云原生安全運營探索

作者：周宇 鄭良謙 黃蓉波/航空工業成都飛機工業(集團)有限責任公司

【摘要】隨著近年來云計算相關技術快速發展，云應用需求急速增長，云安全問題也日益暴露，當前針對云計算的攻擊類型多種多樣，攻擊方式不斷更新。本文主要介紹了云計算面臨的安全威脅和攻擊方式，對云原生安全運營進行了探索。

【關鍵詞】云計算 云安全 云原生 安全運營

1 引言

近年來隨著云計算技術的快速發展，容器云等云原生技術方向的應用場景日益多元，云平臺成為IT基礎服務設施，越來越多的機構將工作負載從傳統數據中心遷移到云上。據統計，2020年以基礎設施即服務(IaaS)、平臺即服務(PaaS)和軟件即服務(SaaS)為代表的全球云計算市場規模已達2083億美元，我國云計算整體市場規模達2091億元[1]。在如此龐大的市場規模下，如何降低云計算安全風險成為云安全建設需要重點考慮的問題。云安全與傳統數據中心安全有明顯差異，由于多租戶的存在，云安全邊界不確定，存在安全防護不到位、安全產品與云平臺契合度低、安全投入成本較大等缺點[2]。云原生安全憑借和云平臺深度融合的優點成為云計算安全的新趨勢。

2 云環境安全威脅和風險

云安全威脅和風險既可能源自內部，也可能源自外部。

云平臺虛擬化環境中，云計算通過虛擬化技術為大量用戶提供資源的虛擬機(Virtual Machine，VM)直接面對用戶，為多用戶共享和訪問，成為云平臺的高危區城。來自外部針對虛擬化特點的典型威脅有:跨虛擬機攻擊，獲取非授權虛擬機權限以及數據；虛擬機逃逸，獲取宿主機權限，從而控制當前的宿主機，并進一步橫向滲透；還有針對虛擬層用戶應用的傳統Web攻擊、DDoS攻擊、非法入侵、后門攻擊、弱口令等。內部風險如惡意的云平臺層管理員可通過虛擬機監視器(Virtual Machine Monitor, VMM)甚至更底層的環境啟動虛擬機管理工具，直接對虛擬機的配置、電源、內存等關鍵信息進行惡意攻擊，竊取用戶敏感數據[3，4]。

在云原生環境中，更快的效率交付帶來的風險也更高，其存在的安全風險分為外部風險和內部風險。外部風險比較典型的威脅如鏡像安全，包括鏡像惡意植入后門或包含已知高危漏洞；基于容器隔離技術的漏洞如容器逃逸，一旦惡意利用容器逃逸漏洞可能導致宿主機被控制；云原生API安全威脅，隨著微服務架構的流行，API數據交互、調動頻繁，未授權認證的API可能帶來災難性的后果。另外，云原生應用微服務共享服務存在漏洞，會讓使用此服務器的應用均受到威脅。內部風險最突出的是云原生中容器的不正確配置，導致容器整個生命周期中的各個階段都可能面臨潛在安全風險[5]，如常見的未授權訪問敏感數據、身份管理不當等。當然，內部云平臺管理人員可能出現的不法行為也依然是內部重要的風險點之一。

當前，云環境變得越來越動態, 傳統的安全防御方式已無法徹底消除上述風險，不能完全滿足云環境的安全需求。尤其是云原生環境下，而對安全邊界模糊，信任邊界不斷改變，云環境中無處不在的各種連接、各種形式的信息交換等風險點，靜態的安全防護手段難以完全覆蓋，安全防御方式應該更加靈活并快速迭代，從“靜態安全”轉變為“持續安全”。

3 云原生安全運營探索

云原生架構具有彈性擴展、快速發布、微服務等特性。云原生安全采用內嵌方式，配置容易, 與云環境融合，可以充分利用云平臺的各種資源, 以解決云環境面臨的特有安全問題。對于許多有私有專用云需求的企業來說, 需依靠云廠商搭建云平臺，自身沒有云原生安全研發能力，因此在如何降低云安全風險方面，這些企業應著眼于如何選用適當的云原生安全技術和管理手段整合人力資源，探索并建立云原生環境下的安全運營能力。云原生安全運營能力建設應覆蓋云環境中的全場景，形成云環境安全閉環，構建一個系統化的云原生安全運營框架，如圖1所示。

圖1 云原生安全運營框架

3.1云原生安全技術

云原生環境下的安全威脅雖然有更多的新挑戰，但云原生安全運營相比于傳統網絡安全運營也存在一些技術優勢，例如由于各類安全產品數據的打通，云原生環境下安全產品整合更為方便，更容易追蹤風險事件，形成自動化處置能力。

首先應對云原生安全運營的對象進行測繪。云原生安全運營的對象應為云上資產、日志、網絡流量、云服務云原生應用及數據等。其中，云上資產包括底層硬件、虛擬機、容器、云平臺等；日志主要為云平臺日志、安全產品日志、操作系統日志等；網絡流量為云環境下的東西向流量和南北向流量；云服務即為云平臺提供的服務；數據為應用的業務數據、云平臺產生的數據以及以上運營對象的配置數據等。在完成云環境資源的梳理后，可通過身份識別與訪問管理(IAM)技術在云環境中建立一套有數字身份系統，實現云環境中統一的身份認證和授權管理。利用數據保護技術對云環境中的數據在其全生命周期進行保護，同時利用流量檢測技術對云平臺里的流量進行異常檢測。云平臺數據、流量可通過云原生部署集成的數據采集系統采集，并通過數據分析系統進行分析，也可手動采用安全檢測工具進行檢測分析。安全檢測工具應有脆弱性評估和檢測、入侵檢測、云原生防火墻、流量分析工具、日志分析工具、安全配置檢測工具。其中，脆弱性評估和檢測主要針對弱口令、系統漏洞及補丁檢測，軟件漏洞檢測等；入侵檢測能提供完備的入侵檢測能力，在網絡層面及系統層面識別入侵行為；安全配置檢測工具主要用于操作系統、Web服務、容器服務、數據庫等應用的合規檢查[6]；云原生安全運營應有可視化的安全運營中心(SOC)和安全編排、自動化及響應(SOAR)，提供云原生安全態勢感知、安全告警事件的可視化、資產管理、威脅檢測、安全編排、策略管理等能力，實現與云原生安全產品聯動，并可根據手動或自動安全檢測分析的結果，針對告警或者安全事件進行自動化或者人工響應處置，統一運營云安全事件，提升云環境下安全事件響應及處置效率，如圖2所示。

