在数字经济和数字化技术的驱动下,企业“上云、用云”进入了全新的阶段,云原生技术体系架构下的容器、微服务等创新技术,让传统的生产和运营效率将得到大幅度提升,与此同时,由于云原生下保护对象和安全机制的变化,导致云原生带来大量新型安全风险。7月7日,2023年北京网络安全大会云原生安全论坛在京召开,以“融合、进化”为主题,共同探讨云原生环境下的安全新形态与防御之道,夯实云原生建设基础,护航在数字经济浪潮下的云原生产业健康发展。
奇安信集团副总裁刘浩
云原生化转型浪潮已至 云原生安全成为极具潜力的新赛道
“云原生经过多年发展,核心技术已趋于成熟,产业生态趋于完善,到 2025 年,超过一半的中国 500 强企业将成为软件生产商,超过 90%的应用程序为云原生应用程序。在对云原生技术应用挑战的调研中,安全性连续三年成为企业用户的最大顾虑,2022年超七成用户担心在生产环境中大规模应用云原生技术时的安全性。”中国信息通信研究院云大所高级业务主管杜岚表示,云原生与安全将双向赋能与融合,并出现防护对象从基础设施向服务交付上移、从单点防护向全流程一体化防护演进等发展趋势,同时,安全与基础设施融合催生新形态的安全能力和交付模式。
中国信息通信研究院云大所高级业务主管杜岚
云原生安全的应对之道
“运营商行业在利用云原生技术方面走得比较早,率先享受到云原生技术的红利,以中国移动为例,2015年开始采用对容器技术进行探索,经过多年建设,移动的“磐基”、“磐舟”两大云原生技术平台,支撑了多个大型单位的云上业务。”中国移动信息技术中心运维安全项目总监刘斌说,在云原生的建设过程中,也同样面临镜像的风险、API风险、运行时的风险和集群风险等安全问题,对此,中国移动参考了CNAPP云原生安全保护平台的建设思路,考虑了云原生的特点和需求,体现了安全左移和纵深防御理念,结合研发阶段和应用阶段建设,实现全局的DevsecOps,除了安全工具外,还要有安全机制的保障,如:上线前安全需求分析、代码扫描SAST软件成分分析SCA、灰盒扫描IAST、镜像扫描、APP扫描,提前预防安全风险。上线后持续进行安全防护,定期进行镜像扫描、基线合规检测、运行时通过容器安全与微隔离软件对容器运行实时监测。
中国移动信息技术中心运维安全项目总监刘斌
“业务需求与安全监管的博弈抗衡大背景下,真正的P0事件往往发生在安全未监管到的最后剩下的1%,在云原生下同样适用,容器内应用作为暴露互联网初始入侵攻击界面依然存在风险:典型的(Web服务、Web中间件、DB服务、大数据服务等)RCE漏洞、弱密码暴力破解、WebSecurity(Sql注入、xss、文件上传等)依然是攻击者典型踩点打法,CoblatStrike,metaspoit依然是主流后渗透手法,勒索、挖矿、脱裤等云平台常见威胁影响依然头痛。”火山引擎终端安全攻防研究专家李月锋表示,攻防战争信息不平衡,攻击者只需点、线突破,防守方必须体、面俱备,客户面临攻击威胁事前、事中、事后全生命周期下核心痛点分析与贴近客户业务视角下优雅解决方案。
火山引擎终端安全攻防研究专家李月锋
“随着云原生、人工智能和大数据的快速发展,大模型如GPT-3等已经成为了我们生活和工作中不可或缺的一部分。然而,这些大模型在带来便利的同时,也带来了包括数据泄露、恶意攻击等新的安全和隐私挑战,如大模型训练和使用过程中可能产生数据流相关风险。”中科院信工所黄鹤清博士表示,针对这些新型安全问题,将衍生出AGI数据安全防火墙等云原生环境下的新型技术手段。
中科院信工所黄鹤清博士
“现在我们看到的云原生风险只是技术应用过程中的一部分,后续随着我们对技术认知或者技术的迭代,可能会有更多漏洞、更多问题出现,所以我们还是要去持续把云原生技术应用的效果发挥出来,同时把它的风险控制在可接受的范围内。”某金融机构安全团队负责人表示,目前的云原生安全态势需要我们构建一个一体化的,从开发阶段到运行阶段,全生命周期的安全平台,实现闭环管理。
某金融机构安全团队负责人
“现有安全防护体系虽然覆盖了云原生技术架构和全生命周期,但带来的直接结果就是安全工具多、分散,运维和运营成本高;云原生时代开发人员更关注应用的快速上线,没有统一的安全管控流程和基线配置将导致应用可能带病上线或者推迟上线;云原生时代开源代码和镜像大量使用导致供应链问题突出,开发态和运行态资产风险无关联导致安全应急响应慢和风险定位困难。”奇安信云安全首席架构师鲍坤夫表示,奇安信CNAPP云原生安全保护平台以“安全左移、原生融合、全生命周期覆盖”为产品理念,以云原生应用为核心保护目标,能力覆盖整个云原生架构以及云原生应用的全生命周期,纵向从下到上覆盖云原生应用运行的基础设施,横向从左到右覆盖云原生应用的整个生命周期,涵盖开发、部署和运行时阶段的安全风险监测与分析,贯穿一体系(DevOps)、两方向(安全左移与安全右移)、 三环节(构建、部署、运行),提供云原生应用全生命周期的风险管理与卡点管控能力。
奇安信云安全首席架构师鲍坤夫
“随着越来越多的用户上云,对云上的测试有了新的要求。传统的测试仪需要支持虚拟化和容器化才能部署到云上,另外也要根据云原生的特点改造部署和测试流程。”思博伦Cloud&IP云和安全产品总监任红波表示,思博伦支持云原生的pod到pod,ingress负载均衡,混沌测试,性能和安全测试场景,支持SD-WAN和SASE测试,并和DevOPS,CI/CD等开发模式结合来更迅速的满足云及云原生的测试需求。
思博伦Cloud&IP云和安全产品总监任红波
本次BCS云原生安全论坛汇集了来自云原生领域的众多业界专家学者、甲方客户以及安全企业,旨在提升云原生安全领域的理论建设与实践水平,夯实云原生安全基础,护航在数字经济浪潮下的云原生产业健康发展。
