亚马逊云科技×奇安信：云原生全生命周期安全实践

关键字: [云原生安全实践, 全生命周期管理, 安全风险识别, 攻击链溯源, 安全能力赋能]

本文字数: 3100, 阅读完需: 16 分钟

导读

李栋先生在本次演讲中分享了云原生全生命周期安全实践。他阐述了云原生应用在开发、部署和运营过程中可能存在的安全隐患,如代码漏洞、配置错误、新组件漏洞等。他介绍了奇安信的云原生安全管理平台CNAPP,该平台可实现云原生资产全生命周期采集、全生命周期安全管控,并通过AI算法快速定位风险,提高响应速度。最后,他分享了为某大型银行实施云原生安全体系的案例,帮助客户实现云原生应用的可视、可管、可控。

演讲精华

以下是小编为您整理的本次演讲的精华，共2800字，阅读时间大约是14分钟。

数字经济正在飞速发展,平均每年的增长速度保持在10%以上。随着数字经济的快速发展,企业上云用户的数量也在快速增加。在这一背景下,云原生技术对于降低成本和提高效率发挥了非常重要的作用。据统计,目前已有90%的企业正在尝试使用微服务、容器等云原生技术。然而,值得注意的是,约90%的客户最关注的问题是安全问题,同时也有大量客户正在尝试使用云原生的安全技术。

为什么安全会成为制约云原生技术发展的瓶颈?原因在于,在云原生应用构建过程中存在多种安全隐患。首先,与传统的开发模式一样,云原生的开发模式同样会存在代码的逻辑错误和安全漏洞,这在云原生情况下也无法完全避免。其次,配置错误是云原生所独有的问题。由于在云原生情况下,基础设施是可以被描述和定义的,过高权限的技术设施会导致留下很大的安全隐患。

第三,由于云原生技术带来了大量新的组件,因此也增加了安全风险。例如,前段时间就有一个知名的CI/CD工具TeamCity,在上线一个小时之后就出现了一个严重的身份绕过漏洞,当天就出现了相关的PoC(概念验证),而在PoC暴露的20分钟之后,就有检测到利用该漏洞进行攻击的情况。在云原生引入了大量开源软件的情况下,让这种攻击链攻击变得非常容易发生,并且这种攻击链攻击在传统的防御模式下是非常难防护的,因为它基本上是已经绕过了现有的所有安全设施,它是直接在镜像里面发生的。

第四,在打包过程中,也可能会把一些恶意代码,包括一些危险的组件打包到镜像里面,同时镜像也可能会存在像密码泄露包括配置错误的安全风险。第五,在将云原生的制品进行分发的过程中,也要面临着制品被恶意修改的风险,这主要发生在CI阶段。第六,到了CD阶段,也就是业务上线的过程中,需要去考虑容器编排工具,比如Kubernetes,它本身是否有安全漏洞,包括Serverless的引入,让应用的移动变得非常不可控。

第七,当云原生业务上线之后,还要面临来自Web的攻击风险。最近,大家一定被Windows刷屏蓝屏这个事件刷屏了。这个事件的起因大概是,美国一家知名的安全公司,它在推送一项配置文件的时候,该配置文件与系统的配置发生了冲突,导致了BSOD(蓝屏错误),从而导致全球超过22个国家,约850万台终端出现了蓝屏,造成了交易系统、银行以及物流系统的大面积延误。

我们前面也提到,现在有90%的企业都在使用或者尝试使用云原生工具,为什么这种安全事件还在频繁发生,甚至连这种非常专业的安全公司也不能避免?我们认为大概有两方面的原因。第一是技术维度的原因,碎片化的工具拖慢了整个云原生的步伐。对于开发人员来说,在云原生的过程中,使用了大量的云原生安全工具,包括像SAST、SCA、IAST等等。虽然使用了这么多安全工具,但是它们没有全局视角,所以开发人员依然没有办法保证开发出来的应用是安全的。

同时,对于应用上线的管控人员而言,他需要使用各种工具去对业务进行检测,同样也没有办法去衡量这个业务是否真正达到了可以安全上线的标准。对于安全运营人员来讲,在业务上线之后,他要使用大量的安全工具,比如容器安全、组件安全、Kubernetes安全平台管理、应用安全防护等,然后需要从这些工具里面去查看海量的报警。由于这些工具之间是相互割裂的,没有上下文的对应关系,所以去做溯源是非常困难的,这是技术维度造成的问题。

