金融机构在数字化转型的进程中一直扮演着排头兵的角色,随着业务形态的快速发展和变化,金融机构对IT架构提出更高的要求,云原生在金融领域的应用已经逐步由“面向云迁移应用”的阶段演进到“面向云构建应用”的阶段,其对金融机构数字化转型进程的加速,重点体现在基于云原生2.0的底层技术,实现智能的调度、高效的管理、软硬资源的协同、安全的隔离。
金融产品研发的快速迭代,使得云原生在金融领域得到了广泛的应用,数据、API、微服务等成为了新的关键要素。随着金融机构业务系统与云原生技术相互融合、依赖的不断深入,安全也应跟随并适应云原生场景的需求与挑战。传统的云安全能力并不适用云原生环境,也无法完整覆盖云原生架构及其全生命周期的安全诉求,无法针对这些新型业务系统和关键要素进行安全防护。因此,云原生安全要不仅要将安全能力云原生化,适配云原生环境,更要针对云原生架构的安全风险,真正满足云原生应用在不同阶段的安全需求。
软件架构的改变使得金融机构需要云原生安全。
金融机构业务的云原生化使得业务系统自身的软件架构迎来了革命性的变革,将容器、不可变基础设施等技术引入了金融科技发展中,随之而来的,容器编排层及其组件、容器软件供应链、容器运行时等诸多环节存在了传统软件架构不具备的安全风险,如容器资产的梳理不清、第三方镜像成分不明和投毒、容器运行时的逃逸及漏洞利用等风险。同时,由于基础设施的不可变,导致云原生基础设施的风险管理也变得极为重要。
应用模式的改变使得金融机构需要云原生安全。
金融机构使用云原生技术架构后,其应用模式也发生了彻底的改变,微服务的大量使用、API的爆发式增长以及DevOps研运模式的使用,都带来了大量风险及脆弱面,微服务细粒度拆分与动态迁移导致了安全防护难度的提升,API爆发式增长催化了分离管控和权限滥用的风险,敏捷开发使用的DevOps研运模式提升了流程化安全管理难度。
应用模式的改变也使得我们的关注点从应用系统的运行阶段转向了全生命周期。传统架构中业务系统依托在虚拟机或服务器上,业务系统的更新迭代较慢,只需做好业务系统在运行阶段的安全保障即可。但应用模式转向云原生架构后,随着业务系统的生命周期变短,安全设计需要向左移动,即从开发阶段开始关注安全并将安全融入到业务系统的全生命周期,同时还需要满足多云、多编排系统、多集群模式下的业务系统安全防护。
云原生技术实现了业务的快速交付和快速部署,使云平台的利用率及生产力得到提升。随着IaaS云逐渐向云原生技术架构转变,云安全的技术也应随之改变。奇安信参考国内外领先的安全技术研究成果,针对云原生应用提出了一套相对完整的安全解决方案。该方案以云原生应用为中心,以“覆盖云原生应用全生命周期、贯穿DevOps研运体系、将安全左移与安全右移的理念融入”为原则,实现在云原生应用的构建、部署、运行三个阶段保障业务安全这一目标。
-
向开发左移的云原生安全体系
-
面向云原生基础设施的云原生的安全防护
-
基于软件定义的原生安全能力
-
覆盖开发测试与运行的一体化安全运营
随着云原生技术在国内外的广泛应用,企业数字化转型的进程也不断加快,云原生在安全维度的能力缺失也愈发明显。究其原因,一是现有合规要求无法全面覆盖云原生场景,二是现有安全防护手段无法有效针对云原生架构进行安全防护。于是DevSecOps以及安全左移相关的理念相继提出。对这些理念狭义的理解是要在开发阶段引入必备的安全能力,广义的理解和“三同步”相呼应。
具体到云原生场景,就是要在云原生应用的规划阶段就做好安全设计,并要求云原生安全整体方案能够覆盖到运营阶段。
基于云原生“生于云、长于云”理念,全球咨询机构Gartner提出了云原生应用保护平台(CNAPP)的安全能力框架,将云原生安全分为3个部分:制品安全、基础设施安全和运行时安全,安全能力涉及软件成分分析(SCA)、云安全态势管理(CSPM)、Web应用安全与API防护(WAAP)等。
