云原生应用安全风险应对关键点

目前主机还是大多数企业用来承载核心业务的工具,虚拟主机在一定程度上整合了服务器、提高了资源的利用率,并且对比容器技术在隔离性方面也具有较大优势,因此很多用户选择它。

为什么越来越多人采用云原生容器技术?

这是因为容器技术从根本上改变了应用程序的开发和部署方式,与此同时,容器极大地简化了依赖关系管理,因此发布新功能或代码比以往任何时候都要快。Docker容器和Kubernetes非常适合DevOps,但它们也带来了新的安全挑战。以往在工作负载层只需关注主机安全,而现在还需增加对容器安全的关注,故而主机+容器安全问题已经成为企业网络安全防护的重中之重,安全人员和开发人员都必须认真了解即将面对的安全风险,并积极解决二者带来的安全威胁问题。

云原生应用安全风险应对关键点_第1张图片

图1

主机安全&容器安全的关系

从本质上讲,Docker容器是围绕Linux控制组和命名空间的包装器。Cgroups在Linux内核中用于监视和限制一组进程中的资源。命名空间确定进程可以看到的内容,例如,命名空间限制在容器中可以看到哪些进程。cgroupsPID在主机上运行的每个容器共享一个通用的底层内核,容器之间彼此隔离。从安全的角度来看,这是有利的。

云原生应用安全风险应对关键点_第2张图片

图2

从上图可以看到主机操作系统是Ubuntu。Docker Client和Docker Daemon(统称为Docker Engine)在Host OS上运行,每个容器共享主机操作系统内核。CentOS和BusyBox是Linux Base OS映像。“No OS”容器表明不需要基本操作系统即可在Linux中运行容器。可以创建一个Docker文件,该文件的基本映像为scratch,然后运行直接使用内核的二进制文件。

然而现有容器技术并不像虚拟化能够做完全隔离,一个不达标的容器受到攻击很可能导致其他容器沦陷。同样,如容器所使用的是易受攻击的库,则可能会被利用来获取对宿主机的访问权限。如果主机操作系统受到威胁,则在其上运行的所有容器都将面临失陷风险。因此只要单个点被入侵,受到的影响可能覆盖整个面

Gartner在介绍云原生应用安全保护平台(CNAPP)时提到,CNAPP是一套集成的安全和遵从性功能,旨在帮助在开发和生产过程中保护和保护云本地应用程序。CNAPP巩固了大量以前孤立的能力,包括:开发工件扫描,包括容器;云安全态势管理;IAC扫描;云基础设施权限管理;运行时云工作负载保护平台等在内。

根据Gartner的描述可以发现,云主机安全和容器安全,实际上都是云原生应用安全保护平台里重要的功能。如何在发挥好容器的云原生效能的同时,又确保云主机安全的关键点,实际上都落在如何做好云原生应用安全防护上。

云原生应用安全面临的安全风险

  • 传统安全方案无法适配混合云和云原生架构、主机组件资产数量庞大难以维护、系统及应用的弱口令和配置缺陷难以发现及修复、0Day漏洞带来的严重威胁无法及时发现、无文件新型攻击防护难度加大。

  • 随着云原生容器环境高速增长,有94%的组织在其容器环境中遇到过安全问题,其中69%的组织检测到错误配置,27%的组织在运行时遇到安全事件,还有24%的组织发现了严重的安全漏洞,如果没有实施全面有效的安全防护,黑客可利用漏洞攻击容器上的服务,或可进一步利用容器漏洞,直接访问容器云上的敏感信息,获取服务器特权,对容器云进行修改并最终完全控制服务器,造成恶劣影响和重大损失。所以需要考虑容器安全所整套流程涉及4大安全问题,包括镜像安全、网络安全、容器安全、配置安全。

  • 资产关联的漏洞数量多,信息安全人员面对海量的漏洞往往无从下手,缺乏有效的漏洞优先级评定工具,没法快速筛选聚焦数据中心重要资产的严重必须修复的漏洞,传统漏扫产品输出的漏洞报告不具备实战能力无法有效指导漏洞的修复。数据中心服务器补丁修复流程复杂,技术难度高,风险性也高,稍有不慎容易出现补丁安装失败导致系统故障影响业务的正常运行,若补丁修复过程中出现问题,难以快速定位追查问题。补丁修复的成效也无法形成标准化的量化指标。

  • 传统的云安全产品,往往将防护重点放在网络边界的防护,对于云内部缺乏有效的安全控制手段,无法做到根据业务进行精细化隔离控制。一旦边界的防线被攻破或绕过,攻击者就可以在云内部横向移动、肆意破坏,因此,如何实现云内的微隔离与可视化,是每一个上“云”的企业都必须重视的问题。另外对于容器环境,在默认配置下,K8s底层网络是“全连通”的,即在同一集群内运行的所有Pod都可以自由通信。因此,存在于传统物理网络(如ARP欺骗)。此外攻击者若控制了宿主机的一些容器(或可通过编排创建容器),还可对宿主机或其他容器发起云原生场景的渗透攻击,攻击者可以立足于某个有缺陷的容器发起横向攻击。

云原生应用安全实践

为帮助企业更好地解决与应对上述的安全风险点,安全狗基于自身多年云安全技术沉淀打磨并推出了云原生应用安全解决方案

云原生应用安全风险应对关键点_第3张图片

图3

基于Gartner提出的CWPP理念&CNAPP理念,并融入了安全狗在微隔离、云原生容器安全的产品经验,同时针对市面上常见的多个Agent堆叠使用、占据资源消耗的弊病进行改进,只需要使用一个Agent即可实现主机+容器的全方位安全监控、防护、响应、处置。不仅不占用用户资源,还能满足新形势下用户微隔离、云原生安全、主机安全等全栈安全需求,实现容器及主机安全的全方位的安全保障。

云原生应用安全风险应对关键点_第4张图片

图4

总结

本文通过对主机与容器的安全关系介绍,同时也列举出部分安全风险如容器逃逸、镜像安全、docker及K8S基础服务的安全风险,我们可以看到,云原生技术的广泛应用也伴随着新的安全风险,相关安全人员、研发人员在日常的开发过程以及安全运维过程中都需要注意。希望文中提出的安全建议能够对相关从业人员有所帮助。

你可能感兴趣的:(安全狗,docker,运维,linux,云原生)