DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

admin 2023年1月21日00:51:46评论62 views字数 4009阅读13分21秒阅读模式

2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、ISC互联网安全大会、Linux基金会OpenChain社区、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2022)通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,立足全球视野,汇聚来自“产学研用”各界的顶尖技术专家、行业意见领袖、资深学者智囊、企业精英代表,聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。

会上,小佑科技技术总监白黎明分享了云原生制品安全防护最佳实践。


DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

图1 小佑科技技术总监 白黎明


点击播放→云原生制品安全防护最佳实践

以下为演讲实录:

大家好,我是小佑科技的技术总监白黎明,非常感谢主办方悬镜安全的邀请,很高兴参加第二届全球DevSecOps敏捷安全大会。我演讲的主题是“云原生制品安全防护最佳实践”。


云原生制品管理现状


云原生制品是指在一个虚拟操作系统环境中仅安装了用户需要的应用程序及其依赖文件的镜像,这个镜像可以通过容器运行时引擎运行成一个容器来执行对应的任务。制品管理的全流程包括开发与构建、测试与发布、存储与传输、部署与运行以及更新与下线,都离不开制品仓库。

目前市面上的制品仓库主要分两种:公共制品仓库和企业级私有制品仓库。



公有制品仓库


研发人员构建镜像时依赖的基础镜像都是从包括Docker Hub在内的官网上下载,其中90%都是由第三方上传,因而无法保证质量。此外,官方维护的镜像,一是存在更新不及时情况,二是无法访问下载,如谷歌的gcr仓库自谷歌退出中国后就无法被访问。国内的公共制品仓库如阿里云、华为云、腾讯云,会提供中转站点,帮助国内的使用者下载国外仓库中的镜像,但这些中转站点由第三方上传,存在巨大安全隐患。

近年来,在云原生领域,软件供应链安全迫在眉睫。许多公司响应了美国政府的号召,对实体清单中的中国企业进行了限制,以Douker Hub为例,他们不允许中国企业在其仓库中下载镜像。



私有制品仓库


私有制品仓库如Registry、Nexus、Harbor、JForg Artifactory、Red Hat Quay等,各自的实现方式、认证方式、具体功能都完全不同。Registry是其中最为简单的一种,没有任何认证方式,因而企业在实际使用过程中存在巨大安全隐患,攻击者可以轻易地上传覆盖甚至替换其中的镜像。


云原生制品面临的安全问题


云原生制品同样面临许多安全问题。



制品安全管理问题


研发团队在构建镜像时可能使用存在风险的镜像,而且存在构建速度慢甚至无法下载镜像的情况,此外漏洞修复也是一大难题;测试团队会面临镜像仓库使用不统一、版本管理混乱、团队协作难等挑战;安全团队难以梳理软件,手头的SCA等工具可能无法对镜像进行分层,而且可能无合适工具对镜像中存在的漏洞进行检测发现,更无法定位受漏洞影响的镜像并将漏洞报告给对应团队;运维团队则面临访问控制难、镜像规模大、人工清理难、镜像分发难等挑战。



开源组件安全风险


根据Snyk和Linux基金会在2022年发布的一项开源安全调查,平均每个应用程序开发项目有49个漏洞和80个直接依赖项。《2021年开源软件供应链安全风险研究报告调查结果》显示,2020年新增漏洞中,高危漏洞占比最高,数量为1826个。使用过时的、存在漏洞的开源组件仍然是软件开发过程常态。

随着各行各业越来越多地使用开源代码,围绕开源合规的讨论成为焦点。新思科技发布的《2022开源安全与风险分析报告》指出,2021年审计的代码库中有53%包含有许可证冲突的开源代码,有17%存在许可证兼容性问题。



开源镜像安全风险


许多企业在构建自己的制品镜像时直接使用了开源镜像。我们对Docker Hub进行持续扫描,发现累计扫描的400多万Docker镜像,其中51%的镜像存在高危漏洞,6432种镜像包含了木马病毒、勒索病毒、挖矿病毒等且累计被下载超过了3亿次。我们所接触的用户中包括政府、传统制造业企业、能源企业等,都遭遇过镜像攻击。



政策合规风险


国内政策正在慢慢完善。《云计算技术金融应用规范安全技术要求》专门提出了对容器安全的要求,包括容器镜像必须加密存储、容器传输必须进行加密连接等,这无论是公共镜像仓库还是私有镜像仓库,都无法满足。《关于规范金融业开源技术应用与发展的意见》对开源技术使用方面提出了要求。



政策合规风险


国内政策正在慢慢完善。《云计算技术金融应用规范安全技术要求》专门提出了对容器安全的要求,包括容器镜像必须加密存储、容器传输必须进行加密连接等,这无论是公共镜像仓库还是私有镜像仓库,都无法满足。《关于规范金融业开源技术应用与发展的意见》对开源技术使用方面提出了要求。



DevOps中的安全风险


Gartner在2021年发布了云原生应用保护平台(CNAPP)规范,对云原生环境下的代码扫描、制品扫描和软件成分分析提出了要求。目前许多企业的DevOps流程中没有嵌入安全,因而缺少对制品安全的把控。


DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

图2 CNAPP能力要求


云原生制品安全最佳实践


针对上述安全问题,小佑科技与用户共同探讨出了云原生制品安全最佳实践,借此机会与大家分享。

云原生制品安全防护需要具备三大核心能力:企业级黄金镜像,用来应对软件供应链安全攻击;DevSecOps流程的安全插件,覆盖镜像构建、上传存储、上线部署等全流程;制品风险检测及修复能力。基于这三大核心能力,我们推出了云原生制品安全防护平台。


DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

图3 云原生制品安全防护平台能力全景图


整个平台又可分为五大功能模块:


01

镜像管理

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

基于项目的方式去统一管理目前主流的镜像仓库,可兼容市面上所有的仓库,并且可以对镜像的上传和下载进行限制,实现安全地进行镜像同步;

02

深度扫描

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

包括漏洞、恶意代码、敏感信息扫描以及安全溯源;

03

风险分析

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

包括镜像内软件成分分析、风险分级、风险验证以及迭代对比;

04

风险处置

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

包括镜像加固、镜像精简、镜像拦截以及开源治理;

05

增强特性

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

包括统一纳管、智能分发、镜像签名以及镜像加密。



制品仓库统一管理


可以在平台上直接创建本地的镜像仓库来管理包括镜像包在内的软件包,列出某个包下的所有构建产物,详细记录每次构建产物的版本迭代更新变化。



远程仓库缓存


远程仓库缓存功能可以解决两大痛点,一是被列入实体清单的企业无法使用Docker Hub,可以通过第三方企业进行镜像缓存直接进行下载;二是针对国外镜像仓库上传和下载速率慢以及频次限制问题,通过把所有镜像缓存到本地镜像仓库来解决。



多种类型制品统一管理


平台通过对多种类型制品的支持,实现各类制品的统一管理,避免分散管理带来的混乱。



风险定级


制品存储加密是平台的独有特点,在上传存储所有镜像时进行分层加密,在集群节点下载镜像时进行分层解密,而且不影响深度扫描功能,会在执行扫描时先解密再扫描。



制品自动清理


平台提供制品自动清理功能,主要是为了防止仓库中制品数量无限增大。



制品风险扫描


平台采用自研扫描引擎,支持中文漏洞库CNNVD和各类国产化操作系统(例如麒麟、欧拉)的镜像。不但能扫描第三方软件中存在的漏洞、敏感信息、开源许可证,而且能对软件历史版本包括供应链进行溯源,具备镜像阻断能力。



成分分析


平台可以对镜像内的第三方开源组件、框架等进行逆向的成分分析。


DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

图4 基于组件成分分析结果,对制品安全状态进行完整统计分析



0Day漏洞处置


平台支持自定义风险,支持强大的规则设定来精确匹配0Day漏洞。



黄金镜像


平台具备的最重磅的能力,7×24h对Docker Hub等公有镜像仓库进行实时扫描,建立了最全的公有镜像漏洞库,并根据扫描结果进行安全加固处理,生成黄金镜像仓库并实时更新。基于黄金镜像,可以实现对安全风险的快速修复,从源头解决云原生领域软件供应链安全问题。



云原生制品安全防护平台有两种部署方式。

第一种是替代原仓库模式,把原仓库中的所有制品同步到平台中。第二种是纳管原仓库模式,在不替换原有仓库的同时,通过远程纳管与制品同步,实现对仓库和制品的统一纳管。第二种模式的优点是对原架构没有影响,较为平滑。

将以上所有能力串联就形成了完整的云原生制品DevSecOps最佳实践。在镜像构建阶段,从黄金镜像仓库拉取操作系统镜像,基于黄金镜像构建业务镜像,通过安全审查后上传测试的镜像仓库;在扫描及修复阶段,由平台对镜像仓库进行漏洞和病毒扫描,也可以进行镜像修复,直到镜像达到安全标准将其同步到生产仓库;在上线阶段,拉取镜像,解密后在节点上运行。

我的分享到此结束,感谢大家。



关注“悬镜安全”公众号,后台回复“DSO2022”,即可获得部分嘉宾完整版PPT。



推荐阅读

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践
DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践
DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践
DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践
DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

关于DSO敏捷安全大会

DSO敏捷安全大会以“敏捷共生,守护中国软件供应链安全”为使命,旨在搭建一个融合“行业用户场景实践、产业智库标准研究、安全媒体行业趋势和领军厂商创新技术”的DevSecOps生态交流分享平台。聚集技术智慧之光,携手共建,致力于助力敏捷安全技术创新实践发展,共筑行业整体性解决方案。了解更多信息请访问DSO大会官网:www.dsocon.cn


关于悬镜安全

悬镜安全,DevSecOps软件供应链安全领导者,起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。悬镜专注于以“代码疫苗”技术为内核,通过原创专利级“全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续赋能金融、泛互联网、车联网、智能制造、能源及运营商等数千家行业标杆用户,帮助其构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。了解更多信息请访问悬镜安全官网:www.xmirror.cn


原文始发于微信公众号(悬镜安全说):DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月21日00:51:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DSO 2022 | 小佑科技白黎明:云原生制品安全防护最佳实践https://cn-sec.com/archives/1522699.html

发表评论

匿名网友 填写信息