云原生安全的五個(gè)建議

有多種保護云原生應用的方式，包括：安全左移、在函數和容器級別應用邊界安全、貫徹最小角色和最低權限、保護應用依賴(lài)，以及安全共責。

基于容器和無(wú)服務(wù)器平臺的云原生應用在正在快速地被全球的組織所部署。雖然說(shuō)云原生應用會(huì )帶來(lái)易延展性、無(wú)與倫比的韌性、以及快捷的開(kāi)發(fā)速度，云原生應用同樣會(huì )帶來(lái)挑戰。

云原生應用會(huì )有大量的可移動(dòng)成分，并且基于那些短暫的架構組件。這就會(huì )給運營(yíng)和維護產(chǎn)生難度;除此以外，自然還有安全隱患。云原生安全需要新的解決思路、策略和工具。這里，有五個(gè)可以幫助改善企業(yè)云原生安全的小建議。

什么是云原生?

云原生應用為云而創(chuàng )建，而且整個(gè)軟件開(kāi)發(fā)生命周期——開(kāi)發(fā)、部署、測試和升級，都會(huì )在云環(huán)境完成。“云”的概念不局限于公有云，也可以意味著(zhù)遠程和本地資源都有的混合云或者超過(guò)一個(gè)云供應商的多云環(huán)境。

云原生計算基金會(huì )(CNCF)認為三種工具應該用于云原生計算中：容器化、微服務(wù)結構和動(dòng)態(tài)編排。容器化意味著(zhù)軟件和其關(guān)聯(lián)依賴(lài)綁定，從而實(shí)現軟件可移動(dòng)、可擴展;動(dòng)態(tài)編排包括了使用Kubernetes等工具管理云端容器;而微服務(wù)結構能夠優(yōu)化資源。容器能夠被另一項云原生計算能力——無(wú)服務(wù)器功能所替代。

云原生的安全挑戰

云原生應用給基礎設施和應用安全帶來(lái)了額外挑戰。以下是一些關(guān)鍵挑戰：

• 多個(gè)需要保護的實(shí)體：DevOps團隊和基礎設施團隊會(huì )使用微服務(wù)來(lái)運行云原生應用。在過(guò)去，多個(gè)進(jìn)程或者軟件功能會(huì )在一個(gè)虛擬機上運行?，F在，每個(gè)進(jìn)程或者能力都會(huì )被包裝成分離的容器或者無(wú)服務(wù)器功能。每個(gè)實(shí)體都易于被攻破，因此需要全開(kāi)發(fā)周期的防護。

• 多樣的結構：云原生系統會(huì )涉及很多公有云和私有云、云服務(wù)、以及應用結構。每個(gè)結構都有不同的隱患和安全需求。安全團隊必須理解這一復雜的攻擊面，并且為每個(gè)不同的結構找到解決方案。

• 不斷變化的環(huán)境：公有云和私有云環(huán)境在持續變化?？焖俚能浖l(fā)布周期意味著(zhù)微服務(wù)應用的每個(gè)組件都必須每日進(jìn)行升級。另外，使用不可變性和基礎設施即代碼意味著(zhù)應用會(huì )被持續分解并重構。安全團隊會(huì )發(fā)現很難在不減緩發(fā)布周期的情況下，保護這些技術(shù)應用。

如何保護云原生應用

有多種保護云原生應用的方式，包括：安全左移、在函數和容器級別應用邊界安全、貫徹最小角色和最低權限、保護應用依賴(lài)，以及安全共責。

1. 安全左移

許多企業(yè)依然在使用已有的工具，卻無(wú)法處理云原生應用環(huán)境的速度、規模和動(dòng)態(tài)網(wǎng)絡(luò )。如果再加上無(wú)服務(wù)器功能，會(huì )讓整個(gè)基礎設施變得更抽象，讓問(wèn)題更嚴重。

網(wǎng)絡(luò )攻擊者會(huì )尋找容器和無(wú)服務(wù)器代碼中的隱患，以及云基礎設施中的錯誤配置，以接入包含敏感信息的實(shí)體，再用它們提升權限，攻擊其他實(shí)體。

另一個(gè)問(wèn)題是企業(yè)在用CI/CD工具持續開(kāi)發(fā)、測試和發(fā)布應用。當使用容器部署云原生應用的時(shí)候，開(kāi)發(fā)者會(huì )從本地或者公共庫當中獲取鏡像，但一般不會(huì )檢查這些鏡像是否包含安全隱患。

