在數字經濟和數字化技術的驅動下,企業“上云、用云”進入了全新的階段,云原生技術體系架構下的容器、微服務等創新技術,讓傳統的生產和運營效率將得到大幅度提升,與此同時,由于云原生下保護對象和安全機制的變化,導致云原生帶來大量新型安全風險。7月7日,2023年北京網絡安全大會云原生安全論壇在京召開,以“融合、進化”為主題,共同探討云原生環境下的安全新形態與防御之道,夯實云原生建設基礎,護航在數字經濟浪潮下的云原生產業健康發展。
【資料圖】
奇安信集團副總裁劉浩
云原生化轉型浪潮已至 云原生安全成為極具潛力的新賽道
“云原生經過多年發展,核心技術已趨于成熟,產業生態趨于完善,到 2025 年,超過一半的中國 500 強企業將成為軟件生產商,超過 90%的應用程序為云原生應用程序。在對云原生技術應用挑戰的調研中,安全性連續三年成為企業用戶的最大顧慮,2022年超七成用戶擔心在生產環境中大規模應用云原生技術時的安全性。”中國信息通信研究院云大所高級業務主管杜嵐表示,云原生與安全將雙向賦能與融合,并出現防護對象從基礎設施向服務交付上移、從單點防護向全流程一體化防護演進等發展趨勢,同時,安全與基礎設施融合催生新形態的安全能力和交付模式。
中國信息通信研究院云大所高級業務主管杜嵐
云原生安全的應對之道
“運營商行業在利用云原生技術方面走得比較早,率先享受到云原生技術的紅利,以中國移動為例,2015年開始采用對容器技術進行探索,經過多年建設,移動的“磐基”、“磐舟”兩大云原生技術平臺,支撐了多個大型單位的云上業務。”中國移動信息技術中心運維安全項目總監劉斌說,在云原生的建設過程中,也同樣面臨鏡像的風險、API風險、運行時的風險和集群風險等安全問題,對此,中國移動參考了CNAPP云原生安全保護平臺的建設思路,考慮了云原生的特點和需求,體現了安全左移和縱深防御理念,結合研發階段和應用階段建設,實現全局的DevsecOps,除了安全工具外,還要有安全機制的保障,如:上線前安全需求分析、代碼掃描SAST軟件成分分析SCA、灰盒掃描IAST、鏡像掃描、APP掃描,提前預防安全風險。上線后持續進行安全防護,定期進行鏡像掃描、基線合規檢測、運行時通過容器安全與微隔離軟件對容器運行實時監測。
中國移動信息技術中心運維安全項目總監劉斌
“業務需求與安全監管的博弈抗衡大背景下,真正的P0事件往往發生在安全未監管到的最后剩下的1%,在云原生下同樣適用,容器內應用作為暴露互聯網初始入侵攻擊界面依然存在風險:典型的(Web服務、Web中間件、DB服務、大數據服務等)RCE漏洞、弱密碼暴力破解、WebSecurity(Sql注入、xss、文件上傳等)依然是攻擊者典型踩點打法,CoblatStrike,metaspoit依然是主流后滲透手法,勒索、挖礦、脫褲等云平臺常見威脅影響依然頭痛。”火山引擎終端安全攻防研究專家李月鋒表示,攻防戰爭信息不平衡,攻擊者只需點、線突破,防守方必須體、面俱備,客戶面臨攻擊威脅事前、事中、事后全生命周期下核心痛點分析與貼近客戶業務視角下優雅解決方案。
火山引擎終端安全攻防研究專家李月鋒
“隨著云原生、人工智能和大數據的快速發展,大模型如GPT-3等已經成為了我們生活和工作中不可或缺的一部分。然而,這些大模型在帶來便利的同時,也帶來了包括數據泄露、惡意攻擊等新的安全和隱私挑戰,如大模型訓練和使用過程中可能產生數據流相關風險。”中科院信工所黃鶴清博士表示,針對這些新型安全問題,將衍生出AGI數據安全防火墻等云原生環境下的新型技術手段。
中科院信工所黃鶴清博士
“現在我們看到的云原生風險只是技術應用過程中的一部分,后續隨著我們對技術認知或者技術的迭代,可能會有更多漏洞、更多問題出現,所以我們還是要去持續把云原生技術應用的效果發揮出來,同時把它的風險控制在可接受的范圍內。”某金融機構安全團隊負責人表示,目前的云原生安全態勢需要我們構建一個一體化的,從開發階段到運行階段,全生命周期的安全平臺,實現閉環管理。
某金融機構安全團隊負責人
“現有安全防護體系雖然覆蓋了云原生技術架構和全生命周期,但帶來的直接結果就是安全工具多、分散,運維和運營成本高;云原生時代開發人員更關注應用的快速上線,沒有統一的安全管控流程和基線配置將導致應用可能帶病上線或者推遲上線;云原生時代開源代碼和鏡像大量使用導致供應鏈問題突出,開發態和運行態資產風險無關聯導致安全應急響應慢和風險定位困難。”奇安信云安全首席架構師鮑坤夫表示,奇安信CNAPP云原生安全保護平臺以“安全左移、原生融合、全生命周期覆蓋”為產品理念,以云原生應用為核心保護目標,能力覆蓋整個云原生架構以及云原生應用的全生命周期,縱向從下到上覆蓋云原生應用運行的基礎設施,橫向從左到右覆蓋云原生應用的整個生命周期,涵蓋開發、部署和運行時階段的安全風險監測與分析,貫穿一體系(DevOps)、兩方向(安全左移與安全右移)、 三環節(構建、部署、運行),提供云原生應用全生命周期的風險管理與卡點管控能力。
奇安信云安全首席架構師鮑坤夫
“隨著越來越多的用戶上云,對云上的測試有了新的要求。傳統的測試儀需要支持虛擬化和容器化才能部署到云上,另外也要根據云原生的特點改造部署和測試流程。”思博倫Cloud&IP云和安全產品總監任紅波表示,思博倫支持云原生的pod到pod,ingress負載均衡,混沌測試,性能和安全測試場景,支持SD-WAN和SASE測試,并和DevOPS,CI/CD等開發模式結合來更迅速的滿足云及云原生的測試需求。
思博倫Cloud&IP云和安全產品總監任紅波
本次BCS云原生安全論壇匯集了來自云原生領域的眾多業界專家學者、甲方客戶以及安全企業,旨在提升云原生安全領域的理論建設與實踐水平,夯實云原生安全基礎,護航在數字經濟浪潮下的云原生產業健康發展。
