云原生安全防护体系建设|大湾区金融安全专刊·安全村

admin 2023年5月31日12:36:42评论29 views字数 3514阅读11分42秒阅读模式

云原生安全防护体系建设|大湾区金融安全专刊·安全村


云原生安全防护体系建设|大湾区金融安全专刊·安全村


云计算发展近二十年后,已然进入了云原生时代。云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性,解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题,极大的释放了云计算效能,成为各行各业数字业务应用创新的原动力,有效推动了各项业务的高质量发展。


但同时,云原生架构也带来了新的威胁,例如Docker Hub频繁被爆含有漏洞和恶意程序的镜像,Kubernetes集群被入侵、API的未授权访问和数据泄露等,安全问题成为影响云原生落地的重要因素。因此,安全防御体系需要加强对云原生环境的覆盖,通过体系化的安全建设对云原生系统进行高效的安全检测与防护。


云原生安全防护体系及架构



云原生安全防护主要任务是实现体系化的云原生安全防护能力建设,包括承载云原生系统的基础设施层安全、容器和容器云平台基础架构层安全、以及容器承载的应用层安全,从而全面保障云原生基础平台及运行业务的安全。


具体功能架构如下图所示:

云原生安全防护体系建设|大湾区金融安全专刊·安全村


基础设施层安全

在基础设施层,需要提供针对容器平台运行主机的安全防护措施,包括采用定制化的安全内核和安全操作系统,以及对已知漏洞进行安全性的修复和管理。同时,针对主机上的基础软件,进行安全配置基线的检测与加固,在基础设施层面减小攻击面。


定制化安全操作系统可以基于内核社区长期支持的版本进行定制,增加适用于云计算场景的新特性、改进内核性能并修复重大缺陷。在容器化场景下,进行一系列的性能优化以及功能定制。同时,需要定期针对相关安全性问题进行升级更新,提升系统和内核的安全,在底层保证容器化应用的安全运行。


除了定制化的安全内核和操作系统之外,需要对已知的漏洞进行安全修复,对相应危险的配置进行检测和修正,保证解决掉所有已知的安全风险。同时,提供一套完整的漏洞和配置管理运营方案,对于主机漏洞和配置,能够在第一时间进行修复和处理,最大程度的降低基础设施层面的安全风险。


基础架构层安全

在容器云平台的基础架构层,首先需要针对容器和平台采取有效的安全防护措施,包括提供有效的资源隔离和限制措施,用户的身份和权限管理机制,基于云原生最佳实践的安全配置加固,对云原生实现组件的漏洞管理与修复等。


其次,在网络安全上,可以采用零信任架构,持续的对集群网络进行监控和异常检测,保证网络的有效隔离和安全通信,包括租户、Service、Pod等不同粒度的网络隔离,网络通信的加密,访问控制,网络的入侵检测,基于机器学习进行网络行为的异常检测与处置等。


最后,当容器启动运行后,持续的对包括容器逃逸、反弹shell、异常进程、文件篡改、高危系统调用等在内的入侵行为进行检测与告警,实现运行时的实时检测与防护。同时,还可以结合机器学习、人工智能等大数据分析技术,对容器的行为进行监控、画像,从行为分析角度,对容器内的行为进行异常检测,多维度保障容器的运行安全。


应用层安全

在容器应用层,需要提供全面的软件供应链安全防护措施,通过提供对镜像的安全扫描能力,深度扫描本地/仓库镜像,分析镜像的安全漏洞、恶意文件、敏感信息等。通过多维度深度扫描,帮助用户发现不安全镜像,从源头上解决容器镜像安全问题。


同时还需要提供针对容器镜像的安全态势监控能力,持续监测镜像的安全态势。另外,还可以通过API网关、API监控等方式,对微服务间的API通信进行安全防护,包括API的访问控制、身份管理,调用链异常分析等。



云原生防护主要安全措施



针对云原生环境,主要的安全措施有:镜像扫描、集群安全、运行时入侵检测、网络安全、安全管理与可视化和DevSecOpsDevOps工具链集成,通过这些防护措施的实践,持续提升云原生环境的安全性及适用性,有力支撑云原生环境的安全可靠。


镜像扫描

1、漏洞扫描

对容器环境的基础设施(包括主机操作系统)、容器仓库中的容器镜像进行漏洞扫描,凭借强大的漏洞库支持能力、白盒/黑盒对比扫描等特性,评估容器环境的安全风险。实时同步更新最新的漏洞信息,确保检测的准确性。


云原生安全防护体系建设|大湾区金融安全专刊·安全村


2、木马扫描

本地镜像流程是后台下发扫描命令给到客户端,客户端将遍历扫描镜像中的所有目录下文件,上报文件Hash信息到后端,后端通过样本库匹配方式确定文件是否是木马病毒文件。如果样本库不存在该文件样本,则下发提取文件命令给到客户端,客户端将文件内容读取并上报到后台,后台调用扫描引擎对文件进行鉴定,最后将引擎鉴定文件的结果保存到数据库。


