首页 > 传媒 > 关键词 > 云安全最新资讯 > 正文

云原生安全VS传统安全 六大全新挑战

2021-05-13 08:50 · 稿源:站长之家用户

近两年来,我们常常听见“云原生”这个词出现在各大媒体平台。谷歌、Red Hat、微软、亚马逊、阿里巴巴、华为等超过 300 家国内外知名企业也纷纷加入CNCF(云原生计算基金会)。在云原生技术发展得如火如荼的同时,另一边云原生技术本身却不被大众所了解,而“云原生安全”对大家来说更是个陌生的词汇。所以,云原生技术到底是什么?云原生安全与传统安全又有何区别?今天,我们一起来详细了解一下云原生安全与传统安全。

云原生技术到底是什么

简单来说, “云原生” 可以概括为:充分利用原生云能力(自动扩展、无中断部署、自动化管理、弹性等)来进行应用设计、部署和智能化运维的方法。根据CNCF官网上对云原生的定义,云原生技术主要指以容器、持续交付、DevOps以及微服务为代表的技术体系, 2018 年,又加入Service Mesh(服务网络)和声明API。

云原生技术的出现,是为了让当前基于容器的大规模分布式系统管理拥有更高的自动化、更低的成本与更低的复杂性,使得互联网系统相比以前更容易管理、容错性更好、更便于可视化。

云原生安全有何不同

那么,云原生安全相比传统安全又有何不同呢?

其实,云原生安全并不独特,传统环境下的安全问题在云环境下仍然存在,比如DOS攻击、内部越权、数据泄露、数据篡改、漏洞攻击等,但由于云原生架构的多租户、虚拟化、快速弹性伸缩等特点,对传统安全的某些层面提出了新的挑战,如果要用一句话总结传统安全与云原生安全的不同,那可以概括为:传统安全更重视边界防护,而云原生安全更重视持续安全。

以下,我们就从六个风险点,为大家介绍云原生环境下的一些典型安全问题。

1.   菜里下毒—镜像安全很重要

被大家所熟知的,Docker官方提供了docker hub可以让用户自由上传创建的镜像,以便其他用户下载,用以快速搭建环境。在提供便利的同时,也带来了新的安全风险,如:下载的镜像是否被恶意植入后门?镜像所搭建的环境是否本身就包含漏洞?

此外,快速迭代的云原生应用加大了引入漏洞/bug,病毒和不安全API,secrets等的机会,所以如何用内生在CI流程当中的镜像安全扫描和加固方案以及安全左移的理念来持续发现和减少风险至关重要。

据统计,在对Docker Hub上公开热门镜像中的前十页镜像扫描发现,在一百多个镜像中,没有漏洞的只占到24%,包含高危漏洞的占到67%。很多我们经常使用的镜像都包含在其中,如:Httpd、Nginx、Mysql等等。由此可见,镜像安全,是云原生安全中不可忽视的一环。

2.   芒刺在背—运行时安全需注意

微服务架构作为云原生技术的重要组成部分,其核心思路在于考虑围绕着业务领域组件来创建应用,简单来说就是为每个业务创建单独的容器环境,这些应用可独立地进行开发、管理和加速,互不干扰。

微服务架构依赖于容器技术,而其分散的特性也为管理引入了复杂度,于是出现了k8s来对各个分散的容器进行统一编排管理,这对业务来说,无疑是个好消息。但同时Pod, 容器,deamon等复杂动态的资源和k8s对集群资源的动态调度,也给运行时安全检测和防护引入了前所未有的难题。

众所周知,逃逸漏洞是云环境下一种常见的漏洞,黑客可以利用一些漏洞或管理人员的配置问题,从容器环境中跳出而获得宿主机权限。因此,一旦单个容器环境存在逃逸漏洞,可能就会导致整个集群沦陷。

例如常见的利用特权容器、runC等漏洞实现逃逸,可以说,微服务架构下这种统一管理模式,是悬在众多云用户头上的达摩克里斯之剑,而针对容器运行时安全的防护,值得所有人提高警惕。

3.   凿壁偷光—你的隔离还不够结实

docker以其轻量为大家所喜爱,通过docker我们可以很方便快捷地建一个独立的运行环境。但同样的,方便的背后,潜在着安全风险。

我们以知名的脏牛漏洞(CVE-2016-5195)为例:

攻击者可以直接突破隔离进行提权,从而获得宿主机的root权限。

那为什么会出现这样的问题呢?如下图所示,我们可以了解到,docker的隔离实际上只做到了进程间与文件的隔离,依赖于linux内核的namespace与cgroup技术,相比于基于OS的传统虚拟化方式,容器的资源和权限隔离不够彻底,这也就为针对系统的提权、文件系统的攻击等方式创造了条件。

4.   天机泄露—数据管理之殇

云环境因其特殊性,通常多个用户共享云上存储,这也导致了单个用户的应用存在问题就有可能导致其他客户的数据信息泄露,而云计算本身依托于海量数据,因此数据泄露的风险远大于传统环境。

通过租用一些公有云平台我们可以知道,accesskey是实现连接云平台的重要身份凭证,而accesskey的管理也是个重要的问题,我们在渗透过程中经常会在一些debug信息以及某些备份信息中发现泄漏的acccesskey,图为阿里云accesskey的利用工具,攻击者可以直接通过accesskey实现数据读取、命令执行等操作。

5.   一发入魂—东西向安全困惑

与传统内网安全不同的是,微服务架构因其复杂的内部通信链路(包括进程和pod,容器和容器,pod和pod之间的通信等等)及不可见性,针对东西向流量,传统的基于简单ip维度及人工方式配置的ACL流量管控模式已经不再是万能的解药,网络威胁一旦进入云平台内部,便可以肆意蔓延。

以CVE-2019-3462APT远程代码执行漏洞为例,攻击者一旦进入网络环境中,便可以利用中间人攻击或者一个恶意的下载镜像来触发该漏洞,导致远程代码执行,进而进行横向攻击。

而很尴尬的现状是安全团队不能再像传统 IT 架构一样直接将安全产品、方案部署在网络边界、业务边界阻断各种威胁/风险事件,因此我们需要一种更加适用于云原生环境的更细粒度的安全隔离机制。

6.   病入膏肓—头痛的资产梳理与威胁感知

资产管理,一直是让IT部门一个比较头疼的问题,频繁的服务器变动,往往让运维人员疲于奔命,大量的公司,还在用着excel来记录公司的IT资产情况。

而微服务架构的出现,对于资产管理来说更是一场巨大的灾难,随时可能发生的容器以及云原生架构下的各个层次资源(服务,pod,容器等)的添加、删除、调度,让管理者很难对资产进行及时的盘点更新,也存在极大的可能遗忘一些已经不被使用的容器。随着时间的推移,这些容器可能出现一些新的安全威胁,这就给黑客带来了可趁之机,在用户毫无感知的情况下,整个集群就已沦为黑客的肉鸡,而等到用户真的发现问题,损失已铸成,想要弥补也为时已晚。

探真云原生安全解决方案

那么,如何针对以上有别于传统架构下的安全风险挑战,打造更适合于云原生环境下的防御体系呢?探真科技根据当前云原生环境下所可能遇到的各个风险点,以及各种场景的适配情况,给出了解决方案:

1.镜像扫描

针对当前公有云、私有云存在的镜像安全问题,探真科技镜像安全扫描方案可与客户的CICD流程深度融合,借助35w+的安全规则库,检测出相关镜像的CVE漏洞、脆弱Package、敏感信息、Malware等安全风险。

当系统完成镜像文件扫描程序后,用户可以查看漏洞严重程度、CVSS分数、目前是否有提供维修更新镜像等信息。通过内建的过滤机制,用户可以根据事件严重性,决定镜像文件更新操作的排期,从而确保使用者上传、部署于Kubernetes环境的镜像都是来自可信来源、未经手动干预后的镜像。

2.微隔离

微隔离(Micro-Segmentation)是一种专门针对虚拟化平台的隔离技术,有别于传统防火墙的边界流量隔离,微隔离的核心能力便是针对东西向流量的隔离,拥有更细粒度的隔离效果。

探真微隔离方案通过可视化展现让安全运维与管理人员更加了解内部网络信息流动的情况,能够按角色、业务功能等多维度标签对需要隔离的工作负载进行快速分组,同时由策略控制中心通过自学习模式,自适应学习出针对每个应用服务之间最适合的隔离策略,做到更加精准的东西向流量访问权限控制,减少横向移动攻击的可能性。

3.安全合规检查

针对国家等保2. 0 提出的安全合规要求,探真科技合规侦测策略从身份鉴别、访问控制、安全审计、入侵防御、恶意代码防护、资源控制六大方面进行了完整的覆盖,同时结合CIS docker安全基线、kubernetes安全基线、探真科技自定义的安全策略等,及时发现云环境下存在的安全配置问题。

