在數(shù)字經(jīng)濟(jì)和數(shù)字化技術(shù)的驅(qū)動(dòng)下,企業(yè)“上云、用云”進(jìn)入了全新的階段,云原生技術(shù)體系架構(gòu)下的容器、微服務(wù)等創(chuàng)新技術(shù),讓傳統(tǒng)的生產(chǎn)和運(yùn)營(yíng)效率將得到大幅度提升,與此同時(shí),由于云原生下保護(hù)對(duì)象和安全機(jī)制的變化,導(dǎo)致云原生帶來(lái)大量新型安全風(fēng)險(xiǎn)。7月7日,2023年北京網(wǎng)絡(luò)安全大會(huì)云原生安全論壇在京召開(kāi),以“融合、進(jìn)化”為主題,共同探討云原生環(huán)境下的安全新形態(tài)與防御之道,夯實(shí)云原生建設(shè)基礎(chǔ),護(hù)航在數(shù)字經(jīng)濟(jì)浪潮下的云原生產(chǎn)業(yè)健康發(fā)展。
奇安信集團(tuán)副總裁劉浩
云原生化轉(zhuǎn)型浪潮已至 云原生安全成為極具潛力的新賽道
“云原生經(jīng)過(guò)多年發(fā)展,核心技術(shù)已趨于成熟,產(chǎn)業(yè)生態(tài)趨于完善,到 2025 年,超過(guò)一半的中國(guó) 500 強(qiáng)企業(yè)將成為軟件生產(chǎn)商,超過(guò) 90%的應(yīng)用程序?yàn)樵圃鷳?yīng)用程序。在對(duì)云原生技術(shù)應(yīng)用挑戰(zhàn)的調(diào)研中,安全性連續(xù)三年成為企業(yè)用戶(hù)的最大顧慮,2022年超七成用戶(hù)擔(dān)心在生產(chǎn)環(huán)境中大規(guī)模應(yīng)用云原生技術(shù)時(shí)的安全性。”中國(guó)信息通信研究院云大所高級(jí)業(yè)務(wù)主管杜嵐表示,云原生與安全將雙向賦能與融合,并出現(xiàn)防護(hù)對(duì)象從基礎(chǔ)設(shè)施向服務(wù)交付上移、從單點(diǎn)防護(hù)向全流程一體化防護(hù)演進(jìn)等發(fā)展趨勢(shì),同時(shí),安全與基礎(chǔ)設(shè)施融合催生新形態(tài)的安全能力和交付模式。
中國(guó)信息通信研究院云大所高級(jí)業(yè)務(wù)主管杜嵐
云原生安全的應(yīng)對(duì)之道
“運(yùn)營(yíng)商行業(yè)在利用云原生技術(shù)方面走得比較早,率先享受到云原生技術(shù)的紅利,以中國(guó)移動(dòng)為例,2015年開(kāi)始采用對(duì)容器技術(shù)進(jìn)行探索,經(jīng)過(guò)多年建設(shè),移動(dòng)的“磐基”、“磐舟”兩大云原生技術(shù)平臺(tái),支撐了多個(gè)大型單位的云上業(yè)務(wù)。”中國(guó)移動(dòng)信息技術(shù)中心運(yùn)維安全項(xiàng)目總監(jiān)劉斌說(shuō),在云原生的建設(shè)過(guò)程中,也同樣面臨鏡像的風(fēng)險(xiǎn)、API風(fēng)險(xiǎn)、運(yùn)行時(shí)的風(fēng)險(xiǎn)和集群風(fēng)險(xiǎn)等安全問(wèn)題,對(duì)此,中國(guó)移動(dòng)參考了CNAPP云原生安全保護(hù)平臺(tái)的建設(shè)思路,考慮了云原生的特點(diǎn)和需求,體現(xiàn)了安全左移和縱深防御理念,結(jié)合研發(fā)階段和應(yīng)用階段建設(shè),實(shí)現(xiàn)全局的DevsecOps,除了安全工具外,還要有安全機(jī)制的保障,如:上線前安全需求分析、代碼掃描SAST軟件成分分析SCA、灰盒掃描IAST、鏡像掃描、APP掃描,提前預(yù)防安全風(fēng)險(xiǎn)。上線后持續(xù)進(jìn)行安全防護(hù),定期進(jìn)行鏡像掃描、基線合規(guī)檢測(cè)、運(yùn)行時(shí)通過(guò)容器安全與微隔離軟件對(duì)容器運(yùn)行實(shí)時(shí)監(jiān)測(cè)。
中國(guó)移動(dòng)信息技術(shù)中心運(yùn)維安全項(xiàng)目總監(jiān)劉斌
“業(yè)務(wù)需求與安全監(jiān)管的博弈抗衡大背景下,真正的P0事件往往發(fā)生在安全未監(jiān)管到的最后剩下的1%,在云原生下同樣適用,容器內(nèi)應(yīng)用作為暴露互聯(lián)網(wǎng)初始入侵攻擊界面依然存在風(fēng)險(xiǎn):典型的(Web服務(wù)、Web中間件、DB服務(wù)、大數(shù)據(jù)服務(wù)等)RCE漏洞、弱密碼暴力破解、WebSecurity(Sql注入、xss、文件上傳等)依然是攻擊者典型踩點(diǎn)打法,CoblatStrike,metaspoit依然是主流后滲透手法,勒索、挖礦、脫褲等云平臺(tái)常見(jiàn)威脅影響依然頭痛。”火山引擎終端安全攻防研究專(zhuān)家李月鋒表示,攻防戰(zhàn)爭(zhēng)信息不平衡,攻擊者只需點(diǎn)、線突破,防守方必須體、面俱備,客戶(hù)面臨攻擊威脅事前、事中、事后全生命周期下核心痛點(diǎn)分析與貼近客戶(hù)業(yè)務(wù)視角下優(yōu)雅解決方案。