奇安信基于国内外对CNAPP框架的研究成果,结合奇安信在云安全领域的积累和内生安全理念,提出了如下图所示,更适合国内落地云原生安全框架。
整个框架以云原生应用为中心,安全能力纵向覆盖完整云原生架构,横向覆盖云原生应用的开发、管理/分发和部署运行全生命周期。
云原生安全能力部分,从下至上,奇安信认为:
-
云原生基础设施安全需要重点关注云原生应用运行环境的安全基线管理,其中重点是不合规的配置风险。
-
制品安全的重点,在于供应链安全风险的管控,特别是开源软件的合规、安全使用。
-
容器面临的安全威胁最为严峻,因为越来越多用户已经将容器在核心生产环境中应用,所以安全需求也最为迫切,需要尽快完成覆盖全生命周期的容器安全建设。
-
云主机安全强调暴露面梳理、持续威胁监测以及深入操作系统内核层的安全防护,可在第一时间发现和定位安全威胁,并通过微隔离有效减少损失。
-
微服务风险主要来自大量运行时的API调用和应用自身脆弱性,可通过应用运行时自防护(RASP)、API行为分析与访问控制等能力建设有效缓解。
当然,云原生安全从框架到真正落地还需要与具体产品能力和服务内容的进一步映射,以上仅奇安信认为各部分关键能力抛砖引玉。
需要明确的是,因为云原生安全需将DevOps流程贯穿,这就会涉及金融机构内部跨部门的分工协作。所以,在规划阶段,需要各有关部门拉通信息、统一云原生安全目标;在建设阶段,要依据各部门实际情况,按照不同优先级的进行分批次、分阶段的产品或服务采购;在运营阶段,要基于现有云原生安全能力和业务现状,不断优化安全运营流程,在效果不变的前提下,降低云原生安全运营成本、提升效率。
安全工作不是一蹴而就,金融机构大部分已初步完成了云安全资源池、云主机安全、代码安全、Web安全等能力建设。换言之,一个能够对接已有云原生安全能力,并将所需数据、角色、流程等整合实现统一的云原生安全管理与运营的平台,作为云原生安全的上位能力至关重要。
聚焦CNAPP这一针对云原生应用的全生命周期安全管理与运营平台,奇安信认为应包含资产管理、配置管理、威胁检测和风险评估这四个核心功能模块。
1、云原生资产管理
CNAPP的资产管理模块包含云原生资产定义、云原生资产采集和云原生资产关联三个过程。其中云原生资产的定义非常关键。
传统云环境的资产定义比较简单,一般是以工作负载的IP为主,结合其它业务属性进行定义,并把资产等数据保存在配置管理数据库(CMDB)等系统中。但是云原生技术出现后,因为容器IP的不固定,这种单纯以IP定义并管理资产的方式不再适用,同时传统云环境一般只关注应用运行时资产,没有覆盖应用的开发和部署阶段。
因此在云原生场景下,资产需要被重新定义,需要以应用为中心并覆盖应用的全生命周期。
云原生资产定义好后,就需要进行云原生资产的采集;资产采集回来后,需要围绕应用将生命周期各个阶段的不同资产进行关联,为后面安全能力的关联、风险关联和态势分析打下基础。
2、云原生配置管理
业务底层架构向云原生转型过程中,配置风险是最容易被忽略的。一方面,用户自身技术人员专业程度参差不齐;另一方面,缺乏一些好用的工具,方便用户进行配置检查和问题修复。
CNAPP的配置管理模块用于解决云原生应用整个运行环境的配置安全,包括云平台、容器编排平台、主机以及容器等工作负载,它通过从CSPM、KSPM以及CWPP产品中采集配置数据并进行集中分析,按照优先级给出配置风险和修复建议,并且在应用整个生命周期中持续进行监控,保证应用全生命周期配置安全。
3、云原生威胁检测
