1、云原生应用安全防护技术研究 宋胜攀 刘振慧 庄东燃 /中国航空工业发展研究中心【摘 要】云平台及应用在企业数字化转型和创新发展中发挥着重要基础作用。本文概述了企业云原生应用的现状,在此基础上深入分析了企业云原生应用面临的安全风险和隐患,并提出构筑安全防护体系的建议。【关键词】云原生应用 云原生应用安全 安全防护体系 交互式应用安全测试【中图分类号】TP393.08;TP309 【文献标识码】A1 引言数 字 化 转 型 浪 潮 下,云 原 生 技 术 的 发展 和 应 用 突 飞 猛 进。根 据 中 国 云 原 生用 户 调 查 报 告(2 0 2 1年)1,2 0 2 1年云 原 生 技 术
2、 领 域 的 建 设 投 入、集 群 规 模持 续 走 高,用 户 应 用 及 软 件 发 布 也 更 加频 繁。基 于 微 服 务 架 构 构 建 新 应 用 是 主要 建 设 方 式,已 有5 4.8 1%的 用 户 使 用 微服 务 架 构 进 行 应 用 开 发。用 户 侧 纳 管 集群 规 模 整 体 都 在 扩 增。在 用 户 生 产 环 境中,容 器 技 术 的 采 纳 率 已 接 近7 0%,无 服务 器(S e r v e r l e s s)架 构 技 术 也 持 续 升温,应 用 用 户 达 近4 0%。可 见,云 原 生 技2022 年 12 月|保密科学技术|45网络
3、防护术 已 是 大 势 所 趋。同 时 该 调 查 还 显 示,企业 在 云 原 生 安 全 领 域 的 能 力 建 设 尚 在 起步,系 统 的 安 全 防 护 能 力 已 成 为 各 企 业 重点 关 注 的 问 题;在 本 次 调 研 中,6 3.1 5%的 企 业 关 注 应 用 程 序 接 口(A p p l i c a t i o n P r o g r a m I n t e r f a c e,A P I)间 的 认 证 鉴权,5 7.5 9%的 企 业 关 注 微 服 务 流 量 的 入 侵检 测,5 4.6 3%的 企 业 关 注 微 服 务 每 次 迭代 时 的 代 码
4、安 全 扫 描。除 了 传 统 安 全 问 题外,云 原 生 还 面 临 一 些 新 的 安 全 挑 战。2 云原生应用安全现状2 0 2 2年3月,美 国 加 州 提 供 云 容 器 监控 服 务 的S y s d i g公 司 发 布 2 0 2 2年 云 原生 安 全 和 使 用 报 告 2。该 报 告 显 示,随着 云 原 生 技 术 的 不 断 成 熟,越 来 越 多 的 企业 步 入 了 云 原 生 化 的 进 程,但7 5%的 运行 容 器 中 存 在“高 危”或“严 重”漏 洞,7 5%的 镜 像 含 有 严 重 程 度 为“高 危”或“严 重”的 可 修 补 漏 洞,潜 在
5、的 安 全 风 险很 大,但 企 业 为 了 快 速 发 展 往 往 会 忽 视 安全 风 险;7 3%的 云 账 户 包 含 暴 露 的S3对 象存 储 桶,而3 6%的 现 有S3对 象 存 储 桶 对公 众 开 放 访 问,数 据 面 临 泄 露 危 险;2 7%的 用 户 拥 有 不 必 要 的 根(r o o t)权 限,大多 数 没 有 启 用 多 因 子 认 证(M u l t i-f a c t o r A u t h e n t i c a t i o n,M FA),这 使 得 企 业 在云账户凭据泄露或被盗时更容易遭受攻击。尽 管 云 原 生 在 企 业 中 的 应 用
6、越 来 越广 泛 和 深 入,为 其 业 务 发 展 带 来 诸 多 便利,但 如 果 安 全 防 护 不 到 位,将 面 临 潜在 的 安 全 威 胁。例 如,2 0 2 1年1 2月 发现 的A p a c h e L o g4j2远 程 代 码 执 行 漏 洞(C V E-2 0 2 1-4 4 8 3 2)危 害 十 分 严 重,而L o g4j2作 为J a v a语 言 使 用 范 围 极 广 的 基 础日 志 组 件 被 大 量 应 用 系 统 使 用。一 旦 黑 客利 用 此 漏 洞 发 起 攻 击,所 有 类 型 的 在 线 应用 程 序、开 源 软 件、云 平 台 和 电
