案例 | 云原生时代的安全新范式

〃陌殇、怀素

文 / 广西北部湾银行信息技术部副总经理 王嘉远
广西北部湾银行信息技术部 赵子翊
云原生技术作为云计算基础设施的关键和新常态，得到了迅速推广，极大地释放了云计算的红利。随着云原生应用部署的加速，系统架构愈加复杂，资源规模愈加庞大，云计算威胁事件频发，迫切需要构建有效的云原生安全体系。构建有效的云原生安全体系是夯实数字经济安全底座的基本保障，金融机构的安全防护能力需要从传统的边界防护到嵌入式内生安全的安全范式转变。
广西北部湾银行信息技术部副总经理 王嘉远
金融云原生架构的变迁

我国金融行业前期经历了漫长的信息化建设阶段，虚拟化技术在金融行业的广泛渗透为中后期云计算的蓬勃发展提供了良好铺垫。伴随国家相继布局云计算，以及传统金融机构围绕新型技术的新一轮IT改革，加速了云计算在金融行业的应用实践。同时，相关政策与标准的完善，也使我国金融云行业进入到有据可依、有序发展的新阶段。未来伴随金融信创带来的巨大机会窗口，与云原生应用的成熟和金融云产业协同生态的建立，使金融云市场有望迎来新的技术方向爆发。
北部湾银行根据本行多云架构特点，确立云原生建设思路：在非信创区以及信创区分别建设不同云底座，打造北部湾的云原生容器平台，并基于云原生上线了电子函证、合规风险监测、智能统一消息等多个业务系统。云原生架构相比于传统架构具有更好的敏捷性、可扩展性和可靠性，以其高效稳定、快速响应的特点驱动业务发展，成为企业数字业务应用创新的原动力。
云原生架构面临的安全风险

云原生容器平台作为驱动金融云原生基础设施转型的重要引擎，帮助产品快速向应用敏捷化开发转型，大幅度提升了产品交付速度，增强用户体验。云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化特性，在改变云端应用的设计、开发、部署和运行模式的同时，其特有属性也带来了架构防护、访问控制、供应链、研发运营模式的改变，也带来了新的安全隐患和安全防护需求。
云原生架构的安全风险包含云原生制品安全风险、云原生基础设施安全风险、云原生运行时安全风险、云原生安全运营管理的挑战。一是云原生制品安全风险。例如代码不合规/不规范、依赖第三方组件、容器镜像存在软件漏洞、恶意二进制和文件、制品环境涉及的镜像仓库安全/代码仓库安全等环境安全风险。二是云原生基础设施安全风险。云原生集群主机存在的安全漏洞或后门、云原生集群存在安全漏洞、云原生集群存在不合规的配置、运行引擎存在逃逸漏洞、存在不合规的IAC文件等。三是云原生运行时安全风险。例如容器发生逃逸事件、发生针对容器的入侵事件、容器入侵事件无法审计、云原生集群网络不可见、容器网络访问无法管控、无法对云原生集群内的微服务进行检测和管控等。四是云原生安全运营管理的挑战。云原生架构涉及多个组织，组织协作流程、反馈流程、工作职责的需重新设计、多云异构集群无法统一做安全管理、DevOps工具链无法整合等。
基于云原生存在的安全风险，2022年北部湾银行启动了云原生安全防护平台系统的建设工作，建设了一套镜界容器安全防护平台对我行云原生业务提供安全防护，并且采用云原部署的模式部署，实现云原生安全管控能力，充分利用云原生的弹性能力、高可用特性和嵌入能力，让安全引擎随需保护资产的变化而弹性增减，实现云架构下的原生安全检测与防护。
云原生安全建设实践