仓库镜像流程是,后台服务从仓库拉取镜像信息,从镜像中遍历所有目录下的文件,上报文件Hash信息到后端,后端通过样本库匹配方式确定文件是否是木马病毒文件。如果样本库不存在该文件样本,则获取文件内容,后台调用扫描引擎对文件进行鉴定,最后将引擎鉴定文件的结果保存到数据库。


云原生安全防护体系建设|大湾区金融安全专刊·安全村


集群安全

集群安全可使用原生的K8S技术,结合容器安全服务,为用户提供集群的安全保障。

云原生安全防护体系建设|大湾区金融安全专刊·安全村


容器安全服务可以在托管的云服务器实例集群上运行应用程序。使用该服务,可无需安装、运维、扩展集群管理基础设施,只需进行简单的API调用,便可启动和停止Docker应用程序,查询集群的完整状态,以及使用各种云服务。可以根据资源需求和可用性要求在集群中安排容器的置放,满足业务或应用程序的特定要求。

从集群安全整体架构图可以看出,功能的实现分为Agent端和后台服务端。后台服务端负责数据的收集、解析与存储;


云原生安全防护体系建设|大湾区金融安全专刊·安全村


Agent以Deamonset的形式运行,负责客户环境的管理与监控。


运行时入侵检测

经过日志聚合解析,将非结构化原始日志,转化成结构化数据后。上层的安全检测功能模块需要通过基于规则的方式识别威胁。


容器逃逸攻击指的是容器利用系统漏洞,“逃逸”出了其自身所拥有的权限,实现了对宿主机和宿主机上其他容器的访问。由于容器与宿主机共享操作系统内核,为了避免容器获取宿主机的Root权限,通常不允许采用特权模式运行容器。


通过对容器内进程行为的实时监控,发现容器内通过调用系统内核产生的宿主机文件访问逃逸、MountNamespace逃逸、程序提权逃逸、特权容器启动逃逸、敏感路径挂载、Syscall逃逸等行为。


通过系统规则和用户自定义检测规则,实时监控违反安全策略的文件异常访问行为,并实时告警通知或拦截。系统策略包括篡改计划任务、篡改系统程序、篡改用户配置等。


反弹 Shell 功能是基于客户端多维度多手段,对服务器上的 Shell 反向连接行为进行识别记录,为运行时容器提供反弹 Shell 行为的实时监控能力。


云原生安全防护体系建设|大湾区金融安全专刊·安全村


网络安全

在每个容器主机部署网络隔离能力,使之拥有本地Docker Daemon进程的完全访问权,可以很容易监控到容器网络的异常行为,特别是恶意攻击者在容器间的横向移动,同时在内部集成机器学习模块,自动学习安全策略,从而更有效保护容器安全。


容器网络通信的深度检测以及可视化,获得准确的应用程序知识来保护容器;主机进程监视、进程权限升级监视、可疑进程监视;抓取容器原始数据包,用于取证和调试。


安全管理与可视化

自动化统计容器、镜像、主机、进程端口、应用web资产、运行应用、数据库应用等资产基本信息。以可视化的图形、图表等方式实时展示资产信息(容器、镜像、主机)、待处理安全事件数量、运行时安全事件新增趋势、本地镜像新增风险趋势及详情。


DevSecOps,DevOps工具链集成

支持DevSecOps流程集成,在DevOps生命周期各阶段嵌入开展镜像漏洞扫描、敏感信息检测、木马病毒扫描,持续检测CI/CD阶段中仓库镜像、已部署镜像风险。


云原生安全将是未来几年云安全的主要发展方向。随着数字化转型的快速推进,云原生技术与基础设施融合也逐步成为趋势,在部署基础设施和应用系统时需要充分考虑云原生相关的风险和威胁,并建立体系化的安全防护手段,实现基础设施和服务的内生安全,更好的为业务保驾护航。



作者介绍

任恒,招商银行技术专家,10 余年安全领域经验,先后在甲乙方从事安全产品研发、规划落地、安全体系建设等工作,在云安全领域积累了丰富经验。




关于 大湾区金融安全专刊



大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。


关于 安全村



安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。



云原生安全防护体系建设|大湾区金融安全专刊·安全村

专刊获取方式


本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!


云原生安全防护体系建设|大湾区金融安全专刊·安全村



原文始发于微信公众号(SecUN安全村):云原生安全防护体系建设|大湾区金融安全专刊·安全村

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月31日12:36:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   云原生安全防护体系建设|大湾区金融安全专刊·安全村http://cn-sec.com/archives/1759664.html

发表评论

匿名网友 填写信息