【阅读原文】戳:阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖
2024年12月24日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2025中国信通院深度观察报告会:算力互联网分论坛”,在北京隆重召开。本次论坛以“算力互联网 新质生产力”为主题,全面展示中国信通院在算力互联网产业领域的研究、实践与业界共识,与产业先行者共同探索算力互联网产业未来发展的方向。
会议公布了“2024年度云原生与应用现代化标杆案例”评选结果,“阿里云容器服务&云安全中心一构建云原生运行时安全一体化”荣获“云原生安全标杆案例”。
「云原生运行时安全一体化」技术创新及解决方案概况
在云原生时代背景下,应用的容器化转型为企业带来了诸多安全架构上的挑战。面对严峻的容器安全形势,阿里云容器服务团队与云安全中心团队携手构建的云原生运行时安全一体化方案,针对容器应用运行时刻的过度授权和容器逃逸等风险,提供了针对容器运行时节点安全、应用访问凭据安全和审计安全的全链路安全能力。
其核心技术创新点包括:
• 基于eBPF技术增强内核观测,提升性能,检测容器逃逸攻击,简化运维,并支持攻击溯源。
• 通过账号系统通知和安全基线,主动检测k8s风险,降低攻击利用;并实现Pod细粒度授权,防止多租户越权。
• 针对容器应用件和出入网关流量与传输安全问题,提供两种方案:
方案一:利用服务网格技术自动注入sidecar代理,实现流量拦截和TLS加密,支持多种认证和自定义鉴权。
方案二:通过云安全中心Agent监控容器流量,构建零信任安全环境。
• 结合服务网格的全链路mTLS加密和应用流量审计能力,提供了容器应用完备的审计和传输安全能力。
• 通过覆盖容器生命周期的安全防护和满足行业合规标准,为企业和重点行业客户提供全面且合规的容器云安全保障。
「云原生运行时安全一体化」方案核心优势
容器逃逸行为监控警告与审计
Pod exec作为容器逃逸攻击的一个手段,其带来的安全问题不容小觑。阿里云云原生运行时安全一体化方案针对容器逃逸问题提供全链路的安全能力。
• 自动追踪特定内核函数执行上下文事件:基于eBPF技术,针对内核中特权相关系统调用和进程执行等敏感行为创建对应的kprobe、tracepoint和LSM钩子。
• 降低用户配置学习成本:组件提供细颗粒度的预置策略模板,并提供高度定制化的监控能力。
• 实时自动记录攻击指令:面对攻击者利用CVE发起容器逃逸攻击时可完整记录其执行指令,并在内核中发生namespace命名空间逃逸、基于内核能力或特权的提权等事件发生时实时告警。同时基于K8s的webhook机制,结合eBPF的事件采集能力收集exec进容器后的命令执行事件,快速关联指定容器资产;通过云上日志服务构建完整审计与检索能力,提供基于规则的可疑事件警告能力。
云上安全运营全链路闭环
基于云原生生态,容器安全基于云原生生态,提供k8s资产管理功能,支持小集群、大集群、应用、镜像等视角,适应不同业务形态进行全局管理。配合丰富的风险统计和趋势报表,用户可快速掌握k8s集群的实时安全状态,提升安全管理效率。
• 实时入侵防范:通过供基线配置风险、合规风险、漏洞风险等方面的实时检测能力,有效防御勒索软件、挖矿病毒、木马、Webshell等恶意行为,以及网页篡改等攻击。
• 安全报告自动生成:配合云盾安全产品体系,通过对多产品的日志和告警进行聚合分析,可形成详细的安全事件报告。
• 安全事件自动处置:通过启动自动化响应编排,可联动相关云产品对威胁源执行封禁、隔离等安全措施,确保已知安全隐患在各环境都能得到收敛,未知问题有强力的诱导、反制手段。
集群节点默认安全性提升
提升容器集群节点的安全性是确保云上业务稳定运行的关键。云原生运行时安全一体化方案在节点、用户访问权限与主动巡检三个安全维度对集群节点做到企业级细致防护,为每一位用户上云保驾护航。
• 闲置与风险镜像自动清理:容器逃逸后,集群节点安全成为抵御横向攻击的关键,方案利用Image Cleaner插件自动化清理闲置或风险镜像,增强kubelet清理能力,预防数据盘空间占满风险。
• 应用层云资源访问权限隔离:当用户使用节点绑定的云上资源访问角色访问云上资源时,可能出现跨租户越权访问的风险,针对不容用户需求与使用场景,本方案提供多维度云上资源访问权限隔离的能力。
节点绑定独立RAM角色,实现节点维度的权限隔离。
Pod使用K8s ServiceAccount和OIDC标准协议token,实现Pod维度的细粒度权限隔离。
• 主动定期配置巡检:应用Pod模板中不当安全配置也是攻击者施展攻击的重要手段,方案通过定期的配置巡检主动发现Pod配置中潜藏的安全风险并给出修复和加固建议。
授权最小化
用户在Kubernetes的日常运维和Pod访问Apiserver时需要kubeconfig凭据,而开发测试中容易产生过度授权和冗余凭据,随时间积累可能成为攻击者利用的目标。
