作者:周宇 郑良谦 黄蓉波/航空工业成都飞机工业(集团)有限责任公司
【摘要】随着近年来云计算相关技术快速发展,云应用需求急速增长,云安全问题也日益暴露,当前针对云计算的攻击类型多种多样,攻击方式不断更新。本文主要介绍了云计算面临的安全威胁和攻击方式,对云原生安全运营进行了探索。
【关键词】云计算 云安全 云原生 安全运营
1 引言
近年来随着云计算技术的快速发展,容器云等云原生技术方向的应用场景日益多元,云平台成为IT基础服务设施,越来越多的机构将工作负载从传统数据中心迁移到云上。据统计,2020年以基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)为代表的全球云计算市场规模已达2083亿美元,我国云计算整体市场规模达2091亿元[1]。在如此庞大的市场规模下,如何降低云计算安全风险成为云安全建设需要重点考虑的问题。云安全与传统数据中心安全有明显差异,由于多租户的存在,云安全边界不确定,存在安全防护不到位、安全产品与云平台契合度低、安全投入成本较大等缺点[2]。云原生安全凭借和云平台深度融合的优点成为云计算安全的新趋势。
2 云环境安全威胁和风险
云安全威胁和风险既可能源自内部,也可能源自外部。
云平台虚拟化环境中,云计算通过虚拟化技术为大量用户提供资源的虚拟机(Virtual Machine,VM)直接面对用户,为多用户共享和访问,成为云平台的高危区城。来自外部针对虚拟化特点的典型威胁有:跨虚拟机攻击,获取非授权虚拟机权限以及数据;虚拟机逃逸,获取宿主机权限,从而控制当前的宿主机,并进一步横向渗透;还有针对虚拟层用户应用的传统Web攻击、DDoS攻击、非法入侵、后门攻击、弱口令等。内部风险如恶意的云平台层管理员可通过虚拟机监视器(Virtual Machine Monitor, VMM)甚至更底层的环境启动虚拟机管理工具,直接对虚拟机的配置、电源、内存等关键信息进行恶意攻击,窃取用户敏感数据[3,4]。
在云原生环境中,更快的效率交付带来的风险也更高,其存在的安全风险分为外部风险和内部风险。外部风险比较典型的威胁如镜像安全,包括镜像恶意植入后门或包含已知高危漏洞;基于容器隔离技术的漏洞如容器逃逸,一旦恶意利用容器逃逸漏洞可能导致宿主机被控制;云原生API安全威胁,随着微服务架构的流行,API数据交互、调动频繁,未授权认证的API可能带来灾难性的后果。另外,云原生应用微服务共享服务存在漏洞,会让使用此服务器的应用均受到威胁。内部风险最突出的是云原生中容器的不正确配置,导致容器整个生命周期中的各个阶段都可能面临潜在安全风险[5],如常见的未授权访问敏感数据、身份管理不当等。当然,内部云平台管理人员可能出现的不法行为也依然是内部重要的风险点之一。
当前,云环境变得越来越动态, 传统的安全防御方式已无法彻底消除上述风险,不能完全满足云环境的安全需求。尤其是云原生环境下,而对安全边界模糊,信任边界不断改变,云环境中无处不在的各种连接、各种形式的信息交换等风险点,静态的安全防护手段难以完全覆盖,安全防御方式应该更加灵活并快速迭代,从“静态安全”转变为“持续安全”。
3 云原生安全运营探索
云原生架构具有弹性扩展、快速发布、微服务等特性。云原生安全采用内嵌方式,配置容易, 与云环境融合,可以充分利用云平台的各种资源, 以解决云环境面临的特有安全问题。对于许多有私有专用云需求的企业来说, 需依靠云厂商搭建云平台,自身没有云原生安全研发能力,因此在如何降低云安全风险方面,这些企业应着眼于如何选用适当的云原生安全技术和管理手段整合人力资源,探索并建立云原生环境下的安全运营能力。云原生安全运营能力建设应覆盖云环境中的全场景,形成云环境安全闭环,构建一个系统化的云原生安全运营框架,如图1所示。
图1 云原生安全运营框架
3.1云原生安全技术
云原生环境下的安全威胁虽然有更多的新挑战,但云原生安全运营相比于传统网络安全运营也存在一些技术优势,例如由于各类安全产品数据的打通,云原生环境下安全产品整合更为方便,更容易追踪风险事件,形成自动化处置能力。
首先应对云原生安全运营的对象进行测绘。云原生安全运营的对象应为云上资产、日志、网络流量、云服务云原生应用及数据等。其中,云上资产包括底层硬件、虚拟机、容器、云平台等;日志主要为云平台日志、安全产品日志、操作系统日志等;网络流量为云环境下的东西向流量和南北向流量;云服务即为云平台提供的服务;数据为应用的业务数据、云平台产生的数据以及以上运营对象的配置数据等。在完成云环境资源的梳理后,可通过身份识别与访问管理(IAM)技术在云环境中建立一套有数字身份系统,实现云环境中统一的身份认证和授权管理。利用数据保护技术对云环境中的数据在其全生命周期进行保护,同时利用流量检测技术对云平台里的流量进行异常检测。云平台数据、流量可通过云原生部署集成的数据采集系统采集,并通过数据分析系统进行分析,也可手动采用安全检测工具进行检测分析。安全检测工具应有脆弱性评估和检测、入侵检测、云原生防火墙、流量分析工具、日志分析工具、安全配置检测工具。其中,脆弱性评估和检测主要针对弱口令、系统漏洞及补丁检测,软件漏洞检测等;入侵检测能提供完备的入侵检测能力,在网络层面及系统层面识别入侵行为;安全配置检测工具主要用于操作系统、Web服务、容器服务、数据库等应用的合规检查[6];云原生安全运营应有可视化的安全运营中心(SOC)和安全编排、自动化及响应(SOAR),提供云原生安全态势感知、安全告警事件的可视化、资产管理、威胁检测、安全编排、策略管理等能力,实现与云原生安全产品联动,并可根据手动或自动安全检测分析的结果,针对告警或者安全事件进行自动化或者人工响应处置,统一运营云安全事件,提升云环境下安全事件响应及处置效率,如图2所示。