CNAPP平台既然还是基于大数据架构构建,面向云原生环境的安全运营平台,就要通过与云原生基础设施的对接,将容器内运行数据实时更新至平台,通过Pod间流量采集,实现云原生环境包括东西向的全流量威胁检测,高级威胁及异常行为的发现,从而实现对威胁的事前预警、事中发现和事后回溯,以及从“被动防御”向“积极防御”的进阶。
由于云原生环境中,东西向流量无法通过传统手段进行采集及分析,所以具备云原生环境的东西向全流量威胁检测能力至关重要。奇安信的实现思路是通过DaemonSet方式从业务容器中采集东西向流量,再通过VXLAN隧道将流量发送至检测引擎进行分析,并将最终结果上报至CNAPP平台。奇安信也是业内唯一一家可实现此能力的安全厂商。
这不仅为安全管理者提供风险评估和应急响应的决策支撑,还是安全运营人员威胁发现、调查取证及响应处置的重要工具。
4、云原生风险评估
在日常安全运营过程中,漏洞的修复和告警处置是最重要的工作之一,但是面对大量漏洞和海量告警时,漏洞修复和告警处置的优先级就成为一个问题。
CNAPP的风险评估模块,应能通过多源数据汇总计算、叠加网络暴露面计算并结合资产重要性等业务属性对资产的风险进行整体评估,给出漏洞修复和告警处置的优先级。
其中多源数据汇总除了结合云原生应用的漏洞、基线和弱口令等脆弱性数据,还应结合应用的流量以及告警威胁数据,进行实时动态计算。叠加网络暴露面计算则是根据云原生资产的网络拓扑以及流量数据,计算云原生应用的南北向和东西向暴露面。最后根据资产的标签或者分类属性,结合资产的重要性等业务属性进行综合风险评估。
针对上述云原生安全能力,奇安信推出了基于大数据架构、面向实战化的云安全运营中心(CSC),同时也是适用与云原生环境,面向云原生应用的统一安全管理与运营平台。CSC支持容器化、微服务化部署,能够实现包括Pod间东西向流量的全流量威胁检测,资产管理、基线管理、脆弱性管理覆盖镜像、节点等云原生资源。
在传统云环境中,CSC可联动奇安信云安全管理平台(CSMP)、云安全托管运营服务(CMSS)实现云内风险自检、云上威胁监测与响应处置、云安全能力多云统管;在云原生环境下,CSC可联动容器安全、云工作负载安全、代码安全、API安全等能力,进行云原生安全的统一管理与运营,让用户迁移到云原生环境下后同样能够实现“资产理得清”、“风险发现早”、“安全能运营”。
随着金融机构对数字化探索的不断深入,云原生技术应用范围的不断扩大,对云原生安全的担忧正与日俱增,成为应用云原生技术的“拦路虎”。
无疑,云原生应用在给企业带来敏捷、高效的同时,也会引入新的安全风险和挑战。而这是仅依赖云安全资源池、云服务器安全等传统云安全手段的单点能力建设所无法解决的。但云原生安全与云安全也不是孤立存在,而是有所联系、互为支撑的。
除了上文所述的云原生安全能力之外,奇安信还认为,云原生安全工作要继续坚持“责任共担”和“安全内生”,并在云原生场景下更彻底的贯彻落实安全与业务应用“同步规划、同步建设和同步运营”这一重要实践经验,基于云原生技术,实现云原生场景下全生命周期安全防护和安全运营的协同统一。
作者介绍
刘浩:奇安信副总裁
鲍坤夫:奇安信云安全首席架构师
关于 大湾区金融安全专刊
大湾区专刊集合了全国数十家金融和科技机构的网络安全工作经验总结,内容涉及防护体系、资产管理、研发安全、攻防演练、安全运营、数据安全、业务安全七大主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
专刊获取方式
原文始发于微信公众号(KK安全说):面向云原生应用的安全防护与运营能力建设|大湾区金融安全专刊·安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论