伴随着云计算市场而发展起来的,云基础设施投资的快速增长,无疑为云安全发展提供土壤。随着企业逐渐转向云端部署和容器化应用,云原生安全也成为企业所需要考虑的安全问题。而在云原生应用和服务平台的构建过程中,容器技术凭借高弹性、敏捷的特性,成为云原生应用场景下的重要技术支撑,因而容器安全也是云原生安全的重要基石。
下面德迅云安全就带大家了解下什么是云原生安全,以及关于云原生安全领域中的容器安全问题。
云原生安全的定义:
国内外各组织、企业对云原生安全理念的解释略有差异,结合我国产业现状与痛点,云原生与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。
面向云原生环境的安全的目标是防护云原生环境中基础设施、编排系统和微服务等系统的安全。在云原生环境中,安全机制以云原生形态为主,例如服务网格的安全通常使用旁挂串接的安全容器,而微服务API安全则通常使用微API网关容器。这些安全容器都是云原生的部署模式,并具备云原生的特性。
具有云原生特征的安全则是指安全机制具备弹性、敏捷、轻量级、可编排等特性。云原生是一种理念上的创新,它通过容器化、资源编排和微服务重构传统的开发运营体系,从而加快业务上线和变更的速度。这些特性使得云原生安全能够灵活应对各种安全挑战,确保云环境的稳定和安全。
云原生安全领域涉及的容器安全问题:
1、容器镜像不安全
Sysdig的报告中提到,在用户的生产环境中,会将公开的镜像仓库作为软件源,如最大的容器镜像仓库Docker Hub。一方面,很多开源软件会在Docker Hub上发布容器镜像。另一方面,开发者通常会直接下载公开仓库中的容器镜像,或者基于这些基础镜像定制自己的镜像,整个过程非常方便、高效。然而,Docker Hub上的镜像安全并不理想,有大量的官方镜像存在高危漏洞,如果使用了这些带高危漏洞的镜像,就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点:
a.不安全的第三方组件
在实际的容器化应用开发过程当中,很少从零开始构建镜像,而是在基础镜像之上增加自己的程序和代码,然后统一打包最终的业务镜像并上线运行,这导致许多开发者根本不知道基础镜像中包含多少组件,以及包含哪些组件,包含的组件越多,可能存在的漏洞就越多。
b.恶意镜像
公共镜像仓库中可能存在第三方上传的恶意镜像,如果使用了这些恶意镜像来创建容器后,将会影响容器和应用程序的安全
c.敏感信息泄露
为了开发和调试的方便,开发者将敏感信息存在配置文件中,例如数据库密码、证书和密钥等内容,在构建镜像时,这些敏感信息跟随配置文件一并打包进镜像,从而造成敏感信息泄露
2、容器生命周期的时间短
云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。在容器环境下,一部分容器是以docker的命令启动和管理的,还有大量的容器是通过Kubernetes容器编排系统启动和管理,带来了容器在构建、部署、运行,快速敏捷的特点,大量容器生命周期短于1小时,这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化,容器的全生命周期防护存在很大变数。对防守者而言,需要采用传统异常检测和行为分析相结合的方式,来适应短容器生命周期的场景。
3、容器运行时安全
容器技术带来便利的同时,往往会忽略容器运行时的安全加固,由于容器的生命周期短、轻量级的特性,传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护,显示费时费力且消耗资源,但在黑客眼里容器和裸奔没有什么区别。
与传统的Web安全类似,容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞,容器在对外提供服务的同时,就有可能被攻击者利用,从而导致容器被入侵。
4、容器微隔离
在容器环境中,与传统网络相比,容器的生命周期变得短了很多,其变化频率也快很多。容器之间有着复杂的访问关系,尤其是当容器数量达到一定规模以后,这种访问关系带来的东西向流量,将会变得异常的庞大和复杂。因此,在容器环境中,网络的隔离需求已经不仅仅是物理网络的隔离,而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。
对于上述的一些问题,目前可放心使用的容器安全方案--德迅蜂巢原生安全平台
针对镜像的问题,德迅蜂巢镜像检查能力已经覆盖到开发、测试等多个环节中,可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。
针对容器生命周期问题,德迅蜂巢通过提供覆盖容器全生命周期的一站式容器安全解决方案,可实现容器安全预测、防御、检测和响应的安全闭环。
针对运行安全问题,德迅蜂巢通过多锚点入侵监测分析,实时监测容器中的已知威胁、恶意⾏为、异常事件,以发现容器中的病毒、挖矿、Webshell等攻击行为。监测到异常事件后,对失陷容器快速安全响应,把损失降到最低。
对于容器微隔离,德迅蜂巢通过对访问关系的梳理和学习,提供自适应、自迁移、自维护的网络隔离策略,以及告警”模式,让用户放心设置策略。适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构,帮助用户快速、安全地落地容器微隔离能力。
总之,云原生安全是一个综合性的概念,它不仅解决了云计算普及带来的安全问题,更强调以原生的思维构建云上安全建设、部署与应用,推动安全与云计算的深度融合。随着企业普遍上云,云安全也愈发重要。我们需要采取有效的策略和技术手段来保护云上安全,应对可能出现的网络安全问题。
