胡俊：金融行业云原生化转型中的安全新思路

近日，由中国信息通信研究院主办的2023（第六届）金融科技产业大会在北京国际会议中心召开。会上，中国信通院云大所与青藤云安全达成战略合作，护航金融云稳健安全发展。青藤云安全联合创始人&产品副总裁胡俊出席大会，并发表《金融行业云原生化转型中的安全新思路》主题演讲，深入剖析了业务云原生化转型过程中安全挑战，重点阐述了青藤先进云安全方案-CNAPP的核心能力和应用价值。

金融行业云原生化转型的背景

根据中国人民银行印发的《金融科技发展规划(2022-2025年)》相关文件，对打造新型数字基础设施提出了更高目标，要求加快云计算技术规范应用，稳妥推进信息系统向多节点并行运行、数据分布存储、动态负载均衡的分布式架构转型，实现敏态与稳态双模并存、分布式与集中式互相融合。

为更好响应和满足该规划的要求，各个金融机构都在积极进行云原生化的转型。基于云原生技术进行应用开发，可以“无视”传统硬件基础设施的差异，提升资源利用率，同时，通过微服务来适应业务需求，也提升业务的敏捷变化，使得开发效率提升。

图1 业务云原生化的优势和价值

业务云原生化转型带来安全挑战

云原生给业务带来便利性同时，也给安全带来了全新的挑战，新的技术引入了新的安全防护对象，例如在云原生转型过程中，会引入容器、微服务、声明式API以及服务网格等一系列技术，这些新技术也会带来新的安全挑战。

在云原生化的改造过程中，摆在组织面前的首要问题正是安全问题。企业在技术和组织上面临着以下两方面新的挑战。

（1）技术挑战

云原生引入了大量新的基础设施，安全防护对象发生了颠覆性变化，容器及容器云逐渐成为工作负载的主流。容器还带来了相关的新技术，比如镜像使用和管理、新的应用运行时的环境配置、新的通用网络接口等。这些新技术会带来新的安全问题，比如容器逃逸、基础镜像安全问题、微服务框架安全问题等等。

图2 云原生引入新的安全挑战

虽然云原生引入了新的技术栈，但是传统IT环境中很多****攻击手段在云环境中仍然适用。因为容器本质上仍然只是一个进程，只不过采用了namespace、cgroup等轻量的虚拟化技术进行隔离。

总得来说，云原生让安全风险敞口更大，安全挑战更大，既需要应对传统攻击手段，也需要应对一些云原生场景特有的安全问题。

（2）组织挑战

在云原生时代，安全职责划分需要重新考虑，同时责任主体也需要有所调整，从开发团队、运维团队、安全团队的各司其职，转变成责任共担，并通过组织流程让各责任主体协同起来。

图3 安全组织模式待调整

在现代开发环境中，安全流程的自动化是关键。快速的 CI/CD 开发没有为流程的人工审查留出时间，而是需要进行自动化安全测试。此外，开发人员不是安全专家，他们只有少量的时间用在安全流程上，因此需要有嵌入式的安全工具，辅助开发人员完成安全检测。构建和运行安全工具并非易事，特别是在大型组织中，不同开发团队的需求差别很大。为了提高自动化水平，一些组织建立了专门的安全工程团队，专注于建立内部工具和整合外部工具。

先进云安全方案-CNAPP

总得来说，云原生环境下，面对这些技术挑战和组织挑战，大多数传统安全工具根本无法解决这些挑战。根据CSA联盟发布的《2022年度-云计算的11类定级威胁》报告，78%的组织确认传统安全解决⽅案在其云环境中根本不起作用或功能有限。

图4 传统安全方案在云环境中效果调查情况

传统云安全方案基于硬件产品虚拟化，仅解决了部分流量安全的问题。此外，云安全资源池没有利用云计算基础设施的技术，还是传统的网关技术，无法解决新型的云计算组件安全问题，主要问题可以概括为以下几点：

• 难以适配云和云原生环境

• 高度碎片化导致效率低下

• 安全能力迭代演进缓慢

• 难以融合到业务全生命周期

为此，国际咨询机构Gartner提出了一个全新概念 CNAPP（Cloud Native Application Protection Platforms），中文全称“云原生应用保护平台”。根据其英文名字组合分析来看，有三个关键词：

• **Cloud：**强调安全方案要能解决云的威胁问题，要能适配云环境本身动态变化。

• **Native：**安全措施要实现原子化、原生化，真正嵌入到云原生全生命周期中去。

• **Application：**安全防护在基础设施之外，需要更加要强化对应用以及应用内流转的数据的保护。

CNAPP框架在具体实践过程中应该包括开发和运行时两个阶段。在云原生时代，应该改变过去只重视运行时阶段安全防护，将运行时安全和开发安全放在同等重视位置上，实现开发阶段和运营阶段安全能力双向打通。例如，在运行时阶段发现一个容器存在某个问题，可追溯该该问题是在开发阶段什么时候引入的，以及在开发阶段如何修复等。当然在开发阶段的IaC配置也将直接影响到运行时阶段。CNAPP安全可以包括三个方面，如下图所示：

• **向左看：**核心在于针对开发过程研发制品进行细粒度检查和控制，确保上线即安全。

• **向右看：**适配新的云原生安全架构，包括云原生网络、云原生工作负载、 云原生应用、云原生API服务等。

• **向下看：**在保留原有安全建设基础上，需要重点强化云配置管理。

图5 CNAPP能力框架图

安全左移，确保上线即安全

有数据显示，如果在研发阶段发现了一个安全问题，修复它的成本是1，到测试阶段发现一个安全问题，修复它的成本到了10，到上线的时候，再去修复这个安全漏洞，同样的安全漏洞修复成本是100，相当于扩大了100倍。

