作者 | 潘立峰

背景

容器和云原生平臺使企業(yè)能夠?qū)崿F(xiàn)自動化應(yīng)用部署，從而帶來巨大的業(yè)務(wù)收益。但是，這些新部署的云環(huán)境與傳統(tǒng)環(huán)境一樣，容易受到黑客和內(nèi)部人員的攻擊和利用。勒索軟件、加密貨幣挖礦、數(shù)據(jù)竊取和服務(wù)中斷的攻擊持續(xù)發(fā)生在針對基于容器的云原生環(huán)境之中。由于云平臺安全缺陷導(dǎo)致頻繁發(fā)生的重大網(wǎng)絡(luò)安全事故，使得云平臺下的安全測試顯得尤為重要。

網(wǎng)絡(luò)安全事故相關(guān)案例：

• 2017年，網(wǎng)絡(luò)安全導(dǎo)致美國征信公司 Equifax約 1.48 億美國公民數(shù)據(jù)遭泄露。(來源：新華網(wǎng))
• 2018年，特斯拉云服務(wù)器遭黑客劫持，變?yōu)榧用茇泿诺V機(jī)，機(jī)密數(shù)據(jù)遭泄漏。(來源：網(wǎng)易)
• 2022年，匯豐網(wǎng)絡(luò)銀行遭到拒絕服務(wù)攻擊(DDOS)攻擊，在不到一個月內(nèi)癱瘓了兩次。(來源：安全狗)

云時代的安全視角

那么該如何開展云原生環(huán)境下的安全測試呢?首先讓我們來了解下不同時代安全的視角和安全測試重點的差異。

在單體架構(gòu)的終端時代，所有的業(yè)務(wù)場景的表示層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層放在一個工程里面，然后經(jīng)過編譯打包部署到一臺服務(wù)器上，結(jié)構(gòu)比較簡單，防護(hù)起來相對也比較容易。

在互聯(lián)網(wǎng)的時代，使用面向服務(wù)的架構(gòu)。這種架構(gòu)將應(yīng)用程序的不同功能單元進(jìn)行拆分，并且通過服務(wù)之間定義良好的接口和契約進(jìn)行聯(lián)系。這種架構(gòu)使得安全防護(hù)變得更加復(fù)雜，它需要做好應(yīng)用級的防火墻，要對IDP、SSL、VPN做好相關(guān)的防護(hù)。

在云的時代，使用微服務(wù)的架構(gòu)。微服務(wù)的架構(gòu)其實是多服務(wù)的結(jié)合體。這些服務(wù)開放不同的端口，開放多個應(yīng)用程序API，這樣就會導(dǎo)致網(wǎng)絡(luò)的攻擊面增加，帶來嚴(yán)重的安全挑戰(zhàn)。在這種情況下，所有的微服務(wù)都需要得到充分的保護(hù)，才能克服這種安全的威脅。

云時代安全測試面臨的挑戰(zhàn)

了解不同時代安全視角差異后，再讓我們從這些差異來審視云時代安全測試技術(shù)相較傳統(tǒng)安全測試所面臨的挑戰(zhàn)：

• 微服務(wù)架構(gòu)帶來了大量的內(nèi)部網(wǎng)絡(luò)流量與動態(tài)復(fù)雜的網(wǎng)絡(luò)環(huán)境，使得云網(wǎng)內(nèi)部可視化變得相當(dāng)?shù)?，以至于傳統(tǒng)的網(wǎng)絡(luò)安全測試手段無法勝任任務(wù)
• 資源的彈性伸縮特性使得傳統(tǒng)的安全測試方案難以發(fā)揮作用，無法有效測試出系統(tǒng)的最終安全性
• 大量的開源軟件漏洞、復(fù)雜的內(nèi)部攻擊以及應(yīng)用的快速迭代，使我們對安全防護(hù)的及時性要求更高。

由于云時代所面臨的安全測試挑戰(zhàn)，傳統(tǒng)安全測試手段和工具由于架構(gòu)和技術(shù)上的差異無法有效應(yīng)對，例如：檢測容器漏洞、識別云網(wǎng)絡(luò)內(nèi)部流動的信息以及同大規(guī)模部署的可擴(kuò)展性缺乏等，因此，需要采用更加先進(jìn)的技術(shù)和工具來進(jìn)行更有效地安全測試。

云原生安全測試方案

傳統(tǒng)安全測試工具和手段無法適用于云原生環(huán)境下的安全測試，因此必須引入云原生環(huán)境下一些特殊的安全測試工具和測試方法，針對云原生網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)的特點，設(shè)計全新的安全測試方案，解決這些傳統(tǒng)的安全測試工具無法覆蓋的盲點。

當(dāng)我們設(shè)計云原生安全測試方案前，首先讓我們先了解下云原生安全測試的內(nèi)容：

• 基礎(chǔ)架構(gòu)層面，我們需要開展主機(jī)和基礎(chǔ)架構(gòu)安全合規(guī)測試、Docker/Kubernetes 標(biāo)準(zhǔn)合規(guī)性測試、鏡像漏洞、病毒掃描測試、鏡像審計測試、云上數(shù)據(jù)庫和存儲安全測試
• 鏡像安全方面，我們需要開展鏡像漏洞、病毒掃描，自動實時掃描，第三方日志工具集成測試
• 云原生網(wǎng)絡(luò)層面，我們需要開展云原生網(wǎng)絡(luò)安全測試，Macvaln、Calico、Ovs等云原生cni集成安全測試等。
• 應(yīng)用和容器安全測試方面，我們需要開展容器病毒掃描測試、應(yīng)用漏洞掃描測試
• 應(yīng)用運行時候安全，我們需要開展服務(wù)運行時安全測試，惡意進(jìn)程掃描測試
• 同時，我們也可以結(jié)合一些傳統(tǒng)的滲透測試手段對云上的存儲、數(shù)據(jù)庫，操作系統(tǒng)開展相關(guān)滲透測試