第二个原因是管理的维度,我们认为是部门的界限阻碍了团队之间的沟通协作。首先是目标不一致,这一点非常好理解,因为研发人员的首要目标是把业务逻辑实现,而对运维人员来讲,它的首要目标是要去保证技术设施能够稳定运行。对安全人员来讲,它最终的目标是保证业务合规、业务安全,由于缺乏共同的目标,所以难以协作。

其次是信息不对称的问题。就是研发部门一旦把业务上线之后,业务的复杂运营情况其实它是没办法感知到的。同样的,对于安全人员来讲,这个业务在开发过程中埋下了哪些安全隐患,其实他也没有办法参与。正是由于技术维度和管理维度导致了现在云原生安全防护体系存在的问题。

奇安信是国内最早涉及云安全,包括云原生安全的企业,目前为5万家企业级客户提供稳定的服务。在云原生这一块,奇安信也有自己一套非常完善的防护体系。可以看到,下面这张图对应的是一个云原生应用,它从Coding阶段到商业运营过程的全过程,在一些大型企业或组织里面,可以使用DevOps平台来支持。而上面就是奇安信建立的叫做云原生安全管理平台,也就是CNAPP。

这个CNAPP会把所有与云原生相关的数据采集回来,包括云原生的资产数据、研发态的风险数据,以及在攻击时和运营时的攻击数据,会全部采集回来,做统一的分析。这样就解决了现有云原生安全工具割裂的问题,让用户可以以全局视角去看云原生资产的运营情况。

举个简单的例子,我们现在安全人员去看工具数据只能从工作负载里面去看,比如说工作负载受到了攻击,但是这个工作负载它背后对应的代码是什么?微服务是什么?API是什么?根据现有的信息是很难去判断的。但是通过CNAPP平台,可以快速帮助定位到这个工作负载承载的业务到底是哪段代码出了问题,到底是哪个API配置错误,可以快速地去发现。

要把CNAPP云原生安全管理平台建设好,需要做到三个非常重要的点。第一个就是要做到云原生资产的全生命周期的采集,会把云原生应用的整个生命周期涉及到的所有资产全部采集回来,包括代码、软件材料清单、镜像集群,以及服务、端口等等。同时也可以从客户的DevOps平台去获取数据。

第二点就是要从开发到上线的全生命周期对云原生应用进行管控。先从开发阶段来讲,会把收集到的所有云原生安全能力去嵌入到开发流程过程中,好处是整个安全能力的嵌入不会去改变客户的开发流程。对客户而言,只需要关注CNAPP平台就可以了,这样可以节约85%以上的时间。对于应用安全人员来讲,只要以CNAPP作为抓手就可以,对这个应用是否达到可上线状态做一个非常准确的判断。

然后再看开发态的一些问题,相信对所有安全人员而言,处理每天的攻击和处理漏洞是两个重要的工作,因为在工作负载里面肯定还存在大量没有修复的漏洞。那么究竟哪些漏洞需要被修复,哪些漏洞可以暂缓修复,对安全人员来讲是一个非常难判断的问题。

在这一块,CNAPP平台采用了三个技术,分别是AR技术、漏洞面管理技术和漏洞链模拟技术。通过AR算法可以把全阶段的风险各漏洞全部采集回来,然后会做一个叫漏洞漏斗的操作,把优先要处理的漏洞首先推送给安全人员。同时也会根据AR去把这个漏洞的影响面做一个比较直观的绘制,从而帮助安全人员在最短时间内把最优先需要修复的漏洞给修复,为业务争取宝贵的修复时间。

同时在威胁这一块也要做到全生命周期的攻击溯源。最近大家肯定有很多单位都在忙于处理某一安全事件,就在这两天,在一个群里面就看到这么一个笑话,现在处理攻击的手段就是分堵RP,把资产下线。有个单位,在这个事件的前两天就不停地分RP,两天之间把机柜里面的所有机器都下线了,这是一个非常粗暴的解决方法。

但是有了CNAPP这个工具的加持,可以把整个的攻击的攻击链给绘制出来,把资产对应的攻击链也绘制出来,把资产对应到云原生安全的每一个资产。这样做的好处就是,当发现一个工作负载被攻击之后,可以快速定位到底是在开发阶段的哪段代码、哪个配置错误导致了这次攻击。通过这种方式,可以将原来平均15天的故障处理时间缩短到30分钟之内,从而促进业务方能够快速地从根源上去修复业务。

回到刚才提到的那个系统蓝屏的问题,这是一个非常典型的案例。因为现在公网对抗的强度非常大,基本上每天都会有新的漏洞、新的恶意代码出现。对于那家安全公司而言,频繁地更新规则库其实也是它的安全机制的一部分。根据该公司发布的安全报告,它平均每天都会在公有云上更新几次安全规则。这次事件很显然是因为它的业务开发部门急于做系统快速迭代,导致一个没有受控的业务就上线了,所以导致了最终出现非常严重的后果。

