在全球数字化转型浪潮的席卷之下,上云已经变得越来越普遍。云让运维变得更敏捷、更智能化。运维人员能够通过云快速地获取资源,利用IaC(Infrastructure as Code)自动构建大规模基础设施,基于业务的流量进行弹性收缩,按照用量付费,避免出现大量闲置的冗余设备。但是,云并没有改变业务系统的架构,而仅仅是将传统方案复制到云上,业务系统发布和变更迭代的速度并没有得到很大的提升。
另一方面,随着数字化转型的深入,产品仅仅实现业务功能已经远远不够,而是要成为推动业务快速增长的助力。某种程度上来说,在这个激烈的市场竞争中,快就是一切。同时,随着业务系统变得越来越复杂,用户要求也越来越高,他们已经无法接受性能问题、反复出现的错误,而是希望实现快速响应、创新工作和零故障时间。
云原生应运而生,这是一场关于速度和敏捷性的革命。
在3月31日举行的默安科技2022春季发布会上,CTO云舒分享了他在云原生时代的一些思考。
图 1 云舒在默安科技发布会现场演讲
云舒认为,云原生不是一种产品,甚至也不是一种方案,而是一种理念。在云改变了运维的基础上,云原生改变了员工的工作方式,改变了部门间的协作方式,进一步改变了业务的生产方式。云原生为支持快速更改、大规模操作和复原能力,实现了可复原、可管理、可观察的松散耦合系统。它在传统云计算的基础上引入容器、不可变基础设施、微服务、服务网格等技术,与强大的自动化相结合,使工程师能够在尽量减少工作量的情况下,以可预测的方式频繁地进行具有重大影响力的更改。
从云到云原生:不同,却不可分割
图2 云原生与云不可分割
虽然云原生对业务产生了巨大的积极影响,但在未来三五年内,还不可能将业务系统完全迁移到云原生体系中,云原生仍将继续跟传统云计算共存。私有虚拟化云、公有虚拟化云、自建或托管的容器云、OSS、RDS等SaaS化的云服务,多种基础设施异构的模式不可能在短时间内彻底改变,很多组织会形成这样一个复杂的过渡期业务架构。云原生与云不可分割。
云舒和他的团队看到云原生与云的不可分割性,同时也深刻理解云原生新引入的如服务网格、微服务、容器与不可变基础设施,以及DevOps体系等所带来的深远意义。他们认为云原生必将带来新的安全挑战,也势必需要新的安全理念、新的安全产品与解决方案,并对这些做了长时间的思考和推演。
云原生下的新挑战、新安全
在云原生给业务带来快速与敏捷的同时,也势必带来新的安全挑战,从以下几个方面可窥见端倪。
在云原生环境下,业务系统的快速、成功发布是第一要务,在整个DevSecOps过程中,安全产品都必须做到高自动化、低误报,不能增加额外的用于安全检测的时间。安全产品要完全无摩擦的融入DevOps体系中。
由于业务系统每天大量、快速地发布与迭代,容器的生命周期非常短暂。云原生需要更加敏捷的安全。传统的安全产品甚至无法感知容器的出生与消亡过程,更不用说做到安全风险的有效保护。
在云主机时代,业务部署与正式运行之间有一个窗口期,可以先部署好云主机,再部署好安全防护,最后部署业务。但是在云原生时代,业务系统部署与运行环境绑定,上线即运行,没有时间差。安全必须成为业务的基础属性,业务必须具备原生的安全能力。
微服务能够加快业务迭代速度,敏感数据在微服务之间通过API流动,带来了大量东西向流量的安全问题,传统的安全产品无法检测。
云原生带来速度和敏捷性上极大改善的同时,也需要新的安全理念和方案,这是以安全为使命的先发者需要接受的挑战。默安科技,作为一家以“引领下一代安全防护体系”为使命的新兴网络安全厂商,责无旁贷。
默安科技云原生保护平台(CNPP)——尚付
作为云原生安全领域的时代先锋,默安科技在此次发布会上正式推出基于“原生、左移、零信任”理念的尚付云原生保护平台(CNPP, Cloud Native Protection Platform )。
云舒认为,尚付云原生保护平台通过在一个统一的产品内,提供跨越多云的全生命周期、全栈的安全保护,给用户带来全所未有的安全可见性和管控性,大幅降低对云原生这种极其复杂的业务系统提供保护能力的成本。
业务全生命周期时间维度的可见和管控
尚付打通了DevOps和容器云,让运维人员可以知道代码库的代码运行在哪些节点上,构建成了什么服务,可以知道线上运行的服务是由哪里的代码生成,也可以知道从代码、构建、分发、测试到部署每一步是在何时完成,存在什么样的安全风险。
尚付在一个统一的CI/CD插件中,同时提供IaC安全扫描、SCA扫描、容器镜像安全扫描、IAST扫描等多种扫描能力,并突破性的将应用层的安全风险上下文信息与镜像指纹绑定,为后面的运营和管控提供更丰富的手段。
图3 时间维度的安全可见性与管控性
全栈的空间维度可见和管控
尚付打通了CSPM(云安全状态管理)和可以兼容容器和云主机的工作负载安全agent,在一个统一的界面内展现公有云OSS、RDS等基础SaaS业务的配置错误与合规性,托管容器云与私有容器平台的配置错误与合规性,以及多云、混合云等云主机的安全问题,而不是像传统产品那样分裂在多个不同的安全产品内。
图4 空间维度的安全可见性与管控性
接下来,云舒具体介绍了尚付云原生保护平台的五大核心功能。
图 5 尚付云原生保护平台的五大核心功能
DevSecOps