開源安全測試工具箱

基于以上云原生安全測試內(nèi)容，引入一套完全以開源安全工具為基礎(chǔ)的測試工具為基礎(chǔ)設(shè)計的測試方案，就可以開展我們的安全測試了，這套安全測試工具，我們稱它為開源安全測試工具箱，開源安全測試工具箱包含以下工具：

• 云原生基礎(chǔ)架構(gòu)總體安全：NeuVector
• 鏡像審計和漏洞、病毒掃描測試：Clair、Anchore、Dagda
• 云原生網(wǎng)絡(luò)安全測試：kubescape
• 容器運行時安全測試：Falco
• 容器病毒掃描測試：ClamAV
• 滲透測試：sqlmap、Metasploit

使用開源安全測試工具箱開展云原生安全測試具有以下優(yōu)點：

• 經(jīng)濟(jì)性：采用開源工具，和動輒上百萬、千萬級別其他商用方案相比，工具使用零成本。
• 安全性：可以查看和取得全部檢測工具源代碼，匹配金融、政府、軍工等行業(yè)特殊安全需求。
• 擴(kuò)展性和全面性：數(shù)以千計社區(qū)安全測試工具，可以任意根據(jù)客戶需求擴(kuò)展云原生安全測試策略，覆蓋客戶所有安全測試盲點。
• 靈活性：可以靈活地定制云原生安全解決方案，根據(jù)客戶需求選擇最合適的云原生安全測試策略。

下面我們用Nginx、Nodejs和Redis部署多層應(yīng)用程序，使用開源安全工具NeuVector演示開展和進(jìn)行威脅攻擊測試：

1. 創(chuàng)建測試演示命名空間：kubectl create namespace demo

2. 使用yaml 創(chuàng)建 Redis 服務(wù)和部署

3. 使用yaml 創(chuàng)建 Nodejs 服務(wù)和部署

4. 使用此 yaml 創(chuàng)建 Nginx 服務(wù)和部署

5. 外部訪問Nginx服務(wù)，找到NodePort分配給它的隨機(jī)端口(映射到80端口：

6. 然后連接到其中一個kubernetes節(jié)點的公共IP地址/端口，例如：

7. 登錄容器，在容器內(nèi)部安裝DDos攻擊工具h(yuǎn)ping3，開始模擬攻擊：

8. 對另一個容器節(jié)點發(fā)起攻擊：

9. 打開「通知→安全事件」頁面，查看告警信息

來源：自行部署的開源安全測試環(huán)境截圖10. 告警信息有 Ping Death 攻擊容器的相關(guān)內(nèi)容，NeuVector 自動記錄該違規(guī)動作。測試期望結(jié)果和實際結(jié)果一致，威脅攻擊測試用例通過。

云原生DevSecOps

DevSecOps其實是在DevOps基礎(chǔ)上增加了Security的一個步驟，DevSecOps概念是在2012年提出來的，它把安全測試?yán)砟钊谌肓苏麄€DevOps的概念里面，在整個開發(fā)和運維的過程中都會持續(xù)地運行安全測試的相關(guān)內(nèi)容。它有幾個特性，它會和CI/CD流水線做集成，實現(xiàn)測試左移和右移。它能夠?qū)訕?biāo)準(zhǔn)的監(jiān)控告警體系，對研發(fā)和生產(chǎn)環(huán)境中運行的應(yīng)用實現(xiàn)24小時安全監(jiān)控。

圖片來源：https://www.sohu.com/a/207924559_804262

DevSecOps強(qiáng)調(diào)安全是團(tuán)隊每個人的責(zé)任，無論我們是研發(fā)測試還是運維，安全的理念要貫穿在產(chǎn)品整個生命周期當(dāng)中。它解決了安全測試的孤立性、滯后性、隨機(jī)性，覆蓋性、變更一致性等問題。通過固化流程，加強(qiáng)了不同人員的協(xié)作。通過工具和技術(shù)手段，將可以自動化重復(fù)運行的部分安全測試工作融入到整個研發(fā)體系內(nèi)，讓產(chǎn)品的安全屬性嵌入到整條的研發(fā)和運維的流水線之中。

總結(jié)

當(dāng)我們使用開源的云原生安全測試工具結(jié)合滲透測試工具、方法和手段，通過設(shè)計良好的安全測試策略，就能很好地開展云平臺基礎(chǔ)架構(gòu)合規(guī)測試、容器網(wǎng)絡(luò)安全測試、容器運行時安全測試、鏡像安全測試等云原生環(huán)境下特有的安全測試。從而了解云平臺和云上應(yīng)用存在的安全隱患和風(fēng)險，通過修復(fù)相關(guān)的安全隱患和風(fēng)險，來不斷提升我們云平臺和云上應(yīng)用的安全性。