信通院联合绿盟科技等发布业界首份《云原生架构安全白皮书》
2021-05-27
由中国信息通信研究院主办,云计算开源产业联盟、云原生产业联盟、云原生计算基金会(CNCF)支持的2021“云原生产业大会” 于2021年5月26日在京召开。大会中,中国信息通信研究院正式公布了首个云原生成熟度标准体系,并重磅推出业界首份《云原生构架安全白皮书(2021年)》,包括绿盟科技在内的八家云计算和安全单位共同参与了白皮书编写和制定。
随着各行业数字化转型的加速,云计算成为驱动数字经济发展的重要力量,云原生凭借快速部署、弹性、可扩展性等特性,在越来越多的领域落地应用。云原生已经从概念普及期走入快速发展期。过去几年中,以容器、微服务、DevOps为代表的云原生技术正在被广泛采纳。统计数据显示,2020年43.9%的国内用户已在生产环境中采纳容器技术,超过七成的国内用户已经或计划使用微服务架构进行业务开发部署。
云计算产业快速发展的同时,云原生安全问题也开始凸显,架构防护、访问控制、供应链、研发运营等领域均面临新的安全挑战。《白皮书》从云原生计算环境、微服务、Serverless、DevOps、API等方面,深入分析云原生带来的新的安全风险,指出容器共享操作系统进程级隔离环境增加逃逸风险,服务实例应用周期变短增加监控和溯源难度等问题。
《白皮书》指出,云原生安全所保护的对象是指以容器技术为基础底座,以DevOps、面向服务等云原生理念进行开发并以微服务等云原生架构构建的业务系统共同组成的信息系统。云原生安全和传统安全、云安全不同,重点关注容器、容器运行时以及应用微服务、无服务形态的安全。
基于对云原生架构的理解,《白皮书》从云原生基础设施安全、云原生计算环境安全、云原生应用安全、云原生研发运营安全、云原生数据安全、API安全、安全管理等七大方面,全视角、系统化剖析云原生架构安全防护体系。为云原生架构安全提供了标准化的指导意见。
绿盟科技云原生安全实践
绿盟科技早在2019年就开始投入云原生安全领域研究,并发布《云原生安全技术报告》。同时于2020年10月发布首款云原生安全产品——绿盟科技容器安全管理系统。方案基于DevSecOps理念,借助容器编排技术,保障容器在构建、部署和运行的整个生命周期的安全。从容器镜像、容器编排环境、容器运行几个阶段,通过检测、扫描等手段发现安全风险和安全漏洞,并通过策略等手段阻断风险镜像启动,隔离异常容器,进行访问控制,为客户提供安全稳定的容器运行环境。
绿盟科技容器安全管理系统
方案从五大场景,解决容器安全管理中的问题。
1、资产可视化管理
用户可对容器环境资源进行全局掌控,理清环境中的资产信息以及关联关系。
2、镜像风险管理
发现镜像存在的安全漏洞、恶意文件、敏感信息泄露、违规历史命令等。有效阻止不安全镜像实例化成容器带来安全风险。
3、容器运行时安全管理
对容器运行中存在的读取敏感文件、反弹链接、挂载非法设备等异常行为进行检测,预警安全风险,及时停止危险容器运行。通过网络策略,控制不同业务之间的访问,抑制风险,对异常容器进行隔离,避免风险横向扩散。
4、合规性检测
基于CIS Docker和K8S benchmark,对Docker守护进程配置、Docker守护程序配置文件、容器镜像和构建、容器运行安全、Docker安全操作的六大项,99个控制点进行合规配置检查,避免不合理配置带来安全风险
5、微服务和API风险管理
对微服务进行自动发现和安全扫描,发现微服务和API存在的安全风险。
方案将各种安全能力与DevOps流水线相结合,从持续集成、持续部署和运行时进行安全防护。
1、镜像构建阶段:对镜像进行漏洞扫描、恶意文件检测、敏感信息检测、以及历史执行命令审计;
2、容器部署阶段:通过安全策略阻止存在风险的镜像实例化;
3、容器运行阶段:对主机和编排工具进行安全配置核查;检测容器运行时产生的异常行为;通过容器网络策略实现访问控制,隔离异常容器;阻断异常容器运行;对微服务和API进行漏洞检测。
本方案为容器提供从构建,到部署,到运行的全生命周期保护,最终实现应用系统的安全运行。
容器全生命周期保护
云原生作为新型基础设施,是支撑企业数字化转型的重要技术。未来,绿盟科技会在云原生安全领域持续加强研究投入,不断提升安全能力,为企业的数字化转型提供越来越完善的安全保障。