图2 云原生安全运营技术应用场景
3.2云原生安全管理
云原生安全管理与传统安全管理一样,需要制定符合企业实际情况的安全运营管理策略,包括安全运营管理体系、制度以及评估规范,形成安全管理规划、安全管理运营、安全管理评估及安全管理优化的循环,不断优化云原生安全管理策略。
云环境下的安全管理应根据实际情况进行责任划分,云平台管理方应设置云原生安全环境下的管理岗位配备专职人员,组成安全运营管理、监督、执行团队,根据云原生监控信息而发现的信息安全事件进行人为分析和追踪,及时应急响应,并分析研判威胁情报,对暴露的安全缺陷进行安全加固,制定合适的方针、标准、策略来规避风险。
对于云平台用户的应用安全,应由云平台管理方和云平台用户共同承担责任,云平台管理方负责物理基础设施、云平台、云操作系统及云服务的安全,为云平台用户提供数据备份、身份认证和访问管理、安全审计和服务等技术措施,同时确保云平台自身安全。用户主要责任包括负责自己云上应用的安全,利用云平台提供的云原生安全服务及安全产品功能,保证自己应用系统的安全,不需维护云平台提供的云原生服务,但需要管理应用的云服务授权。
云平台管理方和云用户共同承担安全责任,各司其职,在云计算环境下,利用云原生安全服务部署快、弹性可控、与云平台深度融合及开放协同等优势,共同运营云平台和基于云服务构建的业务应用系统安全。
3.3云原生安全过程
在云原生运营体系中,云原生安全过程能力建设是长期持续的过程,在云环境下随着云原生技术及相关管理的不断发展和优化,使基于云原生的安全能力不断上升。参考美国国家标准技术研究院(NIST)发布的用于指导网络安全活动的网络安全框架(CSF)核心,覆盖云安全事件全过程,可以用于协助分辨风险、防范威胁,如图3所示。
(1)识别:云平台的运营组织应对云原生安全管理过程进行梳理分析,能够识别云环境中的资产、数据等的网络安全风险。在云平台建设或者扩充时期应同步考虑云原生安全规划,识别云平台资产,结合提供的云原生安全服务制定相应安全策略,降低云平台安全风险。
(2)保护:针对云环境制定适当的保护措施,确保能提供安全的云服务。通过云原生服务建立动态的安全保障框架,在此基础上随着云原生安全的发展逐渐向零信任防护体系过渡。
(3)检测:通过云原生安全服务、安全策略确定云环境网络安全事件。通过云原生采集云平台数据的优势,快速收集云平台各类信息,持续检测,查找出威胁来源和信息,并根据威胁的动机、频率对云网络安全事件分类分级。
(4)响应:对云环境中检测到的网络安全事件采取相应的措施。在平时云平台运营方应制定应急预案,做好应急演练。在云平台发生网络安全事件后,可通过云原生的安全编排、自动化与响应技术进行自动化响应。
(5)恢复:在云环境中恢复因安全事件而受损的功能或服务。根据恢复需求,制定恢复策略,可通过云原生下的灾备服务进行恢复,减小损失。
图3 CSF网络安全框架
4 结语
未来随着云原生技术的发展,云原生安全也将随之成熟,云原生将计算资源集中管理,整合多类型的安全产品,这可以对云环境资源提供更契合的安全策略、安全管理,能够对下层数据进行统一的采集分析,及时响应各类信息安全事件。同时由于云环境下多个用户共享资源,能够用以进行安全管理,降低安全管理成本,云原生的弹性、快速的优势,能够将安全也作为服务形式进行提供,提高安全部署的效率。云原生安全运营可以利用以上云原生优势,不断优化云原生运营体系,提供安全可信的云环境。
参考文献
[1]中国信息通信研究院,云计算白皮书(2021年)[R].2021.
[2]腾讯,中国信息通信研究院,等.“云”原生安全白皮书[R].2020.
[3]郑禄鑫,张健.云安全面临的威胁和未来发展趋势[J].信息网络安全,2021,21(10):17~24.
[4] Singh A, Chatterjee K. Cloud Security Issucs and Challenges: A Survey[J]. Journal of Nerwork and Computer Applications, 2017, 79: 88~115.
[5] 丁攀,张小梅,郭新海,等.云原生中的容器技术及其安全配置规范[J].信息通信技术,2021,15(04):6.
[6] 王兆蒙.云主机安全管理平台建设[C].2021年国家网络安全宣传周《网络安全产业发展论坛论文集》,2021:60~64.
(来源:转载自保密科学技术2022年第7期)