圖2 云原生安全運營技術應用場景

3.2云原生安全管理

云原生安全管理與傳統安全管理一樣，需要制定符合企業實際情況的安全運營管理策略，包括安全運營管理體系、制度以及評估規范，形成安全管理規劃、安全管理運營、安全管理評估及安全管理優化的循環，不斷優化云原生安全管理策略。

云環境下的安全管理應根據實際情況進行責任劃分，云平臺管理方應設置云原生安全環境下的管理崗位配備專職人員，組成安全運營管理、監督、執行團隊，根據云原生監控信息而發現的信息安全事件進行人為分析和追蹤，及時應急響應，并分析研判威脅情報，對暴露的安全缺陷進行安全加固，制定合適的方針、標準、策略來規避風險。

對于云平臺用戶的應用安全，應由云平臺管理方和云平臺用戶共同承擔責任，云平臺管理方負責物理基礎設施、云平臺、云操作系統及云服務的安全，為云平臺用戶提供數據備份、身份認證和訪問管理、安全審計和服務等技術措施，同時確保云平臺自身安全。用戶主要責任包括負責自己云上應用的安全，利用云平臺提供的云原生安全服務及安全產品功能，保證自己應用系統的安全，不需維護云平臺提供的云原生服務，但需要管理應用的云服務授權。

云平臺管理方和云用戶共同承擔安全責任，各司其職，在云計算環境下，利用云原生安全服務部署快、彈性可控、與云平臺深度融合及開放協同等優勢，共同運營云平臺和基于云服務構建的業務應用系統安全。

3.3云原生安全過程

在云原生運營體系中，云原生安全過程能力建設是長期持續的過程，在云環境下隨著云原生技術及相關管理的不斷發展和優化，使基于云原生的安全能力不斷上升。參考美國國家標準技術研究院(NIST)發布的用于指導網絡安全活動的網絡安全框架(CSF)核心，覆蓋云安全事件全過程，可以用于協助分辨風險、防范威脅，如圖3所示。

(1)識別：云平臺的運營組織應對云原生安全管理過程進行梳理分析，能夠識別云環境中的資產、數據等的網絡安全風險。在云平臺建設或者擴充時期應同步考慮云原生安全規劃，識別云平臺資產，結合提供的云原生安全服務制定相應安全策略，降低云平臺安全風險。

(2)保護：針對云環境制定適當的保護措施，確保能提供安全的云服務。通過云原生服務建立動態的安全保障框架，在此基礎上隨著云原生安全的發展逐漸向零信任防護體系過渡。

(3)檢測：通過云原生安全服務、安全策略確定云環境網絡安全事件。通過云原生采集云平臺數據的優勢，快速收集云平臺各類信息，持續檢測，查找出威脅來源和信息，并根據威脅的動機、頻率對云網絡安全事件分類分級。

(4)響應：對云環境中檢測到的網絡安全事件采取相應的措施。在平時云平臺運營方應制定應急預案，做好應急演練。在云平臺發生網絡安全事件后，可通過云原生的安全編排、自動化與響應技術進行自動化響應。

(5)恢復：在云環境中恢復因安全事件而受損的功能或服務。根據恢復需求，制定恢復策略，可通過云原生下的災備服務進行恢復，減小損失。

圖3 CSF網絡安全框架

4 結語

未來隨著云原生技術的發展，云原生安全也將隨之成熟，云原生將計算資源集中管理，整合多類型的安全產品，這可以對云環境資源提供更契合的安全策略、安全管理，能夠對下層數據進行統一的采集分析，及時響應各類信息安全事件。同時由于云環境下多個用戶共享資源，能夠用以進行安全管理，降低安全管理成本，云原生的彈性、快速的優勢，能夠將安全也作為服務形式進行提供，提高安全部署的效率。云原生安全運營可以利用以上云原生優勢，不斷優化云原生運營體系，提供安全可信的云環境。

參考文獻

[1]中國信息通信研究院，云計算白皮書(2021年)[R].2021.

[2]騰訊,中國信息通信研究院，等.“云”原生安全白皮書[R].2020.

[3]鄭祿鑫，張健.云安全面臨的威脅和未來發展趨勢[J].信息網絡安全,2021,21(10):17~24.

[4] Singh A, Chatterjee K. Cloud Security Issucs and Challenges: A Survey[J]. Journal of Nerwork and Computer Applications, 2017, 79: 88~115.

[5] 丁攀,張小梅,郭新海,等.云原生中的容器技術及其安全配置規范[J].信息通信技術,2021,15(04):6.

[6] 王兆蒙.云主機安全管理平臺建設[C].2021年國家網絡安全宣傳周《網絡安全產業發展論壇論文集》,2021:60~64.

（來源：轉載自保密科學技術2022年第7期）