7、子 邮 件 服务 都 可 能 面 临 风 险。如 果 该 漏 洞 在 以 容 器集 群 为 底 层 基 础 设 施 的 云 原 生 应 用 中 被 攻击 者 利 用,一 方 面 可 以 在 宿 主 机 执 行 恶 意程 序;另 一 方 面 通 过 横 向 移 动,扩 大 攻 击范 围,可 能 带 来 严 重 后 果。云 原 生 应 用 也 是 应 用,因 而 云 原 生 应用 风 险 可 以 参 考 传 统 应 用 风 险,主 要 包 含注 入、敏 感 数 据 泄 露、跨 站 脚 本、使 用 含有 已 知 漏 洞 的 组 件、不 足 的 日 志 记 录 和 监控 等 风 险。同 时 云 原 生
8、 由 于 自 身 的 技 术 特点,也 会 面 临 一 些 新 的 风 险。3 云原生安全风险分析3.1 云原生技术架构带来的安全隐患云 原 生 技 术 架 构 充 分 利 用 了 云 计 算 弹性 伸 缩、高 可 用、快 速 恢 复、敏 捷 等 特性,在 改 变 云 端 应 用 的 设 计、开 发、部 署和 运 行 模 式 的 同 时,也 带 来 了 新 的 安 全 风险 和 挑 战。以 容 器、S e r v e r l e s s架 构 为 载体 的 云 原 生 应 用 极 大 地 缩 短 了 应 用 生 命 周期;微 服 务 化 拆 分 带 来 应 用 间 交 互 式 端 口的 指 数
9、 级 增 长 及 组 件 间 组 合 设 计 复 杂 度 的陡 升;多 服 务 实 例 共 享 操 作 系 统 带 来 了 单个 漏 洞 的 集 群 化 扩 散;独 立 的 研 发 运 营 流程 增 加 了 软 件 应 用 全 生 命 周 期 各 个 环 节 的潜 在 风 险。云 原 生 的 特 有 属 性 带 来 了 架 构防 护、访 问 控 制、供 应 链、研 发 运 营 等 领域 全 新 的 安 全 隐 患 和 安 全 防 护 需 求。以C V E-2 0 2 1-4 4 8 3 2漏 洞 为 例,如 果在 云 原 生 环 境 中 被 利 用,可 能 会 造 成 以 下3个 方 面 的
10、安 全 风 险。(1)由 于 镜 像 数 量 多,引 起 连 锁 反应。一 方 面,由 于l o g4j2本 身 就 是 应 用 范围 很 广 的 组 件,而 且 在 微 服 务 架 构 下,应用 又 会 进 行 细 粒 度 的 微 服 务 拆 分,因 此 受影 响 的 镜 像 会 涉 及 很 多 个 镜 像 仓 库;另 一46|保密科学技术|2022 年 12 月网络防护方 面,由 于 开 发 运 维 一 体 化(DevOps)等敏 捷 开 发 流 程 的 使 用,镜 像 仓 库 中 的 每 一个 镜 像 又 会 有 很 多 个 版 本(通 过 不 同 标 签标 识 不 同 版 本)。因 此
11、,在 漏 洞 处 置 的 过程 中 会 发 现,扫 描 出 来 的 受 影 响 镜 像 数 量巨 大。(2)容 器 中 存 在 僵 尸 镜 像,隐 患 难 以完 全 消 除。僵 尸 镜 像 是 旧 版 本 镜 像,或 者过 期 镜 像,已 经 几 乎 不 会 再 被 运 行 使 用。如 果 没 有 很 好 的 机 制 来 管 理 仓 库 中 的 镜像,这 种 僵 尸 镜 像 的 数 量 会 非 常 庞 大,带来 安 全 隐 患。(3)不 可 变 基 础 设 施 给 漏 洞 修 补 带 来了 不 便。云 原 生 架 构 的 一 个 典 型 特 征 是 不可 变 的 基 础 设 施,是 指 一 旦
