當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

云原生安全VS傳統(tǒng)安全 六大全新挑戰(zhàn)

 2021-05-12 20:10  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

近兩年來(lái),我們常常聽(tīng)見(jiàn)“云原生”這個(gè)詞出現(xiàn)在各大媒體平臺(tái)。谷歌、Red Hat、微軟、亞馬遜、阿里巴巴、華為等超過(guò)300家國(guó)內(nèi)外知名企業(yè)也紛紛加入CNCF(云原生計(jì)算基金會(huì))。在云原生技術(shù)發(fā)展得如火如荼的同時(shí),另一邊云原生技術(shù)本身卻不被大眾所了解,而“云原生安全”對(duì)大家來(lái)說(shuō)更是個(gè)陌生的詞匯。所以,云原生技術(shù)到底是什么?云原生安全與傳統(tǒng)安全又有何區(qū)別?今天,我們一起來(lái)詳細(xì)了解一下云原生安全與傳統(tǒng)安全。

云原生技術(shù)到底是什么

簡(jiǎn)單來(lái)說(shuō),“云原生” 可以概括為:充分利用原生云能力(自動(dòng)擴(kuò)展、無(wú)中斷部署、自動(dòng)化管理、彈性等)來(lái)進(jìn)行應(yīng)用設(shè)計(jì)、部署和智能化運(yùn)維的方法。根據(jù)CNCF官網(wǎng)上對(duì)云原生的定義,云原生技術(shù)主要指以容器、持續(xù)交付、DevOps以及微服務(wù)為代表的技術(shù)體系,2018年,又加入Service Mesh(服務(wù)網(wǎng)絡(luò))和聲明API。

云原生技術(shù)的出現(xiàn),是為了讓當(dāng)前基于容器的大規(guī)模分布式系統(tǒng)管理?yè)碛懈叩淖詣?dòng)化、更低的成本與更低的復(fù)雜性,使得互聯(lián)網(wǎng)系統(tǒng)相比以前更容易管理、容錯(cuò)性更好、更便于可視化。

云原生安全有何不同

那么,云原生安全相比傳統(tǒng)安全又有何不同呢?

其實(shí),云原生安全并不獨(dú)特,傳統(tǒng)環(huán)境下的安全問(wèn)題在云環(huán)境下仍然存在,比如DOS攻擊、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、漏洞攻擊等,但由于云原生架構(gòu)的多租戶、虛擬化、快速?gòu)椥陨炜s等特點(diǎn),對(duì)傳統(tǒng)安全的某些層面提出了新的挑戰(zhàn),如果要用一句話總結(jié)傳統(tǒng)安全與云原生安全的不同,那可以概括為:傳統(tǒng)安全更重視邊界防護(hù),而云原生安全更重視持續(xù)安全。

以下,我們就從六個(gè)風(fēng)險(xiǎn)點(diǎn),為大家介紹云原生環(huán)境下的一些典型安全問(wèn)題。

1. 菜里下毒—鏡像安全很重要

被大家所熟知的,Docker官方提供了docker hub可以讓用戶自由上傳創(chuàng)建的鏡像,以便其他用戶下載,用以快速搭建環(huán)境。在提供便利的同時(shí),也帶來(lái)了新的安全風(fēng)險(xiǎn),如:下載的鏡像是否被惡意植入后門(mén)?鏡像所搭建的環(huán)境是否本身就包含漏洞?

此外,快速迭代的云原生應(yīng)用加大了引入漏洞/bug,病毒和不安全API,secrets等的機(jī)會(huì),所以如何用內(nèi)生在CI流程當(dāng)中的鏡像安全掃描和加固方案以及安全左移的理念來(lái)持續(xù)發(fā)現(xiàn)和減少風(fēng)險(xiǎn)至關(guān)重要。

據(jù)統(tǒng)計(jì),在對(duì)Docker Hub上公開(kāi)熱門(mén)鏡像中的前十頁(yè)鏡像掃描發(fā)現(xiàn),在一百多個(gè)鏡像中,沒(méi)有漏洞的只占到24%,包含高危漏洞的占到67%。很多我們經(jīng)常使用的鏡像都包含在其中,如:Httpd、Nginx、Mysql等等。由此可見(jiàn),鏡像安全,是云原生安全中不可忽視的一環(huán)。