4.特权账号管理

针对特权账号管理问题,探真动态鉴权能够适配云原生环境(如docker、k8s、openshift等),集成进入CICD流程,去除容器内密码、秘钥、证书等登录凭证。探真动态鉴权还能够替代云服务商的KMS,实现企业跨云、跨中心统一特权管理,完美适配云原生环境下各种复杂账号管控场景。

5.容器运行时安全防护

探真科技根据云环境下的漏洞攻防场景,提出了独家的AI免疫防御技术,通过深度监测系统底层调用,借用无监督学习,为每个应用建立了单独的安全调用基线,并配合强大的攻击检测引擎,可及时发现系统中存在的各种威胁,针对系统提权、虚拟机逃逸、漏洞攻击、挖矿程序、非正常扫描行为等都具备极强的检测与防御能力。

6.资产自动发现与威胁态势感知

探真科技威胁感知支持自动化资产发现,以可视化效果呈现给客户当前的所有资产所处的位置、状态以及所面临的风险,同时接入镜像安全、隔离安全、运行时安全、账号安全等多种数据,根据存在风险点匹配云上容器ATT&CK矩阵下的近 300 条规则侦测入侵行为事件,给予用户一个完整的安全感知视角,真正做到了防患于未然。

云原生安全未来展望

根据IDC在 2020 年 5 月发布的《 2020 年中国云计算市场十大预测》指出,到 2022 年,60%的中国 500 强企业将投资于云原生应用和平台的自动化、编排和开发生命周期管理。

同年 10 月,腾讯云安全发布了《 2021 云安全九大趋势》,涵盖了云原生安全,零信任及身份认证,数据安全及合规,软硬件供应链安全等几大行业广泛关注的领域,其中,云原生安全成为高频词。

可以预见,在产业快速上云的当下及未来,云原生安全,也将扮演更加重要的角色。云原生安全可以说是安全的未来主要方向。微信搜索“探真科技“获取东西向攻击实例视频,百度搜索“探真科技”移步官网解锁更多相关知识。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 2025年技术使用率将达100% 如何解决上云安全

    全球权威市场研究机构IDC调查报告显示,在过去18 个月中,近80%的公司至少经历了一次云数据泄露,而43%的公司报告了10 次或更多泄露。中国领先的网络安全研究机构360天枢智库也在近期获悉,英格兰最大的能源供应商Eversource公司,因不安全的云存储服务器而导致了数据泄露,用户的其名字、地址、电话号码、社会安全号码、服务地址和帐号等敏感信息面临泄露危险。越来越多的事故正表明,在全球范围内,云安全问题正在急剧恶化。数

  • 走捷径实现安,何乐而不为?OneDNS,在端守护学校网络安

    有这样一个地方,聚集了全世界最有活力的年轻人,他们虽涉世未深但却对网络世界充满好奇。有这样一个地方,这里聚集了最顶尖的头脑从事前沿科学研究,并且会将自己的成果对莘莘学子倾囊相授。没错,这个地方就是学校!但是当校园聚集了高价值的数据和一大群爱上网的年轻人之后,网络安全便成为一个不可不谈的话题。保卫学校网络安全需要找到一条捷径之于企业或政府,学校是完全不同的另一种组织类型。由于学校通常不以盈利为目的,

  • 守护企业安生命线 萨摩耶数科以私有建设保障信息安

    大数据时代,信息安全就是企业的生命线!如今,随着人工智能、移动互联等新技术的发展和应用,金融科技正在加速重构金融业务模式。尤其是依托云计算构建的各类金融服务平台,也在以更加低的造价成本和更高效的服务体验,不断为金融机构创造新的应用场景,提高金融触达效率,形成新的利润增长点。与此同时,围绕金融机构的信息安全问题,也愈演愈烈。为有效解决这一问题,一种在不失云计算集约性优势的前提下,还能有效确保信息安全

  • 《华为智能网IT架构与集成白皮书》重磅发布:牵引网运营面升级

    以数字化产业、产业数字化为核心的数字经济步伐不断加快,企业上云已成刚需,运营商IP网络正面临新的变化与挑战。近日举行的华为 2021 年全球分析师大会期间,在国内外重量级分析师的共同见证下,《华为智能云网IT架构与集成白皮书》(下称“白皮书”)正式发布,在厘清产业趋势的同时给出系统的解决办法,助力运营商“盈”在云时代。“运营商发展云网新业务,就要实现云网资源的一体化调配,让网络的响应速度赶得上云。而云网一体

  • 百卓优采供应链平台SaaS版新上线

    近日,百卓网络科技有限公司研发并运营的百卓优采云供应链平台SaaS版全新上线。SaaS服务可有效降低企业的成本,能让中小企业在不增加IT投入的基础下快速实现信息化,同时也能够大幅度降低信息化给企业带来的风险。百卓网络科技有限公司总经理夏宇表示,百卓优采云供应链平台SaaS版相比传统的CRM大型系统来说,操作更简便、系统更轻量,不但可以实现企业在线供应商管理、采购需求管理与分配、在线定价、智能库存管理、集中采购等信?