12、 部 署 了 服 务 之后 决 不 允 许 被 修 改。如 果 需 要 以 任 何 方 式更 新、修 复 或 修 改 某 些 内 容,则 需 要 修 改相 对 应 的 镜 像,构 建 全 新 的 服 务 镜 像 来 替换 旧 的 镜 像。经 过 验 证 后,使 用 新 的 镜 像重 新 部 署 服 务,而 旧 的 镜 像 则 会 被 删 除。这 种 特 性,对 线 上 业 务 漏 洞 的 修 补 带 来 了很 大 不 便。3.2 云原生业务和应用带来的风险隐患云 原 生 应 用 架 构 遵 循 微 服 务 化 的 设计 模 式,通 过 应 用 的 微 服 务 化,能 够 构建 容 错 性 好、
13、易 于 管 理 的 松 耦 合 系 统。与 此 同 时,新 应 用 架 构 的 出 现 也 会 引 入新 的 风 险。下 面 以 信 息 系 统 安 全 等 级 三要 素,即 机 密 性(C o n f i d e n t i a l i t y)、完 整 性(I n t e g r i t y)、可 用 性(A v a i-lability),来 分 析 云 原 生 应 用 架 构 变 化 带来 的 新 风 险。(1)机 密 性 受 损 的 风 险。典 型 的 如信 息 泄 露 风 险,攻 击 者 可 通 过 利 用 资 产 脆弱 性 和 嗅 探、暴 力 破 解 等 攻 击 方 式 窃 取
14、用户 隐 私 数 据,从 而 造 成 信 息 泄 露 风 险。比如 通 过 资 产 漏 洞 对 应 用 数 据 进 行 窃 取,利用 密 钥 管 理 不 规 范 对 应 用 数 据 进 行 窃 取,通 过 应 用 间 通 信 未 加 密 的 缺 陷 对 传 输 中 的数 据 进 行 窃 取,进 而 升 级 到 对 应 用 数 据 的窃 取。(2)完 整 性 受 损 的 风 险。典 型 的 如 未授 权 访 问 风 险,攻 击 者 可 通 过 利 用 资 产 脆弱 性 和 中 间 人 攻 击 等 行 为 绕 过 系 统 的 认 证授 权 机 制,执 行 越 权 操 作,从 而 造 成 未 授权
15、访 问 的 风 险。在 云 原 生 环 境 中,应 用 未授 权 访 问 的 风 险 多 是 由 于 应 用 自 身 漏 洞 或访 问 权 限 错 误 的 配 置 导 致。比 如 云 原 生 微服 务 应 用,应 用 是 基 于 微 服 务 调 用 的,众多 的 微 服 务 及 调 用 关 系 无 疑 会 使 权 限 配 置复 杂 化,如 果 没 有 统 一 的 访 问 控 制 机 制,安 全 隐 患 非 常 大。(3)可 用 性 受 损 的 风 险。典 型 的 如 系统 被 拒 绝 服 务 的 风 险。一 方 面,攻 击 者 可通 过 畸 形 报 文、S Y N泛 洪(在T C P/I P协
16、 议中,利 用 三 次 握 手 进 行 连 接 时 缺 乏 认 证 机制 而 进 行 的 拒 绝 服 务 攻 击)等 攻 击 方 式 为目 标 系 统 提 供 非 正 常 服 务;另 一 方 面,系统 供 不 应 求 的 场 景 也 会 导 致 系 统 遭 受 拒 绝服 务 风 险。在 应 用 上,利 用 业 务 系 统 的 漏洞 或 规 则 对 业 务 系 统 进 行 攻 击,从 而 给 企业 造 成 损 失。比 如 滥 用 微 服 务A P I接 口 调用,不 仅 会 引 发 分 布 式 拒 绝 服 务 攻 击 和 安全 隐 患,而 且 会 频 繁 刷 新 引 发 业 务 混 乱。因 此,
17、企 业 要 加 强 云 原 生 应 用 的 安 全防 护,构 筑 安 全 防 线,确 保 应 用 安 全,保 证 数 字 化 转 型 的 顺 利 进 行,保 障 企 业效 益。4 企业云原生应用防护技术应用研究 4.1 以应用为中心的新阶段,应用安全不容忽视随 着 企 业 数 字 化 转 型 的 不 断 深 入,经过 了 服 务 器、云 化、云 原 生 化3个 阶 段,实现 从 资 源 自 动 化 到 应 用 自 动 化 的 转 变,如2022 年 12 月|保密科学技术|47网络防护图1所 示3。企 业 需 要 充 分 享 受 云 计 算 带 来的 红 利,让 业 务 能 力 生 于 云、长