2. 芒刺在背—運(yùn)行時(shí)安全需注意

微服務(wù)架構(gòu)作為云原生技術(shù)的重要組成部分,其核心思路在于考慮圍繞著業(yè)務(wù)領(lǐng)域組件來(lái)創(chuàng)建應(yīng)用,簡(jiǎn)單來(lái)說(shuō)就是為每個(gè)業(yè)務(wù)創(chuàng)建單獨(dú)的容器環(huán)境,這些應(yīng)用可獨(dú)立地進(jìn)行開(kāi)發(fā)、管理和加速,互不干擾。

微服務(wù)架構(gòu)依賴于容器技術(shù),而其分散的特性也為管理引入了復(fù)雜度,于是出現(xiàn)了k8s來(lái)對(duì)各個(gè)分散的容器進(jìn)行統(tǒng)一編排管理,這對(duì)業(yè)務(wù)來(lái)說(shuō),無(wú)疑是個(gè)好消息。但同時(shí)Pod, 容器,deamon等復(fù)雜動(dòng)態(tài)的資源和k8s對(duì)集群資源的動(dòng)態(tài)調(diào)度,也給運(yùn)行時(shí)安全檢測(cè)和防護(hù)引入了前所未有的難題。

眾所周知,逃逸漏洞是云環(huán)境下一種常見(jiàn)的漏洞,黑客可以利用一些漏洞或管理人員的配置問(wèn)題,從容器環(huán)境中跳出而獲得宿主機(jī)權(quán)限。因此,一旦單個(gè)容器環(huán)境存在逃逸漏洞,可能就會(huì)導(dǎo)致整個(gè)集群淪陷。

例如常見(jiàn)的利用特權(quán)容器、runC等漏洞實(shí)現(xiàn)逃逸,可以說(shuō),微服務(wù)架構(gòu)下這種統(tǒng)一管理模式,是懸在眾多云用戶頭上的達(dá)摩克里斯之劍,而針對(duì)容器運(yùn)行時(shí)安全的防護(hù),值得所有人提高警惕。

3. 鑿壁偷光—你的隔離還不夠結(jié)實(shí)

docker以其輕量為大家所喜愛(ài),通過(guò)docker我們可以很方便快捷地建一個(gè)獨(dú)立的運(yùn)行環(huán)境。但同樣的,方便的背后,潛在著安全風(fēng)險(xiǎn)。

我們以知名的臟牛漏洞(CVE-2016-5195)為例:

攻擊者可以直接突破隔離進(jìn)行提權(quán),從而獲得宿主機(jī)的root權(quán)限。

那為什么會(huì)出現(xiàn)這樣的問(wèn)題呢?如下圖所示,我們可以了解到,docker的隔離實(shí)際上只做到了進(jìn)程間與文件的隔離,依賴于linux內(nèi)核的namespace與cgroup技術(shù),相比于基于OS的傳統(tǒng)虛擬化方式,容器的資源和權(quán)限隔離不夠徹底,這也就為針對(duì)系統(tǒng)的提權(quán)、文件系統(tǒng)的攻擊等方式創(chuàng)造了條件。

4. 天機(jī)泄露—數(shù)據(jù)管理之殤

云環(huán)境因其特殊性,通常多個(gè)用戶共享云上存儲(chǔ),這也導(dǎo)致了單個(gè)用戶的應(yīng)用存在問(wèn)題就有可能導(dǎo)致其他客戶的數(shù)據(jù)信息泄露,而云計(jì)算本身依托于海量數(shù)據(jù),因此數(shù)據(jù)泄露的風(fēng)險(xiǎn)遠(yuǎn)大于傳統(tǒng)環(huán)境。

通過(guò)租用一些公有云平臺(tái)我們可以知道,accesskey是實(shí)現(xiàn)連接云平臺(tái)的重要身份憑證,而accesskey的管理也是個(gè)重要的問(wèn)題,我們?cè)跐B透過(guò)程中經(jīng)常會(huì)在一些debug信息以及某些備份信息中發(fā)現(xiàn)泄漏的acccesskey,圖為阿里云accesskey的利用工具,攻擊者可以直接通過(guò)accesskey實(shí)現(xiàn)數(shù)據(jù)讀取、命令執(zhí)行等操作。