一種解決方案是給安全團隊提供一些工具，阻止不受信任的鏡像進(jìn)入CI/CD管道，以及啟用一些機制讓不受信任的鏡像在進(jìn)入生產(chǎn)前就避免產(chǎn)生安全問(wèn)題。通過(guò)在開(kāi)發(fā)流程早期掃描鏡像的漏洞、惡意軟件成分等，開(kāi)發(fā)者可以貫徹安全標準。

2. 在函數和容器級別應用邊界安全

在無(wú)服務(wù)器應用中，系統會(huì )被分解成幾個(gè)能從不同資源接受項目觸發(fā)的可調用組件。這就給了攻擊者更大的攻擊選擇，以及更多實(shí)施惡意行為的途徑。

一個(gè)很重要的方式是使用為云原生環(huán)境而制作的API和應用安全工具。除此以外，一個(gè)很普遍的操作是在功能級別使用邊界安全——識別功能是否被一個(gè)和平時(shí)不同的來(lái)源所觸發(fā)，然后監控事件觸發(fā)中存在的異常情況。

在容器化環(huán)境里，一個(gè)重要點(diǎn)是在不同級別都要實(shí)現安全——編排控制面板、物理主機、pod和容器。編排的一些最佳安全實(shí)踐包括節點(diǎn)隔離、限制和監測容器之間的流量、以及對API服務(wù)器使用第三方認證機制。

3. 最小角色與最低權限

云原生資源之間會(huì )有大量頻繁的交互。如果能夠對每個(gè)無(wú)服務(wù)器功能或者容易都能配置一些獨特的許可，就能有極大概率提升安全性?？梢酝ㄟ^(guò)基于每個(gè)函數使用IAM，或者對容器進(jìn)行顆粒度的許可，加強接入控制?；ㄒ稽c(diǎn)時(shí)間創(chuàng )建最小角色，或者為每個(gè)函數或容器創(chuàng )建一系列的許可。這就確保了即使云原生結構中有一個(gè)點(diǎn)失陷，其造成的危害也是最小的，并且會(huì )防止其他元件產(chǎn)生提權問(wèn)題。

4. 保護應用依賴(lài)

無(wú)服務(wù)器函數和應用的代碼經(jīng)常從npm或者PyPI的庫中獲取有依賴(lài)關(guān)系的包。

為了保護應用的依賴(lài)，就需要包括完整開(kāi)源組件以及其漏洞數據庫的自動(dòng)化工具。同樣，還需要能夠在開(kāi)發(fā)流程中觸發(fā)安全行為的云原生編排工具。通過(guò)持續運作這些工具，就可以防范產(chǎn)線(xiàn)上運行的有隱患的代碼包或者容器。

5. 安全共責

在開(kāi)發(fā)者、DevOps和安全團隊之間建立親密的關(guān)系。開(kāi)發(fā)者并不是安全專(zhuān)家，但他們可以被教導安全操作知識，從而確保他們可以安全地編寫(xiě)代碼。安全團隊應該知道應用是如何開(kāi)發(fā)、測試和部署的，還有哪些工具在流程中被使用，從而安全團隊能夠在這些流程中有效地加入安全元素。

云原生要求各種企業(yè)管理安全和開(kāi)發(fā)的方式，因此盡快讓不同團隊減少隔閡至關(guān)重要。云原生的啟用對企業(yè)來(lái)說(shuō)是一個(gè)形成合作和共享文化的罕見(jiàn)契機。

結論

這篇文章提及了云原生面臨的挑戰，包括大量需要保護的實(shí)體，以及持續變化的環(huán)境和結構。同樣，也給出了五個(gè)能夠改善云原生環(huán)境的最佳實(shí)踐：

• 安全左移，在問(wèn)題進(jìn)入產(chǎn)線(xiàn)前進(jìn)行規避。
• 在函數和容器級別應用邊界安全。
• 對云原生應用中的實(shí)體實(shí)行最小角色和最低權限。
• 保護好應用依賴(lài)。
• 鼓勵開(kāi)發(fā)、運營(yíng)和安全團隊之間的安全共責。

點(diǎn)評

業(yè)務(wù)節奏加快使得無(wú)服務(wù)器應用等云原生應用會(huì )越來(lái)越多被企業(yè)所啟用，云原生的安全也會(huì )更多被注意。不難發(fā)現，本文提到的五個(gè)安全建議中，軟件安全相關(guān)的建議占了大部分：無(wú)論是安全左移、應用依賴(lài)的防護、還是實(shí)現DevSecOps整個(gè)安全協(xié)同，最終都離不開(kāi)開(kāi)發(fā)安全相關(guān)。這一點(diǎn)來(lái)看，DevSecOps和API安全的重要性都會(huì )隨著(zhù)云原生的使用進(jìn)一步地提升。