说米网

近两年来，咱们常常听见“云原生”这个词出现在各大媒体渠道。谷歌、Red Hat、微软、亚马逊、阿里巴巴、华为等超越300家国内外闻名企业也纷繁参加CNCF(云原生核算基金会)。在云原生技能发展得如火如荼的一起，另一边云原生技能自身却不被群众所了解，而“云原生安全”对咱们来说更是个生疏的词汇。所以，云原生技能究竟是什么?云原生安全与传统安全又有何区别?今天，咱们一起来具体了解一下云原生安全与传统安全。

云原生技能究竟是什么

简略来说，服务器机柜“云原生” 能够概括为：充分运用原生云才能(主动扩展、无中断布置、主动化办理、弹性等)来进行运用设计、布置和智能化运维的办法。依据CNCF官网上对云原生的定义，云原生技能主要指以容器、继续交付、DevOps以及微服务为代表的技能体系，2018年，又参加Service Mesh(服务网络)和声明API。

云原生技能的出现，是为了让当时依据容器的大规模分布式体系办理具有更高的主动化、更低的本钱与更低的杂乱性，使得互联网体系比较以前更容易办理、容错性更好、更便于可视化。

云原生安全有何不同

那么，云原生安全比较传统安全又有何不同呢?

其实，云原生安全并不共同，传统环境下的安全问题在云环境下依然存在，比方DOS进犯、内部越权、数据走漏、数据篡改、缝隙进犯等，但由于云原生架构的多租户、虚拟化、快速弹性伸缩等特色，对传统安全的某些层面提出了新的应战，如果要用一句话总结传统安全与云原生安全的不同，那能够概括为：传统安全更注重鸿沟防护，而云原生安全更注重继续安全。

以下，咱们就从六个危险点，为咱们介绍云原生环境下的一些典型安全问题。

1. 菜里下毒—镜像安全很重要

被咱们所熟知的，Docker官方供给了docker hub能够让用户自在上传创立的镜像，以便其他用户下载，用以快速搭建环境。在供给便利的一起，也带来了新的安全危险，如：下载的镜像是否被恶意植入后门?镜像所搭建的环境是否自身就包括缝隙?

此外，快速迭代的云原生运用加大了引入缝隙/bug，病毒和不安全API，secrets等的时机，所以如何用内生在CI流程傍边的镜像安全扫描和加固计划以及安全左移的理念来继续发现和减少危险至关重要。

据统计，在对Docker Hub上公开热门镜像中的前十页镜像扫描发现，在一百多个镜像中，没有缝隙的只占到24%，包括高危缝隙的占到67%。许多咱们常常运用的镜像都包括在其间，如：Httpd、Nginx、Mysql等等。由此可见，镜像安全，是云原生安全中不行忽视的一环。

2. 芒刺在背—运行时安全需注意

服务器的cpu微服务架构作为云原生技能的重要组成部分，其间心思路在于考虑围绕着事务领域组件来创立运用，简略来说就是为每个事务创立独自的容器环境，这些运用可独立地进行开发、办理和加速，互不搅扰。

微服务架构依赖于容器技能，而其涣散的特性也为办理引入了杂乱度，于是出现了k8s来对各个涣散的容器进行一致编排办理，这对事务来说，无疑是个好消息。但一起Pod, 容器，deamon等杂乱动态的资源和k8s对集群资源的动态调度，也给运行时安全检测和防护引入了史无前例的难题。

众所周知，逃逸缝隙是云环境下一种常见的缝隙，黑客能够运用一些缝隙或办理人员的装备问题，从容器环境中跳出而取得宿主机权限。因而，一旦单个容器环境存在逃逸缝隙，或许就会导致整个集群沦陷。

例如常见的运用特权容器、runC等缝隙完成逃逸，能够说，微服务架构下这种一致办理形式，是悬在众多云用户头上的达摩克里斯之剑，而针对容器运行时安全的防护，值得所有人进步警觉。

3. 凿壁偷光—你的阻隔还不行健壮

docker以其轻量为咱们所喜欢，经过docker咱们能够很方便快捷地建一个独立的运行环境。但同样的，方便的背面，潜在着安全危险。

咱们以闻名的脏牛缝隙(CVE-2016-5195)为例：

进犯者能够直接突破阻隔进行提权，然后取得宿主机的root权限。

那为什么会出现这样的问题呢?如下图所示，咱们能够了解到，docker的阻隔实际上只做到了进程间与文件的阻隔，依赖于linux内核的namespace与cgroup技能，比较于依据OS的传统虚拟化方法，容器的资源和权限阻隔不行彻底，这也就为针对体系的提权、文件体系的进犯等方法发明了条件。

4. 天机走漏—数据办理之殇

云环境因其特殊性，一般多个用户共享云上存储，这也导致了单个用户的运用存在问题就有或许导致其他客户的数据信息走漏，而云核算自身依托于海量数据，因而数据走漏的危险远大于传统环境。

经过租用一些公有云渠道咱们能够知道，accesskey是完成衔接云渠道的重要身份凭证，而accesskey的办理也是个重要的问题，咱们在渗透过程中常常会在一些debug信息以及某些备份信息中发现泄漏的acccesskey，图为阿里云accesskey的运用工具，进犯者能够直接经过accesskey完成数据读取、命令履行等操作。