• 凭据管理:通过凭据管理功能轮转临近过期的凭据,清理离职员工残留凭据。
• 凭据巡检:支持风险凭据的定期巡检和主动告警。
• 凭据恢复:对于误删的凭据,回收站支持一键恢复操作,保证应用稳定性。
应用无感零信任安全
方案中使用的阿里云服务网格ASM提供了一个全托管式的服务网格平台,兼容社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。
• 流量加密与鉴权:通过部署在同一个Pod中的Sidecar代理,透明拦截进出业务容器流量,并实现流量加解密及认证鉴权操作。
• mTLS通信:通过每个数据面代理中各自的X.509证书,实现客户端与服务端的双向合法性验证。并在此基础上,数据面代理可以基于客户端的证书以及请求的L7信息实现丰富的授权能力。
「云原生运行时安全一体化」方案应用案例
针对容器运行时的攻击无论是从数量还是攻击水平上都呈日益上升的趋势。受影响的客户和相关的安全产品防护能力的需求也日益增长。以下是四个极具代表性的案例,展示本方案在实际业务中的应用价值。
借助凭据管理功能,某自动驾驶
领域客户实现集群运维「最小化授权」
某自动驾驶领域客户,因业务需求在核心业务集群中下发数百子部门员工的Kubeconfig,随着业务迭代与员工离职,存在离职员工利用集群残留的大量kubeconfig对开公网的测试集群进行恶意访问的安全隐患。通过本方案的凭据管理功能,可一次性发现账号下数百个风险kubeconfig凭据记录,涉及大量已删除RAM账号的离职员工凭据,并通过方案能力完成自动化的批量清理。此外,通过凭据管理的回收站及清理前的前置校验功能,帮助客户直观查询风险凭据是否还在被业务依赖,同时在误删时及时完成回滚操作。
面对多租业务场景,客户不同部门开发团队需共享同节点池完成业务部署,因此子部门间的权限隔离功能是客户的安全强需求。通过方案中的RRSA功能,实现了客户Pod维度的细粒度云上资源访问控制,部门业务Pod可独立绑定最小云资源权限,同时实现存量节点的绑定资源清理,避免了子部门间账号共享导致的越权风险。
「全链路应用层mTLS加密」
保障北京合思业务集群安全性
北京合思信息技术有限公司作为国内领先的财务数智化服务平台,业务通过500+合作伙伴覆盖国内外数百个城市,超7000家付费企业客户选择合思。其作为平台方为了服务上千的企业客户,同时需要支持跨集群的服务访问能力。利用本方案中的服务网格能力,客户不同集群间可以使用统一的ASM控制面管理功能,同时在跨集群的出入口网关,以及集群内不同业务 Pod 间实现东西向流量的mTLS加密传输和细粒度的认证鉴权。在应用该方案后,客户的多集群安全性显著提升,方案可以保证客户暴露于公网的用于跨集群通信的网关只能被可信客户端访问,显著提升了公网场景下多集群互联的整体安全性;同时在出口网关,通过ASM授权策略(AuthorizationPolicy)进行统一管控,显著提升集群安全性。配合ASM的跨地域容灾能力,实现了混合云多集群互相容灾的能力,显著提升客户业务稳定性。以上特性解决了客户关键业务诉求,帮助客户快速构建了高效、稳定的应用服务基础设施。
金融量化领域头客借助云原生运行时
一体化方案实现「容器可疑行为监测和审计」
某金融量化领域的头部客户,由于行业严格的监管合规要求,以及对业务核心模型数据的隐私保护强需求,非常重视构建业务运行时刻的安全监控以及对日常运维操作的安全审计。通过本方案的监控和审计能力比传统进程agent更节省性能开销。方案中的Tetragon agent在每秒产生近3k的安全事件压力测试下,单节点进程追踪和CPU性能开销分别控制在2%和1%以内,优于传统方案。部署方案的运行时威胁检测插件后,客户能实时监控容器逃逸攻击并提升风险响应能力。
同时,部署ack-advance-audit插件后,客户能审计运维人员的Pod操作命令,通过eBPF技术捕获可疑命令及上下文,实现命令执行审计,满足合规监管需求,规范内部操作,减少内部安全风险。
「容器运行时安全左移」协助
某四大银行旗下证券中心实现DevSecOps
某四大银行旗下的证券中心在过去的几年间,因其业务增长迅速,为保证业务的健康与稳定性,部署了超过100000多个容器,平均单月镜像仓库拉取镜像超过6000次,镜像安全问题引发重视。而与此同时,大型容器集群的安全管理与业务访问关系治理也成为了不可忽视的潜在风险。
而云安全中心-容器安全专为客户的运维和安全运营团队提供云原生安全功能,帮助企业实现DevSecOps,为企业解决风险发现提效问题。通过默认打通云原生容器服务生态组件,集成安全至CI/CD流程,早期发现并修复代码问题,避免生产环境风险。同时,它自动学习容器业务访问关系,帮助客户在云迁移中保持访问控制,并结合客户业务在云环境下的最佳实践案例,提供集群内外流量管控,实现云上容器流量的可视化与安全管控。
我们是阿里巴巴云计算和大数据技术幕后的核心技术输出者。
获取关于我们的更多信息~