容器作为新兴技术，其容器云平台面临安全考验，容器安全防护手段也与传统安全防护手段不同。为了确保容器云平台的安全性及合规性，结合我行当前业务，提炼出以下技术和管理角度上的容器安全管控建设实践。
1.云原生应用全生命周期闭环运营
根据应用的生命周期所涉及的开发、发布、运行、运营等多个阶段，容器安全管控平台与其他平台的联动形成双向反馈机制，其中包括将镜像安全能力与现有开发交付服务流程进行深度融合。基于安全左移的理念，将安全嵌入DevOps流程，在CICD测试阶段针对制品库安全进行安全布防，采用多检测、多卡点、单入口的方式，实现云原生全生命周期管控，尽早发现安全问题降低修复成本和安全运维成本。
在云平台创建Kubernetes集群时，便将防御容器以DaemonSet的方式进行同步创建，每个集群节点运行一个防御容器，提供检测与防护能力。当集群扩容或缩容时，防御容器可以随着节点数量变化而自动做相应调整，减少安全运维成本，实现安全内生化。
2.云原生基础设施安全
基础设施作为云原生平台的基础资源底座，在攻防视角中，云原生编排系统作为新的攻击入口，基础设施发生安全事件将影响云原生平台中运行的业务系统。针对基础设施安全，我行提供了一体化的安全防护，对云原生集群主机资源进行安全漏洞检测，部署了主机安全插件和云原生安全插件双重保护，除了对工作节点进行实施攻击防护外，对云原生编排系统/运行引擎存在的安全漏洞、配置项的安全合规进行检测审计，并且对不合规的IaC文件进行审计等，确保运行环境的基础设施的安全性。
3.云原生制品安全管控
镜像作为容器运行的基础，如果存在安全隐患、风险问题将直接影响到容器环境的安全性。面对镜像中可能存在的安全问题，我行通过对DevOps流程中的镜像容器镜像制作过程、镜像发布流程，以及镜像仓库中的镜像文件进行全方位的管控和检测，在DevOps的镜像提交流程中嵌入制品扫描，在镜像入库后嵌入周期扫描，从软件漏洞检测、木马病毒、可疑历史操作、敏感信息泄露，以及是否是可信任镜像等多个维度对镜像进行扫描，在运营侧镜像提供可写入DockerFile的修复建议、镜像分层溯源、镜像评分等运营手段。
4.云原生运行时安全防护
容器运行时的安全状况是容器安全管控的重中之重，目前传统的入侵检测方式主要针对于主机或者网络层面，现有手段无法快速发现针对容器层面的入侵行为。而传统云平台提供的管理平台虽可查看容器状态并进行容器隔离，但无法针对随时可能出现的异常行为进行持续监控与实时报警。若无法设置预警与实时报警，入侵者极有可能通过漏洞远程操作容器执行命令实现入侵，从而导致重要数据泄露。
基于“不可变基础设施”的理念，每个容器只运行特定软件，其行为模式是可以预期的，这为容器行为基线白名单检测模式提供了理论依据。容器安全管理平台通过对不同容器行为进行学习，持续建立自适应安全基线模型。当监测到行为模型外的进程、文件访问、异常网络连接和系统调用时，会通过关联分析风险事件列表，进行告警处置。通过白名单模式，可以有效提升异常事件检出率，可以用于防御0Day风险。
5.云原生网络安全控制
对云原生环境中东西向流量进行流量获取，并且自动绘制调用拓扑图，进而打破网络黑洞，支持对工作负载、容器、NameSpace等维度的网络监测。通过对单个业务之间、业务组之间，以及租户之间的网络访问策略配置，实现业务之间隔离，来减小被入侵之后的影响范围。通过网络拓扑图，判断入侵影响范围。
根据正常访问的业务流量自动生成隔离策略。但是在执行策略前，为避免策略设置不当导致业务容器受影响，通过策略预演能力对策略进行校验，在预演期间，所有命中阻断策略的流量将会进行告警，通过人工对策略的确认优化，使微隔离策略可用、可控。
6.流程中双向反馈机制建立
根据北部湾银行内部业务情况，建设双向反馈的理念是为了更好地促进业务快速发展改变和优化现状，在技术层面完善安全检测、问题发现能力后，建立开发和安全的持续推进机制，由安全发现问题并与应用程序的持续沟通整改反馈。结合周期镜像安全和运行时安全扫描检测机制等，保证应用程序在CICD流程中得到最终处置。此外，在开发和部署过程的持续反馈中，存在安全测试的孤立性、滞后性等问题，可以考虑通过工具、技术手段固化流程、加强人员协作，将可以自动化、重复性的安全工作融入到研发标准化流程内，提高云原生应用体系的安全管控。
北部湾银行坚持稳中求进的总体基调,2022年底容器安全防护平台顺利实施完成，保障多云异构环境下的业务安全，并且在云原生应用安全防护的思路方面，通过容器安全防护平台作为安全抓手，融合进入应用的全生命周期，建立风险容忍度，强化数字科技对金融服务的再造升级，牢牢构筑坚实的网络安全防线。
（栏目编辑：韩维蜜）

来源：
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！