图6 软件不同阶段漏洞修复成本

为此，必须将安全审查前置，以避免引入超出安全和运营团队管理范围的安全风险，最终实现“上线安全”。安全左移，要从组织（责任共担）、流程（打通流程）、技术（安全工具链）等三个维度进行。

以技术为例，基于DevSecOps理念，安全团队将执行各种类型的分析和安全测试融入到应用开发整个生命周期中，比如静态应用程序安全测试(SAST)、软件组成分析(SCA)、动态应用程序安全测试(DAST)、运行时应用程序自我保护 ( RASP )、镜像扫描工具等。最终实现“安全往左走，上线即安全”。

图7 安全左移管理平台

云原生基础架构安全

针对镜像安全、编排工具安全、云原生网络安全防护、运行时安全等云原生环境特有场景的安全防护是重中之重，也是确保云原生基础架构安全的关键。

首先，安全保护不了未知的资产，面对大量的编排工具、容器及容器上应用，看得清资产才能消除容器资产盲点。CNAPP方案要能够看清工作负载本身，支持K8S、容器、镜像、Registry、主机、软件应用、数据库、Web服务等容器资产的快速清点和实时上报，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。

其次，容器业务依赖关系复杂，未知威胁可能在容器之间像病毒一样感染蔓延，因此容器中需要细粒度的隔离控制。通过对访问关系的梳理和学习，提供自适应的、自迁移的、自维护的网络隔离策略。一旦发现失陷容器的情况将采取一键隔离。

然后，面对众多的容器运行时入侵行为，要能实时检测容器中的已知威胁、恶意⾏为、异常事件。支持对容器内的文件、代码、脚本等进行已知特征的检测，也能够通过对其进程行为、网络行为、文件行为进行监控和学习，建立稳定的容器模型。只要对异常偏离的行为的进行分析，就能发现未知的入侵威胁，包括0day等高级攻击。

图8 云原生基础架构安全

最后，确保镜像的安全是重中之重，能够在开发、测试的各个阶段快速发现镜像中存在的漏洞、病毒木马、webshell等镜像风险。在开发环节，需要确保构建的镜像是符合安全规定的，对镜像的相关构建文件进行深度检查，包括Dockerfile 文件、Yaml文件等。在测试环节，需要确保镜像运行起来后是安全的，发现那些在静态的时候无法发现的安全问题，需要对运行时最底层组件的风险，应用的风险，微服务的风险进行全面检查，整个动态检测过程完全自动化，无需手动操作。在静态检测过程中，凡是不合格镜像都“不准入”测试仓库，而在动态检测过程中，需对生产仓库和节点的镜像进行持续的安全检查，凡是不合格镜像都“不准出”生产仓库进行部署运行。

云安全态势管理（CSPM）

CSPM 从当前的云服务中获取配置数据，并持续监控数据中的风险，帮助企业确定其云应用程序和服务的配置是否安全，并持续监控其云基础设施是否符合法规和最佳实践的要求。强大的 CSPM 解决方案还能提供对云资产的全面可见性。CSPM 通过提供以下功能支持合规性和云配置最佳实践：

• 实现资产可视化，以发现多云工作负载和服务。

• 分析与配置错误的基础架构相关的风险。

• 通过可视化，让客户清晰了解网络互连、安全组和存储数据访问路径，所有这些都可通过 API 网关访问。

• 对活动使用情况或异常情况进行审计和可视化，并提供可行的治理或补救措施，以降低这些漏洞或威胁带来的风险。

• 根据法规和基准进行合规性审计和报告。

青藤提供云场景下基于Agentless的技术对接云API以获取云资产信息，进行云相关的资产盘点、配置检查、风险评估等，并于基于工作负载的安全能力进行联动，从云的角度对安全进行管理。

图9 CSPM方案架构图

云原生应用安全

**安全左移是云安全方案的关键部分，而运行时云原生应用安全作为DevSecOps的另一个重要阶段，其安全性至关重要。**运行时经常会存在着不同的攻击载体，例如勒索软件攻击、挖矿或其他攻击等，这是通过安全左移阶段的自动化测试与扫描无法解决的。此外，由于容器、serverless漏洞每天都会被发现，因此，即便今天看似安全，明天就可能成为新披露漏洞的潜在受害者。

图10 云原生应用安全

云原生应用安全，主要包括两个方面内容：应用内安全和应用间安全。一是指对云原生应用自身的安全状况进行监控，比如应用使用了哪些软件包，应用调取了哪些函数，应用访问了哪些数据库等。二是应用间的安全监控和防护，比如内部东西向应用间的API访问，以及应用对外提供的一些web服务。

（1）RASP（应用内安全）

**RASP将安全功能嵌入到应用内部，允许实时收集应用程序数据并在其上下文中进行评估。**因为该工具是针对每个应用及其实际使用情况定制的，RASP提供了传统工具无法匹敌的精确性和主动性。例如，针对应用0day攻击，针对应用弱密码攻击，RASP都能提供很好防护服务。

（2）WAAP（应用间安全）

Web应用与API防护，即WAAP，是指旨在保护这些API和应用程序的云服务。WAAP主要用于保护易受攻击的API和Web应用的云服务。基于云原生技术栈的流量探针，在VM、K8S、Mesh、网关、硬件的关键节点形成流量采集+管控一体化安全解决方案。此外围绕API全生命周期的API资产管理、风险评估、权限控制、以及安全检测&响应的安全闭环能力，覆盖API相关的网络安全、业务安全以及数据安全。

-完-

热门动态推荐