云原生安全風(fēng)險

隨著云原生架構(gòu)的快速發(fā)展，核心能力逐漸穩(wěn)定，安全問題日趨緊急。在云原生安全領(lǐng)域不但有新技術(shù)帶來的新風(fēng)險，傳統(tǒng)IT基礎(chǔ)設(shè)施下的安全威脅也依然存在。要想做好云原生安全，就要從這兩個方面分別進行分析和解決。

新技術(shù)帶來新的安全風(fēng)險

云原生的概念定義本身就比較抽象，從誕生到現(xiàn)在也經(jīng)歷了多次變化。2018年CNCF對云原生的概念進行了重定義：云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動態(tài)環(huán)境中，構(gòu)建和運行可彈性擴展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式API。雖然這是云原生概念最新的定義，但是不同的人對云原生的抽象概念理解相差很大，一直在不斷地爭論。狹義的理解直接套用定義，認為定義之外的技術(shù)不屬于云原生。廣義的理解則認為定義不夠貼切，應(yīng)該從字面含義進行理解，認為只要是能利用云的特性，在軟件工程各階段提高效率，降低成本的行為、技術(shù)，都可以認為是云原生。

從普遍認知來看，云原生主要包括kubernetes和容器、微服務(wù)、云基礎(chǔ)設(shè)施，其中kubernetes和容器在某種程度上已經(jīng)是云原生的代名詞。其中kubernetes和容器作為云原生時代的典型技術(shù)，也是帶來風(fēng)險最多的技術(shù)，包括：kubernetes組件漏洞、認證鑒權(quán)不規(guī)范、公開鏡像存在漏洞、鏡像被植入惡意程序、容器隔離被突破造成逃逸等。微服務(wù)在云原生時代快速發(fā)展，在內(nèi)部風(fēng)險無法防范的時候會擴大安全風(fēng)險，造成橫向攻擊擴散。

傳統(tǒng)IT基礎(chǔ)設(shè)施的威脅依然存在

云原生不能脫離底層IT基礎(chǔ)設(shè)施：計算、存儲、網(wǎng)絡(luò)而存在，因此這些IT基礎(chǔ)設(shè)施面臨的問題在云原生場景下依然存在。DDoS攻擊防護、cc攻擊防護、漏洞、木馬、病毒、數(shù)據(jù)泄露等等安全風(fēng)險，并沒有因為云原生的發(fā)展而降低。

云原生安全構(gòu)建

在云原生安全早期，人們的慣性思維就是利用傳統(tǒng)的安全防護手段去進行云原生安全防護。經(jīng)過這么多年的攻防對抗，傳統(tǒng)產(chǎn)品在各自的領(lǐng)域都已經(jīng)身經(jīng)百戰(zhàn)，解決對應(yīng)的安全問題也都不在話下，這些安全產(chǎn)品通過簡單地改造，就可以與云原生架構(gòu)配合運行。

積木式云原生安全

這個階段云原生安全并不存在一個完整的架構(gòu)，各安全產(chǎn)品就像搭積木一樣跟云原生架構(gòu)進行配合。隨著這個安全體系的構(gòu)建，工程師門很快就發(fā)現(xiàn)，安全并沒有因為云原生的到來發(fā)生什么改變，這種搭積木式的云原生安全方案，從遠處看各方面的安全都能有，方案也很完整。但是從近處看就能看到安全產(chǎn)品之間基本沒有聯(lián)系，使用起來并沒有什么改變，似乎安全和云原生就是兩個獨立的領(lǐng)域，無法支撐云原生快速發(fā)展的安全防護需求。

裝配式云原生安全

隨著在云原生安全方向上的深入研究，人們發(fā)現(xiàn)安全+云原生并不是簡單組合一下就能變成云原生安全。要想做好云原生安全，就必須按照云原生的思想去思考安全問題怎么解決，云原生安全應(yīng)該是一個整體，而不是各個割裂的安全產(chǎn)品。Gartner認為，全面保護云原生應(yīng)用需要使用來自多個供應(yīng)商的多種工具，這些工具很少得到很好的集成，而且通常只為安全專業(yè)人員設(shè)計，而不是與開發(fā)人員合作。對于組織而言，這種孤立的安全工具在面對實際安全風(fēng)險的并不太有效，而且會導(dǎo)致過多的警報、浪費開發(fā)人員的時間。在這種趨勢下，Gartner提出了CNAPP云原生應(yīng)用保護平臺，將多種安全工具緊密地結(jié)合在一起，以保護日益復(fù)雜的攻擊面。

云原生的一個底層核心理念就是拆解、組合和標(biāo)準(zhǔn)化，這其實也是軟件開發(fā)領(lǐng)域一個軟件工程師長期追求的目標(biāo)，即將業(yè)務(wù)邏輯和通用邏輯不斷拆分，通用邏輯逐漸獨立標(biāo)準(zhǔn)化，開發(fā)人員只需要關(guān)注自身業(yè)務(wù)邏輯。kubernetes從業(yè)務(wù)應(yīng)用的角度將通用邏輯拆解，解決業(yè)務(wù)場景靈活多變的問題。不可變基礎(chǔ)設(shè)施作為云原生定義的四大要素，是最容易被忽略的，但是這個理念卻是云原生能夠持續(xù)發(fā)展的核心，極大地降低了云原生的復(fù)雜度，將標(biāo)準(zhǔn)化發(fā)揮到極致。這兩個核心技術(shù)都是底層理念的表現(xiàn)。這個理念跟裝配式建筑十分類似，把傳統(tǒng)建造方式中的大量工作轉(zhuǎn)移到工廠進行，在工廠加工制作好建筑配件（如樓板、墻板、樓梯、陽臺等），運輸?shù)浇ㄖ┕がF(xiàn)場，通過可靠的連接方式在現(xiàn)場裝配安裝而成的建筑。這種方式不僅建筑速度快，工業(yè)化質(zhì)量也有保障。

裝配式云原生安全，就是按照云原生的核心理念，將各安全能力進行拆分、標(biāo)準(zhǔn)化改造、再組合。各安全能力不只是簡單的堆疊，通過云原生技術(shù)可靠地連接在一起，讓每個業(yè)務(wù)應(yīng)用從誕生開始，就具備合適的安全能力，實現(xiàn)發(fā)布即安全。相比積木式能力組合，這種方式可以讓安全和業(yè)務(wù)實現(xiàn)深入且自由地組合，形成靈活又可靠的云原生安全。

應(yīng)用按照時間維度可分為開發(fā)、測試、部署、運行、響應(yīng)，空間維度可分為主機、操作系統(tǒng)、kubernetes、容器、服務(wù)、網(wǎng)絡(luò)，從這兩個維度出發(fā)，將各種安全能力進行拆解和組合，通過統(tǒng)一的云原生安全平臺進行管理，真正將安全和業(yè)務(wù)的各個階段都能緊密地連接在一起，才能形成真正的云原生安全。

作者：京東科技 李卓嘉

來源：京東云開發(fā)者社區(qū)