容器和微服務(wù)安全難以保障。機器學(xué)習(xí)可能是解決問題的辦法。

[[271549]]

利用云原生 (Cloud-Native) 架構(gòu)，公司企業(yè)能以較低的成本減少應(yīng)用開發(fā)時間，提升敏捷性。盡管靈活性和可移植性驅(qū)動了云原生架構(gòu)的廣泛采納，但也帶來了新的挑戰(zhàn)：怎樣規(guī)?；芾戆踩靶阅?

云端挑戰(zhàn)

容器和微服務(wù)安全難以保障主要是以下幾個原因：

• 邊界分散：一旦傳統(tǒng)邊界被突破，惡意軟件或勒索軟件常會在數(shù)據(jù)中心和云環(huán)境中四處游走，難以檢測。
• DevOps 思維模式下，開發(fā)人員不斷構(gòu)建、推送和拉取各種鏡像，直面無數(shù)暴露，比如操作系統(tǒng)漏洞、軟件包漏洞、錯誤配置、秘密信息暴露……
• 容器生存周期短，內(nèi)容不透明，很容易在用過后遺留下大量數(shù)據(jù)，極難看清容器化環(huán)境的風(fēng)險及安全態(tài)勢。面對幾百萬臺轉(zhuǎn)瞬即逝的容器，想要梳理其上成千上萬服務(wù)中的互聯(lián)數(shù)據(jù)，以便及時了解具體安全狀況或違規(guī)情況，好比大海撈針一樣。
• 隨著開發(fā)速度的加快，安全被擠到了開發(fā)周期末端。開發(fā)人員不再從早期開始即植入安全，而寧可在末期補上，最終也就增加了基礎(chǔ)設(shè)施中潛在暴露的概率。

預(yù)算緊張，加上不斷創(chuàng)新的壓力，讓機器學(xué)習(xí)和人工智能 IT 運營 (AIOps) 逐漸融入安全提供商路線圖中，因為這是減輕現(xiàn)代架構(gòu)中安全人員負(fù)擔(dān)最為現(xiàn)實的解決方案了，至少目前看來是。

為什么機器學(xué)習(xí)很適合?

容器按需使用，上下線轉(zhuǎn)換頻繁，安全人員沒有犯錯的余地。攻擊者卻只需成功一次即可收獲滿滿，而不斷發(fā)展變化的云原生環(huán)境中，入侵來得更加容易，因為安全難以跟進(jìn)。也就是說，運行時環(huán)境如今可因內(nèi)部人黑客行為、策略錯誤配置、零日威脅和外部攻擊而千瘡百孔。

這種動態(tài)環(huán)境中，人手短缺的安全團(tuán)隊是無法人工大規(guī)模抵御這些威脅的。安全配置可能需要幾個小時乃至數(shù)天才能調(diào)整好，如此充裕的時間完全夠黑客充分利用該機會窗口了。

過去幾十年來，我們已經(jīng)見證了機器學(xué)習(xí)算法和技術(shù)的長足進(jìn)步。如今，即使是沒有統(tǒng)計學(xué)背景的人，也可以獲取機器學(xué)習(xí)模型并將之應(yīng)用來解決各種問題。

容器很適合用監(jiān)督學(xué)習(xí)模型，原因如下：

1. 容器表面很小

因為容器基本為模塊化任務(wù)設(shè)計，構(gòu)造簡單，比較容易定義其內(nèi)部行為基線，區(qū)分正常與不正常的行為。虛擬機則不同，動輒幾百個程序和進(jìn)程運行，比容器難判斷得多。

2. 容器是聲明性的

不用挨個兒查配置，DevOps 團(tuán)隊查看守護(hù)進(jìn)程和容器環(huán)境就可以了解特定容器運行時可以做些什么了。

3. 容器是不可變的

這種不變性就是防止運行時修改的保護(hù)圍欄。比如說，如果某容器突然開始運行 netcat，那就說明可能有人入侵了。

鑒于以上特性，機器學(xué)習(xí)模型可以從行為中學(xué)習(xí)，在創(chuàng)建運行時配置時更加準(zhǔn)確，精準(zhǔn)評估哪些行為應(yīng)被允許而哪些應(yīng)加以禁止。通過讓機器來定義準(zhǔn)確的配置，自動發(fā)現(xiàn)潛在威脅指標(biāo)，檢測的效率和精度都能得到大幅提升。同時，這還能緩解安全運營中心團(tuán)隊成員的過勞情況，讓他們不用為不同容器環(huán)境挨個兒手動創(chuàng)建特定規(guī)則，從而將精力放在響應(yīng)和修復(fù)上，而不是單調(diào)機械地人工檢測上。

云原生時代，安全必須跟上不斷變化的技術(shù)態(tài)勢。團(tuán)隊?wèi)?yīng)配備云原生安全工具以摒除噪音與干擾，找出所需的準(zhǔn)確情報。若不用機器學(xué)習(xí)，安全團(tuán)隊會被大量無關(guān)緊要的瑣碎細(xì)節(jié)絆住，錯失真正應(yīng)該關(guān)注的東西。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文