云原生安全風(fēng)險(xiǎn)

隨著云原生架構(gòu)的快速發(fā)展，核心能力逐漸穩(wěn)定，安全問(wèn)題日趨緊急。在云原生安全領(lǐng)域不但有新技術(shù)帶來(lái)的新風(fēng)險(xiǎn)，傳統(tǒng)IT基礎(chǔ)設(shè)施下的安全威脅也依然存在。要想做好云原生安全，就要從這兩個(gè)方面分別進(jìn)行分析和解決。

新技術(shù)帶來(lái)新的安全風(fēng)險(xiǎn)

云原生的概念定義本身就比較抽象，從誕生到現(xiàn)在也經(jīng)歷了多次變化。2018年CNCF對(duì)云原生的概念進(jìn)行了重定義：云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式API。雖然這是云原生概念最新的定義，但是不同的人對(duì)云原生的抽象概念理解相差很大，一直在不斷地爭(zhēng)論。狹義的理解直接套用定義，認(rèn)為定義之外的技術(shù)不屬于云原生。廣義的理解則認(rèn)為定義不夠貼切，應(yīng)該從字面含義進(jìn)行理解，認(rèn)為只要是能利用云的特性，在軟件工程各階段提高效率，降低成本的行為、技術(shù)，都可以認(rèn)為是云原生。

從普遍認(rèn)知來(lái)看，云原生主要包括kubernetes和容器、微服務(wù)、云基礎(chǔ)設(shè)施，其中kubernetes和容器在某種程度上已經(jīng)是云原生的代名詞。其中kubernetes和容器作為云原生時(shí)代的典型技術(shù)，也是帶來(lái)風(fēng)險(xiǎn)最多的技術(shù)，包括：kubernetes組件漏洞、認(rèn)證鑒權(quán)不規(guī)范、公開鏡像存在漏洞、鏡像被植入惡意程序、容器隔離被突破造成逃逸等。微服務(wù)在云原生時(shí)代快速發(fā)展，在內(nèi)部風(fēng)險(xiǎn)無(wú)法防范的時(shí)候會(huì)擴(kuò)大安全風(fēng)險(xiǎn)，造成橫向攻擊擴(kuò)散。

傳統(tǒng)IT基礎(chǔ)設(shè)施的威脅依然存在

云原生不能脫離底層IT基礎(chǔ)設(shè)施：計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)而存在，因此這些IT基礎(chǔ)設(shè)施面臨的問(wèn)題在云原生場(chǎng)景下依然存在。DDoS攻擊防護(hù)、cc攻擊防護(hù)、漏洞、木馬、病毒、數(shù)據(jù)泄露等等安全風(fēng)險(xiǎn)，并沒(méi)有因?yàn)樵圃陌l(fā)展而降低。

云原生安全構(gòu)建

在云原生安全早期，人們的慣性思維就是利用傳統(tǒng)的安全防護(hù)手段去進(jìn)行云原生安全防護(hù)。經(jīng)過(guò)這么多年的攻防對(duì)抗，傳統(tǒng)產(chǎn)品在各自的領(lǐng)域都已經(jīng)身經(jīng)百戰(zhàn)，解決對(duì)應(yīng)的安全問(wèn)題也都不在話下，這些安全產(chǎn)品通過(guò)簡(jiǎn)單地改造，就可以與云原生架構(gòu)配合運(yùn)行。

積木式云原生安全

這個(gè)階段云原生安全并不存在一個(gè)完整的架構(gòu)，各安全產(chǎn)品就像搭積木一樣跟云原生架構(gòu)進(jìn)行配合。隨著這個(gè)安全體系的構(gòu)建，工程師門很快就發(fā)現(xiàn)，安全并沒(méi)有因?yàn)樵圃牡絹?lái)發(fā)生什么改變，這種搭積木式的云原生安全方案，從遠(yuǎn)處看各方面的安全都能有，方案也很完整。但是從近處看就能看到安全產(chǎn)品之間基本沒(méi)有聯(lián)系，使用起來(lái)并沒(méi)有什么改變，似乎安全和云原生就是兩個(gè)獨(dú)立的領(lǐng)域，無(wú)法支撐云原生快速發(fā)展的安全防護(hù)需求。

