云原生安全
“根据Gartner研究预测 ,到2022年,超过75%的全球企业将在生产环境中运行容器化应用。虽然以容器为核心的云原生技术发展速度空前增长,企业采用新兴技术的同时,也需要确保应用在全生命周期的各个关键环节尤其在生产环境运行时的安全问题。“
万物互联时代,企业正在面临着日益严峻的网络安全风险,不断升级的网络攻击、数据泄漏等安全挑战。据国家互联网应急中心2018年度报告 指出,监测到我国互联网恶意程序传播次数日均达500万余次,受攻击的IP地址约5,946万个,约占我国IP总数的17.5%。其中境外控制服务器控制了我国境内约526万台主机。安全漏洞数量共计14,201个,高危漏洞为4,898个。近年来“零日”漏洞 收录数量持续走高,2018年收录的“零日”漏洞收录数量占比37.9%,高达5,381个,同比增长39.6%。大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月超过4,000起,超过60%的攻击事件为僵尸网络控制发起。另外,联网工业设备和工业互联网平台、电力、石化等行业远程监控巡检、互联网金融网站和移动APP安全等都存在着可能产生风险包括拒绝服务攻击、远程命令执行、信息泄漏、暴力破解、网络恶意嗅探等安全漏洞。
企业需要满足数字化转型的期望,实现快速交付和扩大数字业务增长的成功需求。企业扩展数字化业务时,需要不断投资并引入容器、微服务架构等云原生技术,构建崭新的数字平台,并制定相应的数字发展战略,帮助企业加速数字化创新,以保持竞争中的领先地位。
云原生应用作为数字业务应用的最佳载体,伴随着企业数字化转型,被越来越多的企业用户所接受。企业基于云原生技术构建自己的智能混合云数字平台,保持企业在数字经济时代的创新竞争力。容器技术具有行业标准、灵活与轻量的特性,支持微服务架构,提高开发运维效率,实现数字业务应用的快速迭代,并能够在异构的云基础设施之间轻松迁移。Gartner最终用户调查研究显示,中国用户对容器技术的热情高于世界其它市场 。汽车、金融、制造、媒体、零售等很多企业都已经将容器运行在了生产环境。
云原生环境面临安全挑战
传统安全策略和工具在云原生环境下存在盲点
传统安全策略与工具未能跟上云原生技术的快速发展,为运行在云原生环境下的业务应用与数据增加了巨大的潜在安全风险。
对于云原生环境的动态特征,包括大幅增加的内部网络流量、服务通信端口总量和容器秒级启动或消失的动态变化,增加了安全监控和保护的难度。传统防火墙很难适应这种持续的动态变化,难以洞察到容器之间的网络流量和异常行为,特别是恶意攻击者在容器间的操作。云原生环境需要对容器和主机有深度监控和可视化的容器网络安全防护,对网络攻击自动抓取网络数据包,用于安全审计;也需要安全工具通过自主学习,自动生成网络安全策略等。
动态复杂的云原生网络环境
创新业务应用的快速交付迭代与扩展帮助数字业务的快速创新与增长。在规划与交付应用时,会拆分成多个相对独立的微服务应用,每个服务应用都有各自的通信端口、访问权限、授权机制等安全点,不仅会受到外部网络的攻击,也可能会受到内部网络发起的攻击。与保护单一应用安全相比,保障微服务应用与其内部网络变得具有挑战。
数字业务应用快速交付需要自动化安全
为提高数字业务应用交付与运维效率,企业应用开发与运维部门引入开发运营一体化流程,比如,每个微服务应用会涉及相对独立的开发、测试和部署的全生命周期,并通过持续集成/持续交付的流水线,将应用部署运行在开发测试和生产环境中。在整个业务应用全生命周期中,需要为各个环节引入自动化安全保护,不仅避免各个环节的潜在风险,而且提高应用安全交付效率。
如何实现云原生安全
数字经济时代下,企业运用云原生技术加速数字业务创新与增长的同时,应引入云原生安全策略和工具,作为企业安全规划建设的重点;从关注容器隔离能力转变为容器现在所属的云原生生态系统,来完善企业安全体系。
Gartner: 从图像分析到网络细分,选项日趋成熟 -Joerg Fritsch,Michael Isbitski
云原生容器网络安全与第7层应用安全保护
在企业传统安全策略和工具的基础上,引入云原生安全,完善企业安全领域和体系。云原生安全工具能够保护时刻动态变化和复杂的云原生环境。