  • 政企业务上凸显四大安痛点,腾讯Cloud SOC打造智能化安运营体系

    政企业务上云凸显四大安全痛点,腾讯Cloud SOC打造智能化安全运营体系

  • 平台、储存,拥有30W+导图作品的思维导图神器

    MindMaster是当前市场上唯一一款支持全平台(PC+APP+Web+小程序)的思维导图工具,其强大的云储存功能,使得用户可以随时随地在任意设备上创作,极大提升了用户的创作效率。@Appinn所谓思维导图,就是一种图形表达工具,它可以将我们复杂、无序的思维、想法和信息进行快速结构化整理,进而提升个人的学习和办公效率。思维导图对个人效率的强大赋能,使得市场上掀起了一波思维导图热。愈来愈多用户开始了解思维导图,学习使用各种思

  • 网三剑客 | 闯荡“上江湖”,移动教你绝招!

    摘要:行走江湖霸气宣言:云间高速,致富之路!企业生存,是一场江湖大比拼市场瞬息万变,降本增效成过招关键于是越来越多企业“搬到云上”有云的地方也形成新的江湖格局催生一批快意江湖的“云中剑客”···故事发生在云江湖上人才辈出的——移动云总坛 · 云网络分堂三位年轻才俊正在筹备江湖历练一事他们必须通过掌门设置的重重考验师兄弟三人踏云而来人称「云网三剑客」行走江湖,我们的霸气宣言是“云间高速,致富之路”考验

  • Keep X 瑞云服务云”端服务让运动更自由

    导读:近日,国内领先的运动科技品牌Keep与瑞云服务云达成合作,将基于瑞云服务云平台构建统一的售后服务平台,实现工单管理、配件管理、分拣中心、客户回访、服务营销、工厂返修在线化管理,提升服务效率、服务体验并挖掘客户价值。Keep:运动科技领域的龙头作为运动科技领域的网红品牌,Keep成立于 2014 年,业务覆盖线上运动平台 App,运动品牌消费品及线下运动空间Keepland,可以为用户提供健身教学、跑步、骑行、交友及健身饮

  • 微软发新财报 净利润同比增加16%:继续力发展服务

    对于微软来说,Windows等一系列传统业务,被投入的精力和策略会继弱化,因为他们依然坚持的是云服务。微软今天发布了2021财年第三财季财报。报告显示,微软第三财季营收为417.06亿美元,与去年同期的350.21亿美元相比增长19%,不计入汇率变动的影响为同比增长16%;净利润为154.57亿美元,与去年同期的净利润107.52亿美元相比增长44%;不按照美国通用会计准则的调整后净利润为148.37亿美元,与去年同期相比增长38%,不计入汇率变动?

  • 私有迎来黄金发展期,2023年中国将成为球私有第一大市场

    近年来,越来越多的企业在其核心系统的线上环境中使用云计算架构,大型IT供应商也纷纷将战略目标转向了云计算,云服务逐渐成为了社会基础设施的一部分。随着新基建政策的落地,云计算已渗透到各行各业,全面赋能企业上云,为企业实现数字化、智能化提供了基础技术支撑。目前,云计算主要分为公有云、私有云和混合云三大类。公有云是由第三方云服务提供商拥有和运营,通过互联网向企业或个人提供的IT资源,公有云的核心属性是共享资

  • 商业+技术+开源面布局 腾讯存储三维生态战略出炉

    5 月 10 日,腾讯云在存储新品发布会上正式对外公布“三维生态战略”,将围绕技术、开源、商业三大维度,持续深耕云存储生态发展,携手合作伙伴打造更高可靠、更高性能的云存储服务,为行业数字化转型提供坚实底层支撑。腾讯云副总裁陈平在发布会上表示,腾讯云在多个技术领域都是业界数一数二的,生态是腾讯的长期战略,面向存储业务,腾讯云的生态建设思路是“扎根技术生态、拥抱开源生态、携手商业合作生态”,通过生态协同的思

