《云原生安全： 攻防实践与体系构建》解读：业务安全篇

随着云原生技术的发展，业务系统从原有的单体架构逐步转换为微服务架构。微服务架构使应用的开发和业务的扩展变得更加便利，同时也带来了许多新的安全问题。那么，生长在云原生环境下的业务系统面临着哪些安全隐患？攻击者如何利用这些隐患对业务系统进行攻击？针对所存在的隐患和可能面临的攻击如何进行异常检测和安全防护？各位读者将在《云原生安全：攻防实践与体系构建》书籍中找到答案。

笔者看来，云原生应用风险主要是Web应用风险，即网络层面的风险，而云原生应用业务风险无明显的网络攻击特征，多是利用业务系统的漏洞或规则对业务系统进行攻击来牟利，从而造成一定的损失。
此外，与传统应用架构中的业务风险不同，微服务应用架构中，若服务间的安全措施不完善，例如用户授权不恰当、请求来源校验不严格等，将会导致针对微服务业务层面的攻击变得更加容易，例如针对一个电商应用，攻击者可以对特定的服务进行攻击，例如通过API传入非法数据，或者直接修改服务的数据库系统等。攻击者可以绕过验证码服务，直接调用订单管理服务来进行薅羊毛等恶意操作。攻击者甚至可以通过直接修改订单管理和支付所对应的服务系统，绕过支付的步骤，直接成功购买商品等。
综上，笔者认为，应用微服务化的设计模式带来的业务风险可包含两方面，一方面是未授权访问风险，典型场景为攻击者通过权限绕过对业务系统的关键参数进行修改从而造成业务损失，另一方面则是API滥用的风险，典型的是对业务系统的薅羊毛操作。

为了应对微服务业务系统所面临的安全风险，基于基线的异常检测是一类比较有效的方法：首先建立正常业务行为与参数的基线，进而找出偏移基线的异常业务操作，其中，基线的建立需要结合业务系统的特性和专家知识共同来完成。 
为此，我们设计了基于基线的异常检测方案。

图2 业务异常检测引擎设计图

此方案中各个模块的功能为：
分布式追踪工具。采集微服务业务系统运行时生成的数据。目前常用的开源分布式追踪工具有Jaeger和Skywalking，它们对异常检测上的帮助各有所长。Jaeger在部署上对软件系统有较强的侵入性，需要在代码中进行插桩，但可以获取完整的数据信息。Skywalking与Jaeger相比，可以获取的数据信息更少，比如无法获取HTTP请求体信息，但其采用了字节码注入技术，通过控制虚拟机的类加载器完成追踪与数据采集，无需修改业务系统的源代码。此外，也可以选择sidecar截取业务容器上下游的流量信息进行数据采集，但目前sidecar无法独立实现追踪功能，获取的数据集中没有API调用树（TraceID）信息，需要利用算法对追踪序列进行还原。由于业务系统自身采用的分布式追踪工具是不同的，而且其中有些业务系统没有部署追踪工具，检测引擎需要适配不同的追踪工具，在所能获取到的数据字段下最大程度的覆盖多种场景的异常检测。
数据筛选与整合模块。过滤数据集中的脏数据，并提取出可以表示业务系统行为的数据字段。
数据训练模块。利用机器学习或统计学的方法，训练出业务系统中的正常行为，并生成与业务系统正常行为匹配的特征数据。在训练过程中，需要根据专家知识对训练结果进行检验并不断调整训练模型的参数。 
检测引擎。将业务系统当前数据与特征数据库中数据进行检索匹配，并将检索出的特征数据与当前数据的相似度同基线进行比较，进而检测出偏移基线的异常业务操作。初始基线需要由安全专家设置，基线的维护则需要根据业务的特性采用不同的方法，常用的维护方法包括利用无监督的机器学习模型自动维护以及由运维人员手动维护。

业务在明，黑产在暗，本身在对抗层面防守方就处于劣势，黑产有充足的时间通过小规模的试探摸清线上的业务规则，从而进行后续大规模的出击。在这种劣势条件下，怎样走在黑产的前面将防护工作做好，保障微服务业务的安全，仍旧是一项巨大挑战。《云原生安全：攻防实践与体系构建》书籍中融合了笔者以及其他作者在业务安全上的研究经验，盼望此书籍可为广大读者在微服务业务安全上的研究提供帮助。
本文旨在对《云原生安全：攻防实践与体系构建》书籍中的业务安全部分进行精华解读。若需要详细了解云原生业务安全或希望对云原生安全有更加宏观的了解，请参照具体书中章节，若有任何问题可随时联系作者。