被监控偷拍，网络诈骗！网络安全的未来是云原生安全，深度好文

成员几百乃至几千人的社交群，群里“静悄悄”，因为群主开启了全体禁言模式，但群里很多人都显示“在线”。时不时，群管理员发送一些视频图片至群里，内容不堪入目

各种诈骗层出不穷比如电信、快递、刷单、兼职等等

图片来源：抖音用户：@TOM表哥，也是B站UP主 通过IT技术把骗子送进监狱,为技术大佬打Call！！！

云厂商被约谈背后存在的接入涉诈网站数量居高不下

其实是指诈骗网站的服务采用了云厂商的服务，通过这些云厂商注册域名和解析DNS。

强调云厂商要主动防范查处，严格执行网络审查，不能为非法行为提供服务。

网络安全未来主场势必是云原生安全，分享好文如下：

云计算的概念提出至今已近15年。起初，业界大多将云计算架构分为基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。

这种基于虚拟主机(VM)的虚拟化技术从IT架构的角度来看是清晰但有局限性的，因为它并不是完全从应用和业务的角度来看。容器虚拟化技术普及后，从云应用的角度出发，开发出一种专门为云计算设计的新架构，以容器化、微服务、开发运营集成(DevOps)和持续交付为主要元素。这种架构是云原生的。

云原创制作产业联盟(CNIA)在《2020 年云原生发展白皮书》上指出，2019年中国云原创市场规模已达350.2亿元。

云原生市场的快速发展依赖于其相对于传统云技术的重要优势。

从技术特性来看，cloud native具有极致的灵活性、服务自主性、故障自愈能力和大规模可复制性；从应用价值来看，云原生异构资源的标准化加速了数字基础设施生产力的解放，提高了业务应用的迭代速度，在使能业务创新方面具有重要价值；从产业效用来看，云原生极大地释放了云的红利，成为驱动业务的重要引擎。

云原生凭借其技术优势和不断拓展的应用场景，逐渐普及到各行各业的敏捷开发和业务创新。可以说是“云原生在吞噬一切”。

图1: 云原生正在吞噬一切

一、云原生安全的特点

作为云计算的未来阶段，云原生的安全势必成为云安全的主战场。

云原生安全的要求主要体现在两个方面。第一，新组件面临新的风险，比如容器的隔离性不如虚拟机(VM)，更容易逃脱攻击等等，所以需要新的产品和解决方案。第二，传统的云安全需求(如访问控制)需要在新架构中进行改进，以适应新架构。

在之前的云计算时代，安全与云平台的结合并不紧密，大多以安全资源池的形式实现云安全。而云原生安全需要安全能力和云原生平台的紧密结合，真正成为内生安全。这将是云安全的巨大挑战和机遇。

（一）不可变的基础设施

“不可变基础设施”是云原生中一个非常重要的概念。可以说是云原生整个架构的核心思想，其贡献不亚于应用商店对智能手机的贡献。对容器实例的云端更新是一种替换，而不是修改。这种方式保证了多个实例之间的一致性，有利于应用的灵活扩展。为了解决效率问题，cloud native使用编排工具、微服务架构和DevOps来保证替换的效率。相应的，“不可改变的基础设施”也带来了安全防护思路的改变。

1. 资产识别的变化

打包映像时，容器中包含的软件及其操作模式已经确定。镜像是一套完整的软件包。通过识别容器中的应用程序等资产，您可以了解全貌。基于不可变基础设施的理念，软件更新将生成一个全新的映像。

当容器运行时，更应注意容器的动态变化。从集群的角度来看，资产的业务属性应该通过标签、名称空间等来识别。此外，需要注意容器的运行历史。不同架构下的资产生命周期是完全不同的。物理机以年为单位，虚拟机以月为单位，容器以分钟为单位，无服务器以秒为单位。不同类型资产的特征如图2所示。

图2 ;不同类型资产的特点对比

2. 防护起点的变化

一般理解，云原生架构中的操作系统应该是基于容器技术的分布式架构解决方案Kubernetes，而不是主机操作系统(OS)。在云原生中，没有主机的概念，只有节点的概念。这个节点是一个计算单元，可以是物理机、虚拟机、物联网设备等。所以可以通过收缩风险面来实现节点这一侧的安全保护。