18、 于 云,由现 在 的“上 云”(O n C l o u d)进 阶 到“云生”(I n C l o u d),同 时 基 于 云 构 建 的 新生 能 力 与 既 有 能 力 有 机 协 同、立 而 不 破。“生 于 云”是 指 基 于 云 原 生 的 技 术、架 构和 服 务 来 构 建 企 业 应 用,“长 于 云”是指 充 分 利 用 云 的 优 势 来 助 力 企 业 应 用 和业 务 发 展,将 企 业 的 数 字 化 建 设、业 务 智能 升 级 带 入“以 应 用 为 中 心”的 云 原 生 新阶 段。企 业 云 原 生 应 用“以 应 用 为 中 心”的新 阶 段 打 造 高
19、 效 的 资 源 调 度 和 管 理 平 台,通 过 应 用 的 敏 捷 开 发,提 升 业 务 应 用 的 迭代 速 度,高 效 响 应 用 户 需 求,并 保 证 全 流程 安 全;实 现 业 务 智 能 帮 助 企 业 管 理 好 数据,快 速 构 建 数 据 运 营 能 力,实 现 数 据 的资 产 化 沉 淀 和 价 值 挖 掘。为 避 免 企 业 利 益 因 安 全 风 险 受 到 损 害,利 用 数 字 化 转 型 赋 能 企 业 高 质 量 发 展,必须 提 升 企 业 级 安 全 服 务 和 安 全 合 规 能 力,保 障 企 业 应 用 在 云 上 安 全 构 建,业 务
20、安 全运 行。表1对 云 原 生 应 用 安 全 的 基 本 防 护 项目 和 手 段 进 行 了 总 结,并 对 重 点 防 护 措 施进 行 了 说 明。企 业 面 对 类 似C V E-2 0 2 1-4 4 8 3 2的0D a y漏 洞,如 果 不 能 及 时 处 置,后 果 将 不可 想 象,因 此 构 筑 系 统 的 企 业 云 原 生 安 全防 护 体 系 非 常 必 要。如 果 企 业 按 照 表1的 防护 项 目 和 防 护 措 施,构 筑 安 全 防 护 体 系,就 能 够 在 漏 洞 发 现 前,或 者 说 在 业 务 应 用发 布 上 线 前 提 前 进 行 漏 洞
21、检 测(使 用 交 互式 应 用 安 全 测 试I S AT、动 态 应 用 安 全 测 试D A S T等 工 具);漏 洞 发 现 时 进 行 漏 洞 的扫 描、定 位 和 加 固 防 护 还 可 以 利 用 漏 洞 检测 系 统,进 行 漏 洞 检 测 和 风 险 预 警,有 效地 进 行 风 险 防 范 和 漏 洞 处 置。4.2 构筑云原生应用安全防护体系企 业 云 原 生 应 用 通 常 要 打 破 各 个 业 务 系 统应 用 之 间 的“烟 囱”,实 现 业 务 的 横 向 集成 和 纵 向 贯 通。云 原 生 高 效 的 资 源 供 给能 力 和 敏 捷 开 发 能 力,能
22、够 为 业 务 应 用 提供 灵 活、快 速 适 应 的 支 撑。但 是 作 为 云 原生 技 术 的 特 性,通 常 面 临 诸 多 安 全 隐 患 和挑 战,并 且 可 能 比 传 统 应 用 的 波 及 范 围 更 统一云化资源池 软件迁移上云 碎片化物理设备管理 软件与硬件割裂 统一云原生基础设施 软件云原生架构运营支撑系统CRM/ERP核心业务系统数据库企业服务总线企业中间件平台物理机 物理机SAN设备交换机路由器NFS设备RAID阵列运营支撑系统云化数据库虚机虚机虚机VPCELB块存储文件存储对象存储计算池化存储池化网络池化CRM/ERP云化运维系统敏捷开发系统核心业务系统新型业务
