青藤雲安全:基於DevOps生命週期的容器安全應用實踐

隨着雲計算技術的蓬勃發展,傳統上雲實踐中的應用升級緩慢、架構臃腫、無法快速迭代等“痛點”日益明顯。能夠有效解決這些“痛點”的雲原生技術正蓬勃發展,成爲賦能業務創新的重要推動力,並已經應用到企業核心業務。然而,雲原生技術在創造效益的同時,卻也面臨着嚴峻的安全問題。

雲原生技術中,容器技術以操作系統的C-Group以及Namespace的機制,來實現操作系統內核的共享,資源的虛擬化以及隔離,在DevOps和微服務領域都有廣泛的應用。隨着容器技術的不斷向前發展,容器以及容器運行時的安全性問題,已經成爲亟待解決的問題。

那麼,雲原生技術面臨哪些安全挑戰呢?如何保障雲原生的容器安全呢?雲原生安全解決方案如何落地呢?

帶着這些問題,7月8日,由北京軟件和信息服務業協會主辦的“創新案例 北京實踐”系列分享第八期邀請到青藤雲安全的高級安全顧問賈兆培先生進行了分享。賈兆培以《基於DevOps生命週期的容器安全應用實踐》爲主題,詳細論述了雲原生面臨的安全挑戰,介紹了青藤蜂巢的雲原生安全解決方案的原理、功能架構及安全左移解決方案的部署和集成,最後對相關典型案例進行了分享。

一、背景:雲原生面臨的安全挑戰

賈兆培表示,雲原生是以容器、微服務、DevOps、不可變的基礎設施等技術爲基礎建立的一套雲技術產品體系。這種顛覆性技術發展的同時,也帶來了對安全的諸多挑戰。

一是技術挑戰。雲原生引入了大量新的基礎設施,安全防護對象發生了顛覆性變化,容器以及容器雲逐漸成爲工作負載的主流,容器帶來了新的技術,比如鏡像的使用和管理、編排工具——K8S,OpenShift等。新技術帶來新的安全防護對象,需要引入新的安全手段。如容器運行時,面臨容器逃逸風險、針對容器鏡像的供應鏈攻擊;微服務Web應用在解決傳統單體應用不足之處的同時放大了攻擊面(如端口和東西流量均顯著增多),引入了安全隱患;傳統安全防護手段的不足無法深入識別到容器中安全問題等。

二是組織挑戰。雲原生的技術框架背後,是組織協作方式的變革。它採用 DevOps 的方式進行快速的開發迭代,進行快速的持續交付。而傳統安全工作主要負責線上運行服務的安全,無法適配新的開發節奏和安全要求。安全職責需要重新考慮,責任主體從開發、運維、安全的各司其職,轉變成責任共擔。

針對當前在容器使用中的安全痛點,青藤雲安全提出了青藤蜂巢雲原生安全解決方案。

二、方案:青藤蜂巢的雲原生安全解決方案介紹

青藤雲安全在實戰化思想下創新構建了“一二四”雲原⽣安全體系,即一個體系、兩個方向、四個環節,雲原生安全體系需要覆蓋整個DevOps生產流程,在Dev和Ops這兩個方向上分別要做到“安全左移,上線即安全”和“持續監控和響應,自適應安全”,然後在安全開發、安全測試、安全管控、安全運營這四個環節中通過各種工具和手段來進行落地,以應對雲原生帶來的安全挑戰。其中,安全左移的核心是做安全管理,在實際落地的時候通過在軟件生產過程中進行安全卡點來實現,同時還要以“准入”和“準出”來進行安全管控。

賈兆培認爲,雲原生安全有四大要求,即看得清、管得了、防得住、能融合。看得清,就是全自動化、細粒度的對工作負載進行分析,並可視化工作負載之間的網絡訪問行爲。管得了,就是能集成到企業的DevOps流程中,實現覆蓋容器全生命週期的安全風險管理。防得住,就是提供多錨點的基於行爲的檢測能力,能夠實時、準確地感知入侵事件,並快速進行安全響應處理。能融合,就是實現與企業安全體系聯動,以實現信息共享,協同作戰。

三、典型案例:青藤蜂巢雲原生安全解決方案爲某大型央企保駕護航

賈兆培介紹到,青藤蜂巢雲原生安全解決方案在實踐中已有諸多成功案例。比如,某大型央企在數字化轉型中,其各類關鍵業務已經使用容器技術,包括ECP系統和中臺系統等。大量的容器技術的廣泛使用爲客戶的業務運行提供了良好的運行效率,但是新技術的使用也使得客戶面臨新的風險挑戰,該企業急需一款容器安全軟件,在不影響當前業務運行的前提下,爲各類容器業務提供運行時漏洞安全檢測和運行時入侵風險檢查。

該項目建設於2021年,青藤雲安全採用獨立部署模式,爲其部署550點宿主機(超融合模式)。

通過該項目,客戶獲得以下收益:一是在應用漏洞檢查方面,實現對該企業中ECP、技術中臺等各類應用的進行應用漏洞安全掃描,識別深層次識別風險問題,同時給出對應漏洞的修復建議。二是在風險問題關聯方面,實現對存在風險的應用,進行關聯關係展示,能夠對應用風險漏洞、存在漏洞的鏡像、正在運行的容器和所在的運行節點進行線性關聯,同時支持信息鑽取查看,便於後續的風險問題修復。三是在應用弱密碼檢測方面,實現對SSH、WebLogic、Tomcat等主流的容器應用進行弱密碼檢測。四是在安全入侵檢測方面,通過設置多錨點對攻擊路徑的每個節點都進⾏監控,基於⼊侵事件⾏爲進⾏檢測,能夠幫助⽤戶儘可能多的發現容器環境中可能存在的⼊侵事件。

在訪談互動環節,主持人與賈兆培就網友關心的相關問題進行了熱烈互動。針對青藤雲安全的網絡安全防護產品體系,賈兆培表示,青藤雲安全目前開發了“青藤蜂巢·容器安全”、“青藤萬相·主機自適應安全平臺”和“獵鷹·威脅狩獵平臺”等核心產品,未來規劃開發函數計算的安全(包括無服務)產品,watch tower數據安全解決方案等產品。針對解決用戶雲原生應用需求中,遇到的最大的安全問題,賈兆培表示安全問題主要有三個,一是資產不清晰,二是對風險瞭解不清晰,三是出現安全事故後,才發現受到安全威脅,進而去解決安全問題。青藤也是奔着這三點去解決問題的,首先幫客戶把資產梳理清楚,然後讓每一個資產跟管理信息相結合,及時對資產進行定位,接下來對風險進行清晰化、可視化的展示,最後對這些風險配置進行修復。針對雲原生安全的趨勢看法,賈兆培表示,隨着業務上雲越來越多,面臨的新的安全風險也越來越多,安全將隨着業務的發展而發展,所以未來雲安全和雲原生安全一定會大放異彩。

通過本次分享活動,我們對青藤雲原生安全技術服務有了更全面的瞭解,也對雲原生安全的發展趨勢有了更清晰的認識。接下來,北京軟件和信息服務業協會將會爲大家帶來更多精彩的內容。