各大云厂商都推出了云原生专用OS，如CoreOS/Container Linux、Photon OS、RancherOS、Red Hat CoreOS (RHCOS)、Fedora CoreOS等。这些专用操作系统极其精简，只有基本的Kubernetes可以运行，需要其他所有第三方应用程序在容器中运行。这一层的安全风险可以降到最低。

通过最少授权原则，每个组织都可以基于标准操作系统制作自己的云原生OS，从而解决OS层的安全问题。在降低风险的同时降低管理成本。

所以云原生安全的起点应该是Kubernetes，从Kubernetes的容器层面向下覆盖节点安全，向上覆盖微服务安全，而不是从底层节点向上。因为节点的向上覆盖能力不足，特别是对于集群、网络策略、微服务等云原生特有组件和功能的保护。

（二）防护边界的变化

云原生的整个架构是由虚拟化技术构建的，虚拟化技术服务于云原生应用，并专注于容器。它坚持软件定义一切的理念，与传统架构相比，其边界变得更加模糊。

图3 ；不同架构的边界特点

如图3所示，在传统的数据中心(IDC)环境中，系统的边界非常清晰，以网络设备上的边界为主。外部边界由防火墙、路由器等实现。而内部边界则通过虚拟局域网等措施来保证。

因此，传统的IDC以物理网络设备为界限，区分标志主要使用物理地址(MAC)和互联网协议地址(IP)。在以虚拟机为主的云计算环境中，虚拟机是最小的单位，虚拟化网络的访问控制措施作为边界。粒度达到虚拟机级别，不同的资产用IP地址或内部域名来标识。

但是在云原生环境下，资产视角变成了业务视角和应用视角，主要是通过名称空间来分隔，而识别资产的方法主要是标签，所以整个边界变得模糊和精细。好处是业务和应用天然区分，但同时安全控制和管理更加复杂，必须调整基于IP或域名的安全保护措施。

此外，云原生控制措施基于白名单机制，包括Kubernetes支持的网络策略。云原生架构下的安全是基于零信任的思想，所以云原生架构是在生产环境下实现零信任的最佳IT架构。

（三）高度的流程化、自动化

如上所述，DevOps保证了云原生应用的发布效率，但安全保护往往与效率相冲突。在非全自动化流程中，传统安全措施对效率的影响可能并不明显。比如业务上线的安全测试和检测，一般是在质量保证(QA)完成后进行，安全测试完成后再进行上线确认。这些工作往往通过内部邮件进行传阅，对其时效性有一定的容忍度。

但是在云原生环境中，DevOps是云原生应用的生命周期管理过程，安全控制需要无缝嵌入到这个过程中，也就是目前比较流行的DevSecOps。DevSecOps作为一个大系统，除了代码安全测试，还应该包括产品库安全管理、运营安全策略等。因此，在DevOps流程中嵌入云原生安全产品或工具成为必须。

（四）全新的攻击手段

目前针对云原生的攻击种类越来越多。无论是两年前爆发的特斯拉集群入侵，还是集装箱官方镜像仓库中毒，抑或是近几年的攻防演练都是通过攻击集装箱得分，这种趋势已经被证实。

2022年，针对云原生系统的攻击开始增多。由于目前的云原生系统普遍缺乏安全防护手段，攻击成功率极高。云原生安全领域的攻防不对等比其他架构严重得多。针对云的攻击手段是独特的，因此安全组织MITRE的对策与技术知识库(ATTCK framework)推出了专门针对容器的攻击模型。

二、云原生安全典型应用案例

以小优科技服务的某股份制银行云原生安全应用案例为例，看看云原生安全的典型应用场景。该行全栈云容器平台基于IaaS私有云“两地三中心”架构，部署在北京象山、酒仙桥、武汉三个数据中心。

