提供最小特权方法的实施和修正。”
与 CSPM 相比,CIEM 在缓解身份风险方面具有更好的潜在价值,因为它是一个以身份为中心的解决方案,专注于权利管理,而不是更全面且可能更为昂贵的解决方案。
云安全态势管理(CSPM)和传统的网络安全态势感知在概念上类似,但在其原理上又大相径庭。主要区别在于云与传统信息系统环境的不同,如果只是简单地把传统的态势感知迁移到云端是远远不够的,难以真正解决客户在云上所面临的安全问题。
CSPM 强调持续管理云安全风险,通过检测、记录、报告并提供自动化来解决问题。这些问题的范围可以从云服务配置到安全设置,并且通常与云资源的治理、合规性和安全性相关。
CSPM 工具侧重于四个关键领域:身份安全和合规性、监控和分析、资产的盘点和分类、成本管理和资源组织。CSPM 可以检测到缺乏加密、加密密钥管理不当、额外账户权限等问题。大多数对云服务的成功攻击都是由于配置不当造成的,而CSPM 可以减轻这些风险。
实际上,CNAPP 是一组集成的安全性和合规性功能集,旨在帮助保护开发和生产中的云原生应用程序。CNAPP 整合并增强了大量以前孤立的功能平台,包括前面提到的 CWPP、CSPM、CIEM 等,也同样整合了一些必要的工具和方法,包括前面提到的 IaC 扫描和容器扫描等。
建立一个集成且全面的 CNAPP 框架,能够尽可能早地在软件生命周期中进行自动化修复流程。该框架为 DevOps 和生产工程团队提供可见性和洞察力,以改善信息系统的整体安全状况。
此外,随着组织转向 CNAPP 模型,集成 CIEM和 CSPM 并提供网络配置监控和扫描机密、敏感数据等功能的解决方案可以发挥至关重要的作用。据调查显示,83% 的企业报告声称他们的云漏洞中至少有一个与访问有关。Gartner 建议组织要制定明确定义的云原生保护战略,并寻求整合 CNAPP 领域的工具和供应商解决方案。
可以说,CNAPP 代表了云安全的未来。虽然目前没有供应商能够提供全面的解决方案,但随着空间的发展和技术成熟,希望 CNAPP 能够在未来为云原生安全提供更好的安全保障。
(本文刊登于《中国信息安全》杂志2022年第5期)
原文始发于微信公众号(中国信息安全):专题·云安全将来时 | 云原生应用程序保护平台(CNAPP)技术浅析
评论