5. 一發(fā)入魂—東西向安全困惑

與傳統(tǒng)內(nèi)網(wǎng)安全不同的是,微服務(wù)架構(gòu)因其復(fù)雜的內(nèi)部通信鏈路(包括進(jìn)程和pod,容器和容器,pod和pod之間的通信等等)及不可見(jiàn)性,針對(duì)東西向流量,傳統(tǒng)的基于簡(jiǎn)單ip維度及人工方式配置的ACL流量管控模式已經(jīng)不再是萬(wàn)能的解藥,網(wǎng)絡(luò)威脅一旦進(jìn)入云平臺(tái)內(nèi)部,便可以肆意蔓延。

以CVE-2019-3462APT遠(yuǎn)程代碼執(zhí)行漏洞為例,攻擊者一旦進(jìn)入網(wǎng)絡(luò)環(huán)境中,便可以利用中間人攻擊或者一個(gè)惡意的下載鏡像來(lái)觸發(fā)該漏洞,導(dǎo)致遠(yuǎn)程代碼執(zhí)行,進(jìn)而進(jìn)行橫向攻擊。

而很尷尬的現(xiàn)狀是安全團(tuán)隊(duì)不能再像傳統(tǒng)IT 架構(gòu)一樣直接將安全產(chǎn)品、方案部署在網(wǎng)絡(luò)邊界、業(yè)務(wù)邊界阻斷各種威脅/風(fēng)險(xiǎn)事件,因此我們需要一種更加適用于云原生環(huán)境的更細(xì)粒度的安全隔離機(jī)制。

6. 病入膏肓—頭痛的資產(chǎn)梳理與威脅感知

資產(chǎn)管理,一直是讓IT部門(mén)一個(gè)比較頭疼的問(wèn)題,頻繁的服務(wù)器變動(dòng),往往讓運(yùn)維人員疲于奔命,大量的公司,還在用著excel來(lái)記錄公司的IT資產(chǎn)情況。

而微服務(wù)架構(gòu)的出現(xiàn),對(duì)于資產(chǎn)管理來(lái)說(shuō)更是一場(chǎng)巨大的災(zāi)難,隨時(shí)可能發(fā)生的容器以及云原生架構(gòu)下的各個(gè)層次資源(服務(wù),pod,容器等)的添加、刪除、調(diào)度,讓管理者很難對(duì)資產(chǎn)進(jìn)行及時(shí)的盤(pán)點(diǎn)更新,也存在極大的可能遺忘一些已經(jīng)不被使用的容器。隨著時(shí)間的推移,這些容器可能出現(xiàn)一些新的安全威脅,這就給黑客帶來(lái)了可趁之機(jī),在用戶毫無(wú)感知的情況下,整個(gè)集群就已淪為黑客的肉雞,而等到用戶真的發(fā)現(xiàn)問(wèn)題,損失已鑄成,想要彌補(bǔ)也為時(shí)已晚。

探真云原生安全解決方案

那么,如何針對(duì)以上有別于傳統(tǒng)架構(gòu)下的安全風(fēng)險(xiǎn)挑戰(zhàn),打造更適合于云原生環(huán)境下的防御體系呢?探真科技根據(jù)當(dāng)前云原生環(huán)境下所可能遇到的各個(gè)風(fēng)險(xiǎn)點(diǎn),以及各種場(chǎng)景的適配情況,給出了解決方案:

1.鏡像掃描

針對(duì)當(dāng)前公有云、私有云存在的鏡像安全問(wèn)題,探真科技鏡像安全掃描方案可與客戶的CICD流程深度融合,借助35w+的安全規(guī)則庫(kù),檢測(cè)出相關(guān)鏡像的CVE漏洞、脆弱Package、敏感信息、Malware等安全風(fēng)險(xiǎn)。

當(dāng)系統(tǒng)完成鏡像文件掃描程序后,用戶可以查看漏洞嚴(yán)重程度、CVSS分?jǐn)?shù)、目前是否有提供維修更新鏡像等信息。通過(guò)內(nèi)建的過(guò)濾機(jī)制,用戶可以根據(jù)事件嚴(yán)重性,決定鏡像文件更新操作的排期,從而確保使用者上傳、部署于Kubernetes環(huán)境的鏡像都是來(lái)自可信來(lái)源、未經(jīng)手動(dòng)干預(yù)后的鏡像。