底层IaaS提供的节点约有2000个，运行的容器数量达到20000多个，涉及开发、测试、预生产和生产环境的Kubernetes集群近50个。全栈云容器平台上承载的业务系统有43个，包括手机银行系统、统一支付平台、金融服务开发平台、多方安全计算平台、5G网上超市系统等金融业务系统。

（一）需求描述

银行对云原生安全性的要求如下。

1. 全生命周期自适应安全

保卫所有涉及容器安全的对象，包括操作系统、Kubernetes平台、容器、容器镜像、镜像仓库、微服务。在每个资产对象的保护方案中，考虑资产清查、加固、检测、响应、预测的安全框架，形成安全运行的闭环。

2. 监测智能化

基于动态学习业务系统流程和网络流量的方法，采用机器学习技术构建安全基线模型，实现风险识别和风险态势感知。配合传统的基于规则的分析识别技术和机器学习技术，全面发现安全漏洞和风险。

3. 安全内生化

全栈云容器平台不仅提供基础运行环境，还直接集成安全能力。在创建Kubernetes集群时，防御容器以Daemonset的形式同步创建，每个集群节点运行一个防御容器来提供检测和保护功能。当集群扩展或收缩时，防御容器可以随节点数量自动调整，降低安全运维成本。

4. 流程敏捷化

基于安全向左移动的思想，实现了DevSecOps。也就是说，在软件研发阶段，会同步介入安全检查。通过支持软件全生命周期多个卡点，可以尽早暴露风险，降低安全运维成本。安全点包括文件扫描、镜像安全扫描、镜像构建入库、镜像操作拦截等。安全向左移动可以尽早发现问题，有助于降低维修成本。

5. 零信任

根据零信任、持续信任评估和动态访问控制的思想。零信任的技术路线之一是微隔离。在集装箱网络中，需要微隔离技术来降低风险。

（二）解决方案

根据银行系统的特点和需求，设计了以下云原生安全架构。

图4;云原生安全系统架构

1. 资产中心

资产中心自动收集和更新与容器相关的信息，如图像、仓库、容器、集群节点、微服务、Kubernetes配置信息等。支持每类资产数据的分层聚合显示，实现云原生资产的全面可视化，帮助用户更直观地了解云原生资产的现状，消除安全与运维之间的信息壁垒。

2. 漏洞管理

从漏洞的角度对整个风险进行梳理，形成漏洞发现、漏洞验证、漏洞修复的闭环。找到漏洞，扫描业务容器的映像和集群，获取当前漏洞列表。验证漏洞，验证漏洞以保证扫描结果的正确性。分类：根据漏洞的严重程度和相关资产的重要程度对漏洞进行分级网站安全扫描器，以便优先进行修复工作。修复验证，修复漏洞后重新扫描审计资产，确认问题已缓解。

3. 合规审计

在业务系统上线前，检查业务系统所在的容器、集群和节点的合规性，防止不安全的配置导致容器逃逸或集群入侵。在制定规范需求时，全栈云原生安全防护平台基于CIS合规性进行切割定制，并提供可视化基线检测结果和修复建议，协助用户修复不合规配置。

4. 镜像安全

作为镜像集装箱运营的基础，如果存在安全隐患和风险，将直接影响集装箱环境的安全。面对镜像中可能存在的安全问题，需要自动扫描业务环境的镜像资产，并支持手动扫描识别风险，基于策略屏蔽危险镜像，并对可写入镜像源文件的高风险镜像提供修复建议。

云原生安全防护平台支持对集装箱图像生产过程、图像运营、图像发布进行全方位监控和检测。它可以自动从节点和仓库获取图片，从官方漏洞库、木马病毒、可疑历史操作、敏感信息泄露、是否可信图片中扫描图片。

5. 容器安全

云原生安全防护平台自动学习容器的调用行为，形成容器的运行模型，同时监控容器的调用行为，当模型外的容器调用动作发生时，给出实时的警告或阻断。

容器安全平台支持检测容器中的行为。当容器发生逃逸、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时，根据预设策略触发报警或阻止容器的运行，隔离发现异常的POD。