云原生环境下的攻击面不再是单服务器IP地址,而是分布在大量容器之上,而且微服务应用之间存在大量东西向的内部网络流量。传统网络防火墙不仅难以看到容器之间的网络流量,而且随着容器的快速启动和消失,也无法适应这种快速变化。正如一位网络安全架构师所说:“在一个容器的世界里,你无法手动配置 IPtables 或手动更新防火墙规则。”
对于保护单体应用相比,云原生安全工具能够保护和隔离应用容器和服务。即使在容器动态扩展的情况下也会自动实现发现、跟随和保护。还可以像传统的网关防火墙一样保护从外部网络以及传统应用到容器环境之间的网络通信。
云原生安全工具需要有深度可视化和管理容器网络的能力,能够对容器进行细粒度的安全管控和隔离,具有捕捉容器之间的网络数据包的能力,达到第7层即应用层的容器网络安全保护。
数字应用全生命周期与全流程自动化安全
企业在提高应用开发运维效率的同时,也对应用全生命周期和全流程自动化安全保护提出了新的要求。企业通过在持续集成与持续交付关键步骤中集成安全控制来全面地保护云原生应用。一方面,开发运维人员通过安全自动化工具保证应用在开发测试过程中,消除潜在的安全漏洞风险;另一方面,在运行环境中,运维人员通过安全工具自动化保障容器应用和容器网络运行时安全,以及主机的安全加固、检测和防护。在整个开发运营一体化敏捷开发运维过程中,无缝集成安全策略与工具保障整个流水线的自动化安全,实施DevSecOps的理念。
数字应用全生命周期与全流程自动化安全
金融行业客户实践
如今迈入银行4.0时代,伴随着社交媒体创新以及新兴信息技术的不断发展,银行服务向数字化、场景化与产业化方向转型。近年来,某城市商业银行积极布局金融科技创新,一方面通过数字化渠道「手机银行」拓展新市场领域;另一方面通过线下网点的技术升级,通过「智慧银行」 网点,实现高效率、低成本和优质的客户体验。
该银行客户引入云原生技术进行新架构改造,把服务迁移到基于容器的微服务治理平台上,实现应用服务弹性伸缩,极大提升业务系统应对互联网瞬时洪峰流量访问能力,有效保障业务连续稳定,提升金融服务运营质量;同时引入开发运营一体化平台实现快速交付与迭代业务应用能力。
同时,客户所面临的全新挑战是容器运行时网络可视化和安全保护,及持续集成/持续交付流水线自动化安全。通过云原生安全平台解决方案,帮助客户最终完成生产环境上线。
云原生安全平台提供容器环境所必须的网络自动学习检测、可视化和安全性,并可以轻松集成到自动化工作流程中,内置智能识别保护功能可以让业务服务快速安全扩展。通过平台提供第7层容器网络防火墙能力,保障微服务应用服务内外部网络安全与容器运行时安全。
平台提供安全漏洞扫描能力,持续集成/持续交付流水线集成能力,不仅对运行主机和容器进行实时和自动漏洞扫描,也可对镜像和镜像仓库进行自动扫描,确保应用部署到生产环境之前就可以得到安全检测,有效提高开发运营一体化的自动化安全能力,保障容器应用全生命周期安全。
对于银行安全合规要求,平台提供包括告警、事件、日志等功能,可通过Syslog和Webhook对接客户现有安全信息与管理系统,同时提供合规检查、基准测试报告等能力。
客户在传统安全策略和工具之上,引入云原生安全策略与工具,加强对数字业务应用服务及其网络的监控和保护,有效保护内外部攻击者对系统和服务的攻击和入侵,进而提高金融服务的安全级别与保护能力。
结论
随着云环境和云原生技术的不断发展,恶意攻击者们总会找到与新系统和新架构相应的或更先进的攻击破坏方法,不断开发新的恶意工具或病毒或利用零日漏洞实施网络攻击。企业现有的传统安全策略和攻击会存在盲点,无法完全覆盖云原生环境下的安全问题。
运用和实施云原生安全策略与工具,可以有效降低企业在数字化转型过程中引入新兴技术的风险,与传统安全策略与工具相互结合,共同完善和保障企业的应用、网络以及数据安全。
数字经济发展需要网络安全保驾护航。在国家深入发展互联网+、大数据、人工智能,壮大数字经济的政策指导下,企业已经认识到传统安全策略与工具不能满足快速发展变化的云原生安全需求,必须引入云原生安全解决方案。企业在建设数字业务应用系统的同时,已将云原生安全确定为企业安全规划建设的重点。