2.微隔離

微隔離(Micro-Segmentation)是一種專門(mén)針對(duì)虛擬化平臺(tái)的隔離技術(shù),有別于傳統(tǒng)防火墻的邊界流量隔離,微隔離的核心能力便是針對(duì)東西向流量的隔離,擁有更細(xì)粒度的隔離效果。

探真微隔離方案通過(guò)可視化展現(xiàn)讓安全運(yùn)維與管理人員更加了解內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況,能夠按角色、業(yè)務(wù)功能等多維度標(biāo)簽對(duì)需要隔離的工作負(fù)載進(jìn)行快速分組,同時(shí)由策略控制中心通過(guò)自學(xué)習(xí)模式,自適應(yīng)學(xué)習(xí)出針對(duì)每個(gè)應(yīng)用服務(wù)之間最適合的隔離策略,做到更加精準(zhǔn)的東西向流量訪問(wèn)權(quán)限控制,減少橫向移動(dòng)攻擊的可能性。

3.安全合規(guī)檢查

針對(duì)國(guó)家等保2.0提出的安全合規(guī)要求,探真科技合規(guī)偵測(cè)策略從身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防御、惡意代碼防護(hù)、資源控制六大方面進(jìn)行了完整的覆蓋,同時(shí)結(jié)合CIS docker安全基線、kubernetes安全基線、探真科技自定義的安全策略等,及時(shí)發(fā)現(xiàn)云環(huán)境下存在的安全配置問(wèn)題。

4.特權(quán)賬號(hào)管理

針對(duì)特權(quán)賬號(hào)管理問(wèn)題,探真動(dòng)態(tài)鑒權(quán)能夠適配云原生環(huán)境(如docker、k8s、openshift等),集成進(jìn)入CICD流程,去除容器內(nèi)密碼、秘鑰、證書(shū)等登錄憑證。探真動(dòng)態(tài)鑒權(quán)還能夠替代云服務(wù)商的KMS,實(shí)現(xiàn)企業(yè)跨云、跨中心統(tǒng)一特權(quán)管理,完美適配云原生環(huán)境下各種復(fù)雜賬號(hào)管控場(chǎng)景。

5.容器運(yùn)行時(shí)安全防護(hù)

探真科技根據(jù)云環(huán)境下的漏洞攻防場(chǎng)景,提出了獨(dú)家的AI免疫防御技術(shù),通過(guò)深度監(jiān)測(cè)系統(tǒng)底層調(diào)用,借用無(wú)監(jiān)督學(xué)習(xí),為每個(gè)應(yīng)用建立了單獨(dú)的安全調(diào)用基線,并配合強(qiáng)大的攻擊檢測(cè)引擎,可及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的各種威脅,針對(duì)系統(tǒng)提權(quán)、虛擬機(jī)逃逸、漏洞攻擊、挖礦程序、非正常掃描行為等都具備極強(qiáng)的檢測(cè)與防御能力。

6.資產(chǎn)自動(dòng)發(fā)現(xiàn)與威脅態(tài)勢(shì)感知

探真科技威脅感知支持自動(dòng)化資產(chǎn)發(fā)現(xiàn),以可視化效果呈現(xiàn)給客戶當(dāng)前的所有資產(chǎn)所處的位置、狀態(tài)以及所面臨的風(fēng)險(xiǎn),同時(shí)接入鏡像安全、隔離安全、運(yùn)行時(shí)安全、賬號(hào)安全等多種數(shù)據(jù),根據(jù)存在風(fēng)險(xiǎn)點(diǎn)匹配云上容器ATT&CK矩陣下的近300條規(guī)則偵測(cè)入侵行為事件,給予用戶一個(gè)完整的安全感知視角,真正做到了防患于未然。

云原生安全未來(lái)展望

根據(jù)IDC在2020年5月發(fā)布的《2020年中國(guó)云計(jì)算市場(chǎng)十大預(yù)測(cè)》指出,到2022年,60%的中國(guó)500強(qiáng)企業(yè)將投資于云原生應(yīng)用和平臺(tái)的自動(dòng)化、編排和開(kāi)發(fā)生命周期管理。