  • UCloud优刻得混合打通公有和本地部署 助力企业用自由

    由于本地或IDC托管服务器集群在计算、存储、备份及安全防护能力上均会有所限制,而公有云具备灵活易扩展、弹性付费、安全可靠等优势,如果将本地环境和公有云打通融合成混合云架构,就能够保障在本地部署自主可控的同时,还能享受公有云带来的红利。 (架构图:UCloud优刻得混合云架构解决方案) 如上图所示,UCloud优刻得混合云支持的架构形态主要包括以下三种: IDC服务器+UCloud优刻得公有云:一些特定行业用户基于合规、制度的?

  • 构建中国生态 | 华数据与天翼完成产品兼容互认证 携手推动信创快速发展

    如今,信创产业已成为创新发展的新动能。“十四五”规划为信创产业指明了未来方向和路径,各级政府、科研机构以及产业链生态企业正在联动发展,强力推进信创战略。而从技术发展角度来看,云计算、大数据、AI、5G、物联网等新一代数字化技术加速在各个行业中落地,带来了云、边、端侧智慧应用的井喷,在云化基础上的数智融合成为大势所趋,这也加速推动了信创云的发展与落地。为了推动信创云发展,加速数字化转型进程。日前,华云数

  • 火眼 | 2021品牌新升级,从数字化营销到数字化创新

    火眼云于2016年成立,致力于ABM营销理论的落地实践。2020年8月,在全球饱受新冠疫情的恶性影响下,逆势而上实现5000万A轮融资。经历又一年沉淀,火眼云笃行致远,从战略到品牌实现全面升级!全新logo火,是大自然的主导亦可以为人类所用;眼,是洞察世界的窗口亦可以感知万物;找到彼此,就看到了更远的未来。LOGO形态较之前颜色更鲜活、形态更简洁、延展更灵活,体现了数据深奥却直接的多面性;表达了火眼云对数据应用的创新,以?

  • 阿里日本vps服务器多少钱 阿里日本服务器租用价格

    阿里云是国内数一数二的vps云服务器主机商了,质量口碑都十分不错,阿里云国内版也是有日本机房的,一些朋友想买还不清楚大概多少钱,下面就来为大家分享一下。

  • 基于技术的益采集采平台上线运行 益采产品/服务签约仪式在京举行

    2021年4月16日上午,“益采云产品/服务签约仪式”在北京市房山区韩建大厦顺利举行。北京市六家特级和一级建筑施工企业成为首批使用和享有益采云服务的单位。益采云是基于云数据云技术,服务于建筑施工企业“招采评定供”的数字化集采平台。它是在北京建筑行业践行转型升级,谋求高质量发展,适应企业需求的背景下,由北京市建筑业联合会指导,北京华建益盛科技有限公司与北京广联达平方科技有限公司合作搭建的。益采云平台采用的是

  • ucloud优刻得日本服务器球大促活动开启 官方补贴低至1折

    ucloud优刻得是一家国内的vps云服务器主机商,在日本、香港、韩国、欧美都有非常多的数据中心,最近ucloud优刻得开启了全球大促优惠的活动,全场低至1折,如果想要买ucloud优刻得的云服务器的朋友千万别错过了。目前,ucloud日本云服务器在全球有31个数据中心,29条专线,覆盖五大洲,目前日本1核1G快杰型云服务器仅133元/年起,推荐购买日本2核4G云服务器仅524元/年,2M/5M带宽可选,40G系统盘,性价比非常高。ucloud优刻得日本云

  • 余承东:2020年华为服务市场增速球第一

    在今天举办的华为开发者大会2021(Cloud)上,华为常务董事、华为云CEO、消费者业务CEO余承东发表主题演讲。

  • 八大升级!10城同启 华为专属月加速国互联网产业创新升级

    4 月 22 日,“苏州?进而有为”华为云城市峰会 2021 成功举行。华为云中国区总裁洪方明在会上宣布:“华为云专属月面向全国 10 城正式启动!”华为云将投入 5 亿元专属上云津贴,在技术、服务、产业联动、合作生态等八大领域全面升级,助力互联网企业云上创新、打造新云原生企业,加速区域产业升级。华为云专属月后疫情时代,互联网改变了人们的生产、生活方式。今年的“十四五”规划纲要中明确指出,推动互联网、大数据、人工智能

  • 热门标签

热文

  • 3 天
  • 7天