这张图就是CNAPP云原生管理平台的整个架构图,可以分为三个层次,分别是云原生应用的全生命周期的采集、安全能力的赋能,以及对风险和事件的综合性分析。最终可以实现两个效果,第一个就是所有云原生业务,在上线前可以设置安全卡点,让它在上线前既达到一个相对比较安全的状态。第二就是当业务在运行阶段之后,发现风险之后,能快速地回到Coding阶段,然后帮助开发人员去做风险定位。

最后分享一个案例,就是奇安信为国内一个大型银行做的一个云原生安全实践。在与奇安信合作之前,该银行客户其实已经有了两套容器平台,并且初步建立了一些安全能力,包括在研发侧的SAST、SCA等,以及在安全这一块的容器安全能力。但是客户还是存在一定的痛点。

第一个痛点就是安全工具分散在不同的团队和部门,研发人员使用SAST和SCA,而容器安全人员使用的是容器安全工具,导致他们获取的信息不一样,整个安全运营的工作量会非常大。第二个痛点是安全部门缺乏统一的应用安全评估的机制,曾经也出现过业务待定上线的情况,导致了非常严重的后果。最后一个痛点就是响应的速度慢,因为基于现有的安全机制,很难去做准确的判断,只能定位到业务这个工作负载出现的问题,但是这个业务后面对应的哪段代码出现问题、哪个API出现了配置错误,按照现有的机制是很难去判断的。

所以在与奇安信合作之后,以建设国内金融行业领先的云原生安全体系为目标,实现了三个目标,分别是可视化、可管理和可控制。首先是构建了以应用为中心的云原生资产台账,将生产与开发相关联,将资产与风险相关联,实现了整个云原生应用的全生命周期可视化。

其次是可管理,继续践行DevOps理念,打破了传统开发与安全割裂的局面,让开发和安全共用一套安全基线。当安全事件发生之后,可以通过跨部门协调处置,处置速度会变得非常快。第三点就是可控制,就是通过CNAPP平台去设置了业务流水线的卡点,让业务在上线之前去达到一个相对比较安全的状态,同时当它上线之后就是能快速地去处置发生的安全事件。

奇安信其实也是国内比较早期实践CNAPP平台的公司之一,很早之前就与Gartner开始合作,现在已经保持了密切的合作关系。同时奇安信现在也在与亚马逊云科技(亚马逊云科技)一起合作,为亚马逊云科技客户在云原生方面遇到的问题提供解决方案,为用户提供一个更加可靠、更加安全的云服务。

总的来说,本次视频介绍了数字经济的快速发展给企业上云带来的机遇和挑战,尤其是云原生技术在降本增效方面的重要作用,但同时也面临着诸多安全隐患和挑战。视频重点阐述了奇安信的云原生安全管理平台CNAPP的解决方案,包括全生命周期采集、嵌入式安全能力、漏洞优先级排序、攻击溯源等核心技术,以及在架构、可视化、可管理、可控制等方面的设计,最终能够实现云原生应用全生命周期的安全防护。

此外,视频还分享了奇安信为一家大型银行建设云原生安全体系的实践案例,解决了安全工具分散、缺乏统一评估机制、响应速度慢等痛点,达到了可视化资产台账、可管理的跨部门协作、可控制的业务流水线安全卡点等目标,为该银行构建了业内领先的云原生安全体系。

最后,奇安信作为国内较早实践CNAPP的公司,与Gartner和亚马逊云科技等机构保持紧密合作,致力于为客户提供更加可靠安全的云服务,助力企业安全上云。整个视频内容紧扣云原生安全这一主题,结合奇安信的技术方案和实践案例,为观众呈现了一个较为全面的解决云原生安全挑战的路径。

下面是一些演讲现场的精彩瞬间：

总结

云原生技术虽然带来了效率和灵活性的提升,但同时也引入了新的安全挑战。从代码开发到应用部署和运维,整个生命周期都存在着潜在的安全风险。传统的安全工具和流程难以应对云原生环境的复杂性,导致安全事件频发。奇安信提出了一种全生命周期的云原生安全管理平台(CNAPP),通过全面采集云原生资产数据、整合安全能力并进行风险分析,实现了可视化、可管理和可控制的安全防护。该平台打破了开发、运维和安全团队之间的壁垒,促进了跨部门协作,提高了安全事件响应的速度和准确性。通过设置安全检查点,确保应用在上线前达到安全基准,并在运行过程中快速定位和修复安全漏洞。