火山引擎終端安全攻防研究專(zhuān)家李月鋒
“隨著云原生、人工智能和大數(shù)據(jù)的快速發(fā)展,大模型如GPT-3等已經(jīng)成為了我們生活和工作中不可或缺的一部分。然而,這些大模型在帶來(lái)便利的同時(shí),也帶來(lái)了包括數(shù)據(jù)泄露、惡意攻擊等新的安全和隱私挑戰(zhàn),如大模型訓(xùn)練和使用過(guò)程中可能產(chǎn)生數(shù)據(jù)流相關(guān)風(fēng)險(xiǎn)。”中科院信工所黃鶴清博士表示,針對(duì)這些新型安全問(wèn)題,將衍生出AGI數(shù)據(jù)安全防火墻等云原生環(huán)境下的新型技術(shù)手段。
中科院信工所黃鶴清博士
“現(xiàn)在我們看到的云原生風(fēng)險(xiǎn)只是技術(shù)應(yīng)用過(guò)程中的一部分,后續(xù)隨著我們對(duì)技術(shù)認(rèn)知或者技術(shù)的迭代,可能會(huì)有更多漏洞、更多問(wèn)題出現(xiàn),所以我們還是要去持續(xù)把云原生技術(shù)應(yīng)用的效果發(fā)揮出來(lái),同時(shí)把它的風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)。”某金融機(jī)構(gòu)安全團(tuán)隊(duì)負(fù)責(zé)人表示,目前的云原生安全態(tài)勢(shì)需要我們構(gòu)建一個(gè)一體化的,從開(kāi)發(fā)階段到運(yùn)行階段,全生命周期的安全平臺(tái),實(shí)現(xiàn)閉環(huán)管理。
某金融機(jī)構(gòu)安全團(tuán)隊(duì)負(fù)責(zé)人
“現(xiàn)有安全防護(hù)體系雖然覆蓋了云原生技術(shù)架構(gòu)和全生命周期,但帶來(lái)的直接結(jié)果就是安全工具多、分散,運(yùn)維和運(yùn)營(yíng)成本高;云原生時(shí)代開(kāi)發(fā)人員更關(guān)注應(yīng)用的快速上線,沒(méi)有統(tǒng)一的安全管控流程和基線配置將導(dǎo)致應(yīng)用可能帶病上線或者推遲上線;云原生時(shí)代開(kāi)源代碼和鏡像大量使用導(dǎo)致供應(yīng)鏈問(wèn)題突出,開(kāi)發(fā)態(tài)和運(yùn)行態(tài)資產(chǎn)風(fēng)險(xiǎn)無(wú)關(guān)聯(lián)導(dǎo)致安全應(yīng)急響應(yīng)慢和風(fēng)險(xiǎn)定位困難。”奇安信云安全首席架構(gòu)師鮑坤夫表示,奇安信CNAPP云原生安全保護(hù)平臺(tái)以“安全左移、原生融合、全生命周期覆蓋”為產(chǎn)品理念,以云原生應(yīng)用為核心保護(hù)目標(biāo),能力覆蓋整個(gè)云原生架構(gòu)以及云原生應(yīng)用的全生命周期,縱向從下到上覆蓋云原生應(yīng)用運(yùn)行的基礎(chǔ)設(shè)施,橫向從左到右覆蓋云原生應(yīng)用的整個(gè)生命周期,涵蓋開(kāi)發(fā)、部署和運(yùn)行時(shí)階段的安全風(fēng)險(xiǎn)監(jiān)測(cè)與分析,貫穿一體系(DevOps)、兩方向(安全左移與安全右移)、 三環(huán)節(jié)(構(gòu)建、部署、運(yùn)行),提供云原生應(yīng)用全生命周期的風(fēng)險(xiǎn)管理與卡點(diǎn)管控能力。
奇安信云安全首席架構(gòu)師鮑坤夫
“隨著越來(lái)越多的用戶(hù)上云,對(duì)云上的測(cè)試有了新的要求。傳統(tǒng)的測(cè)試儀需要支持虛擬化和容器化才能部署到云上,另外也要根據(jù)云原生的特點(diǎn)改造部署和測(cè)試流程。”思博倫Cloud&IP云和安全產(chǎn)品總監(jiān)任紅波表示,思博倫支持云原生的pod到pod,ingress負(fù)載均衡,混沌測(cè)試,性能和安全測(cè)試場(chǎng)景,支持SD-WAN和SASE測(cè)試,并和DevOPS,CI/CD等開(kāi)發(fā)模式結(jié)合來(lái)更迅速的滿(mǎn)足云及云原生的測(cè)試需求。
思博倫Cloud&IP云和安全產(chǎn)品總監(jiān)任紅波
本次BCS云原生安全論壇匯集了來(lái)自云原生領(lǐng)域的眾多業(yè)界專(zhuān)家學(xué)者、甲方客戶(hù)以及安全企業(yè),旨在提升云原生安全領(lǐng)域的理論建設(shè)與實(shí)踐水平,夯實(shí)云原生安全基礎(chǔ),護(hù)航在數(shù)字經(jīng)濟(jì)浪潮下的云原生產(chǎn)業(yè)健康發(fā)展。