默安科技从2017年开始打磨开发安全体系,目前已经拥有业内领先的完整DevSecOps方案,其中的SCA、IAST等核心能力获得国际权威机构Gartner的多次认可。将这个体系与容器云安全无缝整合之后,尚付真正实现了Gartner在CNAPP报告中讲的从开发到运行的全生命周期安全可见与管控。
尚付DevSecOps模块支持与Git、SVN等多种代码仓库及jenkins、Gitlab等多种CI/CD平台对接,无需新建项目,无需任何手工动作,自动适配多分支开发、多次构建的研发模式,自动生成安全测试流水线,毫无阻力的将安全与研发彻底融合。
基础设施安全及左移
尚付通过CSPM(云安全状态管理)以及平行容器的方式,查看到组织内全部的公有云资产以及容器云平台资产、node节点资产,CIS、PCI DSS、等保等多种配置标准对这些资产进行检查,提出不符合安全实践或者不符合法律法规的条目,并提供修正意见。
云原生时代,基础设施一般通过模板生成。一个错误的IaC(基础设施即代码)模板可能生产上百个危险资源,最终变成上千个运营告警。尚付DevSecOps模块的IaC安全扫描能力,在代码构建阶段自动识别其中的IaC代码,识别其中的错误代码并修复,在基础设施漏洞发生之前就解决相关风险问题。左移的基础设施安全可以大幅降低安全人员工作量,节省运维成本。
尚付的IaC安全扫描能力,支持Kubernetes Manifest清单文件、Rancher、Docker File、Terraform等多种格式的安全检查。
微服务网络安全:基于零信任的微隔离
尚付的微服务网络安全模块可以跨集群、跨命名空间观测学习所有微服务东西向流量,并生成访问关系地图。
基于此关系地图,自动生成微隔离策略。隔离策略采用零信任理念,实现基于身份的微隔离,而不是传统的基于IP地址。在学习模式下生成的微隔离策略,随时可以切换到只告警不真正阻断的试运行模式,也可以在确保无误的情况下,切换成阻断模式。
工作负载安全及左移
为了实现版本管理和良好的故障恢复弹性,云原生提出了“不可变基础设施”理念。基于此理念,尚付CNPP默认使用进程白名单的方式对工作负载进行强有力的安全保护。业务运行后,尚付通过平行容器的方式开始学习该业务的进程模型,随后生成进程白名单,并可在学习模式、试运行模式、阻断模式之间切换。默安科技认为云原生体系中,进程启动前的管控,更优于进程启动后的异常检测。
同时,尚付也整合了机器学习模型和杀毒引擎,对容器内的进程进行运行时异常检测,与进程白名单管理一起协同工作,确保业务安全。
尚付在DevSecOps模块中提供了镜像扫描能力,不仅仅扫描镜像系统漏洞、组件漏洞,也整合了杀毒引擎查杀镜像中的病毒木马挖矿等恶意文件。镜像扫描能力既可以扫描单个的容器镜像,也可以与Harbor、jFrog等镜像仓库对接做全量的扫描。
镜像安全扫描,即工作负载安全的左移。在工作负载被部署、运行之前,提前检查了安全性,降低了线上产生风险的可能,降低安全了运营成本。
左移扫描之外,尚付提供包含几十种策略的镜像启动控制,防止没通过安全扫描的镜像上线运行。特别注意的是,镜像如果进行了SCA扫描或者IAST扫描,在启动控制阶段会携带应用层的安全信息,进行准入控制,这打破了常规的只能基于镜像系统漏洞、组件漏洞管控的传统,在业界尚属首次。
云舒说,左移的安全理念,贯彻在尚付的各个环节中。“上医治未病” 能够大幅减少问题发生后的处置与修复成本。
应用与数据安全:原生的WAF能力,安全随时可得
尚付CNPP为云原生微服务提供了声明式的原生WAF能力。部署应用时,只需要添加moresec.cn/waf-inject-enable:”true”标签,该应用启动时即自动获得了WAF保护,安全保护成为了一个需要即可获得的资源,简单而强壮。
WAF在保护应用安全的同时,自动分析发现微服务提供的API,并为API提供专有的保护,比如基于IP地址或者API某参数的阈值控制,比如API某些参数的高级格式控制,也可以基于学习引擎发现API中流动的敏感数据是否符合安全是否符合法律法规。
尚付CNPP的应用安全与数据安全模块,与Istio等服务网格完全兼容。如果集群部署了Istio,WAF自动将WASM引擎注入到Istio sidecar的envoy中,复用现有资源,降低系统开销。如果没有部署Istio,尚付将在node节点上启动envoy进程,该node节点上的所有pod共用此envoy,对比sidecar模式运行多个envoy进程,可以节省大量资源。
广泛兼容,多版本可选
尚付在云环境、网络CNI、镜像仓库等方面都具备广泛兼容性。无论是公有云、私有云、混合云、虚拟化云还是容器云,都能够在统一的平台中使用同一种体验,呈现并管理所有资产及存在的安全风险。此外,尚付拥有标准版、高级版、完整版等多个级别版本,可以满足广大政企用户在不同阶段的不同需求。
下一步:更多探索与交流
作为云原生安全领域的时代先锋,默安科技凭借优秀的技术实力和创新精神不断探索、精进,目前已经加入云原生计算基金会(CNCF)成为会员,并且获得中国信通院云原生安全产品检验证书,标志着默安科技在云原生安全方面的实力走在行业前列且获得国家认可。
在分享的最后,云舒提出希望与业内专家有更多的交流与探讨,共同发掘云原生安全保护平台的更多可能性,也愿意一起携手将这个领域做大做强,帮助广大政企用户更安全地推进云原生和数字化进程。