5. 一发入魂—东西向安全困惑

与传统内网安全不同的是，微服务架构因其杂乱的内部通讯链路(包括进程和pod，容器和容器，pod和pod之间的通讯等等)及不行见性，针对东西向流量，传统的依据简略ip维度及人工方法装备的ACL流量管控形式现已不再是全能的解药，网络要挟一旦进入云渠道内部，便能够肆意延伸。

以CVE-2019-3462APT远程代码履行缝隙为例，进犯者一旦进入网络环境中，便能够运用中间人进犯或许一个恶意的下载镜像来触发该缝隙，导致远程代码履行，然后进行横向进犯。

而很为难的现状是安全团队不能再像传统IT 架构相同直接将安全产品、计划布置在网络鸿沟、事务鸿沟阻断各种要挟/危险事情，因而咱们需求一种愈加适用于云原生环境的更细粒度的安全阻隔机制。

6. 病入膏肓—头痛的财物梳理与要挟感知

财物办理，一直是让IT部分一个比较头疼的问题，频繁的服务器变动，往往让运维人员疲于奔命，大量的公司，还在用着excel来记录公司的IT财物情况。

而微服务架构的出现，对于财物办理来说更是一场巨大的灾难，随时或许发生的容器以及云原生架构下的各个层次资源(服务，pod，容器等)的添加、删去、调度，让办理者很难对财物进行及时的盘点更新，也存在极大的或许遗忘一些现已不被运用的容器。跟着时刻的推移，这些容器或许出现一些新的安全要挟，这就给黑客带来了可趁之机，在用户毫无感知的情况下，整个集群就已沦为黑客的肉鸡，而比及用户真的发现问题，丢失已铸成，想要弥补也为时已晚。

探真云原生安全解决计划

那么，如何针对以上有别于传统架构下的安全危险应战，打造更适合于云原生环境下的防护体系呢?探真科技依据当时云原生环境下所或许遇到的各个危险点，以及各种场景的适配情况，给出了解决计划：

1.镜像扫描

针对当时公有云、私有云存在的镜像安全问题，探真科技镜像安全扫描计划可与客户的CICD流程深度交融，凭借35w+的安全规矩库，检测出相关镜像的CVE缝隙、脆弱Package、灵敏信息、Malware等安全危险。

当体系完成镜像文件扫描程序后，用户能够查看缝隙严峻程度、CVSS分数、现在是否有供给维修更新镜像等信息。经过内建的过滤机制，用户能够依据事情严峻性，决定镜像文件更新操作的排期，然后保证运用者上传、布置于Kubernetes环境的镜像都是来自可信来历、未经手动干预后的镜像。

2.微阻隔

微阻隔(Micro-Segmentation)是一种专门针对虚拟化渠道的阻隔技能，有别于传统防火墙的鸿沟流量阻隔，微阻隔的中心才能便是针对东西向流量的阻隔，具有更细粒度的阻隔效果。

探真微阻隔计划经过可视化展现让安全运维与办理人员愈加了解内部网络信息流动的情况，能够按人物、事务功用等多维度标签对需求阻隔的工作负载进行快速分组，一起由战略操控中心经过自学习形式，自适应学习出针对每个运用服务之间最适合的阻隔战略，做到愈加精准的东西向流量拜访权限操控，减少横向移动进犯的或许性。

3.安全合规检查

针对国家等保2.0提出的安全合规要求，探真科技合规侦测战略从身份辨别、拜访操控、安全审计、入侵防护、恶意代码防护、资源操控六大方面进行了完整的覆盖，一起结合CIS docker安全基线、kubernetes安全基线、探真科技自定义的安全战略等，及时发现云环境下存在的安全装备问题。

4.特权账号办理

针对特权账号办理问题，探真动态鉴权能够适配云原生环境(如docker、k8s、openshift等)，集成进入CICD流程，去除容器内密码、秘钥、证书等登录凭证。探真动态鉴权还能够代替云服务商的KMS，完成企业跨云、跨中心一致特权办理，完美适配云原生环境下各种杂乱账号管控场景。

5.容器运行时安全防护

探真科技依据云环境下的缝隙攻防场景，提出了独家的AI免疫防护技能，经过深度监测体系底层调用，借用无监督学习，为每个运用建立了独自的安全调用基线，并合作强壮的进犯检测引擎，可及时发现体系中存在的各种要挟，针对体系提权、虚拟机逃逸、缝隙进犯、挖矿程序、非正常扫描行为等都具备极强的检测与防护才能。

6.财物主动发现与要挟态势感知

探真科技要挟感知支撑主动化财物发现，以可视化效果出现给客户当时的所有财物所在的位置、状况以及所面临的危险，一起接入镜像安全、阻隔安全、运行时安全、账号安全等多种数据，依据存在危险点匹配云上容器ATT&CK矩阵下的近300条规矩侦测入侵行为事情，给予用户一个完整的安全感知视角，真实做到了防患于未然。

云原生安全未来展望

依据IDC在2020年5月发布的《2020年我国云核算商场十大预测》指出，到2022年，60%的我国500强企业将投资于云原生运用和渠道的主动化、编排和开发生命周期办理。

同年10月，腾讯云安全发布了《2021云安全九大趋势》，涵盖了云原生安全，零信任及身份认证，数据安全及合规，软硬件供应链安全等几大行业广泛重视的领域，其间，云原生安全成为高频词。

能够预见，在产业快速上云的当下及未来，云原生安全，也将扮演愈加重要的人物。云原生安全能够说是安全的未来主要方向。