同年10月,騰訊云安全發(fā)布了《2021云安全九大趨勢(shì)》,涵蓋了云原生安全,零信任及身份認(rèn)證,數(shù)據(jù)安全及合規(guī),軟硬件供應(yīng)鏈安全等幾大行業(yè)廣泛關(guān)注的領(lǐng)域,其中,云原生安全成為高頻詞。

可以預(yù)見(jiàn),在產(chǎn)業(yè)快速上云的當(dāng)下及未來(lái),云原生安全,也將扮演更加重要的角色。云原生安全可以說(shuō)是安全的未來(lái)主要方向。微信搜索“探真科技“獲取東西向攻擊實(shí)例視頻,百度搜索“探真科技”移步官網(wǎng)解鎖更多相關(guān)知識(shí)。來(lái)源:科技魔方

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
網(wǎng)絡(luò)安全
云安全

相關(guān)文章

  • 2023 年 6 月頭號(hào)惡意軟件:Qbot 成為 2023 年上半年最猖獗惡意軟件

    CheckPointResearch報(bào)告稱,多用途木馬Qbot是2023年上半年最猖獗的惡意軟件。與此同時(shí),移動(dòng)木馬SpinOk于6月份首次位居榜首,該惡意軟件在MOVEit暴出零日漏洞后開(kāi)始肆虐2023年7月,全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商CheckPoint?軟件技術(shù)有限公司(納斯達(dá)克股票代碼

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 華順信安榮獲“網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”二等獎(jiǎng)

    7月6日,“第三屆網(wǎng)絡(luò)空間安全產(chǎn)學(xué)協(xié)同育人優(yōu)秀案例”評(píng)選活動(dòng)正式公布獲獎(jiǎng)名單,華順信安與湘潭大學(xué)計(jì)算機(jī)學(xué)院·網(wǎng)絡(luò)空間安全學(xué)院聯(lián)合申報(bào)的參選案例獲評(píng)優(yōu)秀案例二等獎(jiǎng)。本次活動(dòng)由教育部高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)教學(xué)指導(dǎo)委員會(huì)產(chǎn)學(xué)合作育人工作組主辦,四川大學(xué)與華中科技大學(xué)共同承辦。本次評(píng)選,華順信安與湘潭大學(xué)

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • Check Point:攻擊者通過(guò)合法email服務(wù)竊取用戶憑證信息

    近日,CheckPoint?軟件技術(shù)有限公司的研究人員對(duì)電子郵件安全展開(kāi)調(diào)研,結(jié)果顯示憑證收集仍是主要攻擊向量,59%的報(bào)告攻擊與之相關(guān)。它還在商業(yè)電子郵件入侵(BEC)攻擊中發(fā)揮了重要作用,造成了15%的攻擊。同時(shí),在2023年一份針對(duì)我國(guó)電子郵件安全的第三方報(bào)告顯示,與證書(shū)/憑據(jù)釣魚(yú)相關(guān)的不法活

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 百代OSS防勒索解決方案,打造領(lǐng)先安全生態(tài)體系

    Verizon發(fā)布的VerizonBusiness2022數(shù)據(jù)泄露調(diào)查報(bào)告顯示,勒索軟件在2022年同比增長(zhǎng)13%,增幅超過(guò)過(guò)去五年綜合。更危險(xiǎn)的是,今年又出現(xiàn)了許多新的勒索軟件即服務(wù)(RaaS)團(tuán)伙,例如Mindware、Onyx和BlackBasta,以及惡名昭著的勒索軟件運(yùn)營(yíng)商REvil的回歸

    標(biāo)簽:
    網(wǎng)絡(luò)安全
  • 2023 CCIA年度榜單出爐,華順信安三度蟬聯(lián)“中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星

    6月21日,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)正式發(fā)布由網(wǎng)絡(luò)安全產(chǎn)業(yè)研究機(jī)構(gòu)“數(shù)說(shuō)安全”提供研究支持的“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”榜單。華順信安憑借行業(yè)內(nèi)優(yōu)秀的專業(yè)能力與強(qiáng)勁的核心競(jìng)爭(zhēng)力再次榮登“2023年中國(guó)網(wǎng)安產(chǎn)業(yè)成長(zhǎng)之星”榜單。據(jù)悉,中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)

    標(biāo)簽:
    網(wǎng)絡(luò)安全

熱門(mén)排行

信息推薦