23、系统轻量级服务框架云化中间件平台微服务应用中间件应用AI/大数据应用边缘/IoT应用云原生基础设施:以“应用”为中心多云/混合云/边云架构云原生应用使能中心应用定义算力应用定义网络应用定义存储图1 企业数字化转型阶段图48|保密科学技术|2022 年 12 月网络防护序 号防护项目防护手段重点防护措施基础设施安全1.1计算安全主机访问控制系统基础安全加固与配置主机入侵检测1.2网络安全网络设备安全网络访问控制网络攻击检测与防御1.3存储安全认证与访问控制备份管理与数据恢复数据传输与存储加密容器云原生计算环境安全2.1云原生网络安全入侵行为检测基于服务粒度的入侵行为检测、基于pod的流量检测方法
24、访问控制网络隔离网络隔离、微隔离2.2编排及组件安全基线扫描漏洞扫描镜像扫描安全基线检测、漏洞检测、恶意镜像检测镜像阻断镜像仓库访问控制镜像仓库安全通信2.3运行时安全异常行为检测不安全启动监控、容器内核心文件完整性监控、恶意访问容器监控、容器内恶意文件识别、容器内攻击行文监控、容器反向连接行为监控、容器网络连接监控、容器无文件攻击行为监控、逃逸攻击行为监控、容器运行行为基准检查入侵行为响应启动时入侵行为阻断、实施入侵行为响应3微服务和Serverless云原生应用安全3.1微服务安全访问控制安全通信东西向服务之间的安全传输、南北向用户服务之间的安全传输漏洞扫描3.2Serverless安全最
25、小权限原则实施权限管控基于FaaS平台实现函数隔离Serverless资产业务梳理平台账户安全防护4DevSecOps4.1安全需求分析4.2安全开发安全设计代码安全静态安全检查工具(SAST)等开源组件隔离制品安全CI系统集成4.3安全测试静态应用安全测试(SAST)动态应用安全测试(DAST)交互式应用安全测试(IAST)渗透测试软件成分分析4.4安全运营运行时安全配置安全监测安全管控与审批攻防模拟与有效性评估应急响应5数据安全数据加密、数据备份、数据签名、数据脱敏6安全管理6.1身份管理6.2密钥管理6.3监控管理可观察性:日志、指标、追踪6.4安全审计6.5安全策略计算环境安全策略研发
26、过程安全策略访问控制安全策略表 云原生安全的基本防护项目和手段表2022 年 12 月|保密科学技术|49网络防护广、危 害 程 度 更 深。以 漏 洞 管 理 为 例,漏 洞 可 能 出 现 在 物理 设 施、计 算 硬 件、操 作 系 统、应 用 代 码和 代 码 引 用 库 等 层 级。与 本 地 部 署 环 境 相比,云 平 台 的 开 发 迭 代 交 付 频 率 通 常 会 更快。相 对 于 传 统 的 从 漏 洞 发 现、响 应、测试、重 新 部 署 到 验 证 的 机 制,云 平 台 的 漏洞 管 理 需 要 考 虑 基 础 设 施 即 代 码、持 续 集成/持 续 交 付(C
27、o n t i n u o u s I n t e g r a t i o n/C o n t i n u o u s D e l i v e r y,C I/C D)和 微 服务 架 构 等 云 原 生 技 术。云 平 台 的 漏 洞 管 理采 用 自 动 拉 取(镜 像)、测 试 更 新、部 署新 版 本、发 现 新 问 题 的 流 水 线 过 程。云 平台 漏 洞 管 理 的 典 型 场 景4如 图2所 示。云 平台 的 漏 洞 管 理 围 绕C I/C D,通 过 集 成 各 类扫 描 工 具 至 自 动 化 流 水 线,实 现 对 云 平 台漏 洞 的 动 态 管 理。从 图2可 以
28、 看 出,安 全 防 护 在 云 原 生 应用 全 生 命 周 期 漏 洞 管 理 方 面 发 挥 着 十 分 重要 的 作 用,从 静 态 代 码 扫 描、软 件 成 分 分析 到 漏 洞 扫 描、应 用 防 护 加 固、动 态 监 控等。因 此,加 强 企 业 云 原 生 应 用 安 全,要着 眼 于 云 原 生 安 全、应 用 安 全、研 发 运 营安 全、数 据 安 全,构 筑 云 原 生 安 全 防 护 体系,全 面 提 升 云 原 生 应 用 的 防 护 能 力。2 0 2 1年7月,工 业 和 信 息 化 部 公 开 征 求 网 络 安 全 产 业 高 质 量 发 展 三 年 行