6. 微服务安全

云原生安全防护平台提供对微服务和应用的定期检测。支持自动检测，发现Kubernetes集群中的微服务和应用编程接口(API)，并通过可视化的视角展示出来。通过可手动或定期自动发现的微服务和API扫描安全风险。

7. 集群安全

Kubernetes的很多核心组件都存在不同程度的漏洞，包括高危甚至超临界漏洞。除了包含漏洞的组件之外，不安全的配置也可能将整个集群置于风险之中。该平台支持对不同类型云的不同版本集群进行安全风险扫描，如Kubernetes版本信息泄露、匿名认证、各种可能的攻击等。

8. 网络微隔离

容器微隔离用于防止容器之间的东西攻击，减少受攻击面，自动建立和管理容器层的访问控制策略。基于容器、容器组和业务视角的超细粒度双向网络访问控制，通过双向控制、访问可视化、访问过程可追溯等功能，可以监控非法访问的轨迹，跟踪行为访问的全过程。

三、云原生安全的关注点

企业在构建云原生安全体系时，需要使用专业的云原生安全产品，包括持续的云原生安全运营。因此，企业在云原生安全建设中要注意以下三点。

（一）防御能力的有效性

容器运行时安全性应该有能力处理未知威胁和已知威胁。整体对齐MITRE的ATTCK框架，增强安全事件分析能力，通过持续运行优化配置，减少误报和漏报。随着风险准确性的提高

（二）安全的左移

在软件生命周期中，修复问题的成本越高，修复问题的成本越低。向左的举措是将更多的安全投入到开发阶段，包括安全需求分析、安全设计、安全编码、供应链的安全(软件库、开源软件等。)、形象安全等。

在云原生环境中，业务需要频繁调整和上线。安全左移的思想不仅能使DevOps团队及早发现安全风险，还能减少安全投入，提高整体安全水平，确保及时解决安全威胁。Ops是云原生的重要组成部分，所以DevSecOps也是云原生安全的重要组成部分。

（三）工具链的整合

Gartner 2021技术成熟度曲线新增了云原生应用保护平台(CNAPP)这一类别，该平台包含一组集成的安全和合规功能，旨在开发和生产过程中保护云原生应用。一些企业使用10个或更多不同的安全工具，手工将DevSecOps缝合在一起，每个工具都有自己的责任和应用程序风险视图。

在开发阶段，静态应用安全测试(SAST，俗称代码审计)、API安全测试、动态应用安全测试(DAST)、基础设施即代码(IaC)扫描和威胁建模是保护云原生应用最常用的五种工具。

在生产运营阶段，WEB应用防火墙(WAF)、WEB应用和API防护(WAAP)、应用安全监控、云工作防护平台(CWPP)和云安全态势管理(CSPM)是保护云原生应用最常用的五大工具。

如果保护云原生应用需要使用多个厂商的多种工具，显然会降低开发和运营的效率，造成风险的分散可见性。

CNAPP产品允许企业使用单一集成产品来保护云原生应用的整个生命周期。

CNAPP重构了云原生应用安全防护的思路和方法。企业不应该把开发和运营看作两个独立的部分，而应该分别使用不同的工具。他们应该将安全性和合规性视为跨越开发、运营和维护的连续统一体，并使用集成的安全工具。企业安全团队和DevSecOps架构师可以采用集成的方法来理解和降低应用程序风险。

通过在整个开发生命周期中综合考虑漏洞及其运行环境(上下文)，可以发现更多的风险，使开发团队可以专注于应用程序中风险最大的部分。

四、总 结

从基础设施的角度来看，云原生安全的发展趋势可以分为几个步骤：首先是部署容器化，然后是容器微服务，然后是服务网格，最后是无服务器。相应的安全能力建设从容器安全开始，然后开始关注微服务应用和数据安全，以及与ServiceMesh相匹配的安全能力建设。

从软件生命周期来看，云原生安全建设将更加注重DevOps开发过程中同步的安全需求设计、安全开发、安全测试、安全发布和安全运维，形成整体的DevSecOps解决方案。

随着云原生技术的普及，云原生安全将取代现有的云安全，所以未来全职讨论云安全可能指的是云原生安全。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!