裝配式云原生安全

隨著在云原生安全方向上的深入研究，人們發(fā)現(xiàn)安全+云原生并不是簡(jiǎn)單組合一下就能變成云原生安全。要想做好云原生安全，就必須按照云原生的思想去思考安全問(wèn)題怎么解決，云原生安全應(yīng)該是一個(gè)整體，而不是各個(gè)割裂的安全產(chǎn)品。Gartner認(rèn)為，全面保護(hù)云原生應(yīng)用需要使用來(lái)自多個(gè)供應(yīng)商的多種工具，這些工具很少得到很好的集成，而且通常只為安全專業(yè)人員設(shè)計(jì)，而不是與開發(fā)人員合作。對(duì)于組織而言，這種孤立的安全工具在面對(duì)實(shí)際安全風(fēng)險(xiǎn)的并不太有效，而且會(huì)導(dǎo)致過(guò)多的警報(bào)、浪費(fèi)開發(fā)人員的時(shí)間。在這種趨勢(shì)下，Gartner提出了CNAPP云原生應(yīng)用保護(hù)平臺(tái)，將多種安全工具緊密地結(jié)合在一起，以保護(hù)日益復(fù)雜的攻擊面。

云原生的一個(gè)底層核心理念就是拆解、組合和標(biāo)準(zhǔn)化，這其實(shí)也是軟件開發(fā)領(lǐng)域一個(gè)軟件工程師長(zhǎng)期追求的目標(biāo)，即將業(yè)務(wù)邏輯和通用邏輯不斷拆分，通用邏輯逐漸獨(dú)立標(biāo)準(zhǔn)化，開發(fā)人員只需要關(guān)注自身業(yè)務(wù)邏輯。kubernetes從業(yè)務(wù)應(yīng)用的角度將通用邏輯拆解，解決業(yè)務(wù)場(chǎng)景靈活多變的問(wèn)題。不可變基礎(chǔ)設(shè)施作為云原生定義的四大要素，是最容易被忽略的，但是這個(gè)理念卻是云原生能夠持續(xù)發(fā)展的核心，極大地降低了云原生的復(fù)雜度，將標(biāo)準(zhǔn)化發(fā)揮到極致。這兩個(gè)核心技術(shù)都是底層理念的表現(xiàn)。這個(gè)理念跟裝配式建筑十分類似，把傳統(tǒng)建造方式中的大量工作轉(zhuǎn)移到工廠進(jìn)行，在工廠加工制作好建筑配件（如樓板、墻板、樓梯、陽(yáng)臺(tái)等），運(yùn)輸?shù)浇ㄖ┕がF(xiàn)場(chǎng)，通過(guò)可靠的連接方式在現(xiàn)場(chǎng)裝配安裝而成的建筑。這種方式不僅建筑速度快，工業(yè)化質(zhì)量也有保障。

裝配式云原生安全，就是按照云原生的核心理念，將各安全能力進(jìn)行拆分、標(biāo)準(zhǔn)化改造、再組合。各安全能力不只是簡(jiǎn)單的堆疊，通過(guò)云原生技術(shù)可靠地連接在一起，讓每個(gè)業(yè)務(wù)應(yīng)用從誕生開始，就具備合適的安全能力，實(shí)現(xiàn)發(fā)布即安全。相比積木式能力組合，這種方式可以讓安全和業(yè)務(wù)實(shí)現(xiàn)深入且自由地組合，形成靈活又可靠的云原生安全。

應(yīng)用按照時(shí)間維度可分為開發(fā)、測(cè)試、部署、運(yùn)行、響應(yīng)，空間維度可分為主機(jī)、操作系統(tǒng)、kubernetes、容器、服務(wù)、網(wǎng)絡(luò)，從這兩個(gè)維度出發(fā)，將各種安全能力進(jìn)行拆解和組合，通過(guò)統(tǒng)一的云原生安全平臺(tái)進(jìn)行管理，真正將安全和業(yè)務(wù)的各個(gè)階段都能緊密地連接在一起，才能形成真正的云原生安全。

審核編輯 黃宇