29、 动 计 划(2 0 2 12 0 2 3年)(征 求 意 见 稿)的 意见。该 行 动 计 划 指 出“面 向 云 上 业 务、应用 等 服 务,提 升 安 全 访 问 服 务 边 缘 模 型、云W e b应 用 防 火 墙、云 上 数 据 保 护 等 安全 产 品 效 能,保 障 云 上 业 务 安 全 运 行”。图2 云原生漏洞管理的典型场景50|保密科学技术|2022 年 12 月网络防护在 企 业 提 升 云 原 生 应 用 安 全 防 护 能 力 的 过程 中,可 以 参 考 图3的 安 全 防 护 模 型5,结 合 企 业 自 身 实 际,系 统 全 面 地 考 虑 安 全能 力
30、 的 建 设 和 运 营,加 强 防 护 能 力 建 设,特 别 是 业 务 应 用 的 安 全 防 护 能 力 建 设,例 如 可 以 采 用W e b应 用 防 护 系 统(W e b A p p l i c a t i o n F i r e w a l l,WA F)、交互 式 应 用 安 全 测 试(I S AT)、A P I安 全网 关 等 工 具,结 合 开 发 安 全 运 行 一 体 化(D e v S e c O p s)、大 数 据 态 势 感 知 和 智 能分 析 技 术 等,增 强 云 原 生 应 用 安 全 的 可 预警 性 和 可 观 测 性,在 云 原 生 应 用
31、 的 全 生 命周 期 各 个 阶 段 增 强 安 全 防 护 能 力,全 方 位提 升 云 原 生 应 用 安 全 水 平。5 结语我 国 企 业 上 云 已 进 入“生 于 云、长 于云”,以 应 用 为 核 心 的 新 阶 段,要 充 分 利用 云 原 生 技 术 优 势 来 助 力 企 业 应 用 和 业 务发 展,促 进 企 业 数 字 化 转 型 和 创 新 发 展。一 方 面 要 将 全 栈 云 原 生 能 力 延 伸 到 更 靠 近企 业 业 务 所 需 的 位 置,云 原 生 技 术 逐 步 上移 到 应 用 层,实 现 人 工 智 能 与 数 据、应 用深 度 融 合;另
32、一 方 要 促 进 云 原 生 安 全 的 内生 配 置 及 与 云 原 生 平 台、云 原 生 应 用 的 深度 融 合,特 别 要 重 视 对 云 原 生 技 术 引 入 的新 安 全 风 险 的 防 护,加 强 企 业 业 务 应 用 的重 点 防 护,确 保 云 原 生 业 务 应 用 安 全。参考文献1 新程序员编辑部.新程序员003M.北京:中国水利水电出版社,2022:11.2 Sysdig.2022云原生安全和使用报告EB/OL.(2022-03-03)2022-07-18.https:/ 中国信息通信研究院.云原生 2.0 白皮书R.2021.4 Chris Dotson.云
33、安全使用指南保障M.赵亚楠,译.北京:电子工业出版社,2020:467+95.5 云原生产业联盟.云原生架构安全白皮书R.2021.API安全治理漏洞扫描安全通信访问控制平台账号防护资产业务梳理函数隔离访问控制云原生应用安全云原生研发运营安全需求分析安全设计静态应用安全测试需求分析代码安全开源管理制品安全系统集成动态应用安全测试交互式应用安全测试渗透测试软件成分分析安全监测安全管控与审批攻防模拟与有效性评估应急响应云原生研发运营安全数据签名数据脱敏数据备份数据加密云原生计算环境安全镜像完整性保护镜像扫描镜像阻断镜像仓库访问控制镜像仓库安全通信基线扫描漏洞扫描镜像仓库访问控制访问控制资源隔离与限制入侵行为监控异常行为监控访问控制入侵行为响应网络隔离计算安全网络安全存储安全基础设施安全安全管理身份管理密钥管理监控管理安全审计安全策略图3 云原生安全防护模型2022 年 12 月|保密科学技术|51网络防护
浙ICP备2021020529号-1 | 浙B2-20240490 
