基于容器特點和傳統(tǒng)網(wǎng)絡安全能力進行容器云安全規(guī)劃設計

基于容器特點和傳統(tǒng)網(wǎng)絡安全能力進行容器云安全規(guī)劃設計

相比于傳統(tǒng)應用而言，容器天然是弱安全的，這些不足隨著容器一起跑在企業(yè)內(nèi)網(wǎng)中，如果不能很好地識別并修復，分分鐘就會成為“馬奇諾防線”上的缺口，發(fā)生數(shù)據(jù)泄露、安全漏洞等，給企業(yè)帶來不可估量的損失。很多早期建設容器云的企業(yè)已經(jīng)深深感知到，面對容器技術的全新架構，“高筑城墻以御外敵”的傳統(tǒng)安全方案已經(jīng)不合時宜，更多的攻擊面、監(jiān)控和防護難度大、安全管控難度高，企業(yè)必須重新審視容器云環(huán)境的安全策略。容器安全防護范圍需要前移，防護粒度需要更細，也需要靜態(tài)安全與動態(tài)安全防護相結合。具體體現(xiàn)在容器的開發(fā)、部署、運行的全生命周期中，從容器云平臺的大邊界，到租戶小邊界，再往內(nèi)深入到虛擬機容器的微邊界，對10+層的潛在攻擊面進行安全防護加固，覆蓋到代碼安全審計、主機安全、鏡像安全、容器運行時安全、容器網(wǎng)絡微隔離、編排環(huán)境合規(guī)安全、容器監(jiān)控自學習引擎等領域。聯(lián)盟容器云安全課題組的目標是幫助企業(yè)健全容器安全防護工作體系，提供鏡像安全、基礎設施安全、運行時安全等能力建設參考，減少摸索時間，讓更多重要生產(chǎn)應用運行在安全的容器環(huán)境中。本期介紹聯(lián)盟容器云安全課題組階段性研究成果“容器云安全規(guī)劃”。

導讀

本文是基于筆者在容器云安全平臺應用實踐過程中對遇到的問題及方案的總結和思考，僅作為同行或朋友們在規(guī)劃容器云安全時的參考。容器作為云原生技術體系中的關鍵技術，對其的不同定位會帶來安全規(guī)劃的不同要求。云原生安全和傳統(tǒng)安全能力的需求也有不同，因此認識到容器和云原生安全的特點來規(guī)劃容器云安全，會更有針對性。本文的方案可以作為容器云安全規(guī)劃時的參考，同時需要理解筆者所整理的《你需要知道的云原生架構體系內(nèi)容》和《云原生架構實施路線圖》，才能更好的理解本文內(nèi)容。

執(zhí)筆專家汪照輝容器云安全用戶委員會委員云原生應用創(chuàng)新實踐聯(lián)盟——容器云安全方向課題組專家。專注于容器云、微服務、DevOps、數(shù)據(jù)治理、數(shù)字化轉(zhuǎn)型等領域，對相關技術有獨特的理解和見解。擅長于軟件規(guī)劃和設計，提出的“平臺融合”的觀點越來越得到認同和事實證明。發(fā)表了眾多技術文章探討容器平臺建設、微服務技術、DevOps、數(shù)字化轉(zhuǎn)型、數(shù)據(jù)治理、中臺建設等內(nèi)容，受到了廣泛關注和肯定。顧問專家羅文江容器云安全用戶委員會委員云原生應用創(chuàng)新實踐聯(lián)盟——容器云安全方向課題組組長。招商銀行云計算架構師，當前從事銀行私有云和公有云基礎設施、以及混合云架構的建設，參與包括容器云等相關云服務的規(guī)劃、技術選型、架構設計和實施，以及業(yè)務連續(xù)性等保障體系的建設工作。常青容器云安全用戶委員會委員云原生應用創(chuàng)新實踐聯(lián)盟——容器云安全方向課題組專家。任職于中國光大銀行信息科技部，主要負責項目管理和開發(fā)安全體系建設方面的相關工作。主要擅長web應用安全威脅與防治，容器云安全風險排查與評估。

越來越多的人關注云原生安全。作為云原生核心內(nèi)容的微服務、容器、DevOps的安全是構建云原生安全體系的關鍵組成部分。云原生的核心是云原生應用，而基于容器技術所構建的容器云平臺則由于其自身是云原生應用的運行和管理工具平臺，使其成為云原生安全中的核心平臺支撐。從云原生應用和云原生架構上來說，圍繞容器云平臺來構建云原生安全體系也是相對清晰、容易落地和容易實施的方案。一、容器云定位不同的人對容器云的理解和定位會有所不同。從容器為微服務應用提供的標準化的運行時環(huán)境來說，它支撐的是應用生命周期過程中的運行階段的需求。最初筆者提出的“以應用管理為核心”的容器云平臺建設思路，也在信通院剛剛發(fā)布的《云原生新一代軟件架構的變革》白皮書中的“一個中心”得到了體現(xiàn)。因此可以說容器云平臺是應用運行時的支撐和管理平臺。不過要實現(xiàn)應用的可見性、可管理性等，需要圍繞容器云平臺構建額外眾多的基礎設施工具和平臺支撐，比如日志平臺、監(jiān)控平臺、認證權限平臺、消息平臺等等。需要將容器云平臺置于整個云原生DevOps體系之中，它承擔的是應用生命周期過程中的運行階段。在這個體系中，每個平臺、組件和工具都會涉及安全的問題。而安全又分了不同的層次和機制，比如認證授權、加密解密、網(wǎng)絡防護、病毒防護、應用安全等等；采用容器又帶來了新的對象、新的流程和新的問題，比如鏡像安全、容器安全、DevOps安全等。這是一個相互關聯(lián)、相互影響而又相輔相成的一個體系。筆者一直也在思考如何來規(guī)劃容器云平臺的安全。一直想解決的一個問題是：安全團隊通過傳統(tǒng)安全工具和方法掃描出來的漏洞如何和跟應用管理人員直接關聯(lián)。采用大二層網(wǎng)絡，服務的IP對所有人是可見的。由于傳統(tǒng)網(wǎng)絡安全往往是基于IP的機制，比如防火墻、白名單設置等，而容器帶來了新的機制，容器IP往往是變化的，而服務是彈性的、可遷移的，往往不會和某個固定IP關聯(lián)。這和傳統(tǒng)的網(wǎng)絡安全管理模式是沖突的。從安全團隊角度，他們掃描出來的存在漏洞的容器由于IP的可變性無法直接和應用關聯(lián)，不得不通過容器云平臺來查詢、關聯(lián)到應用、中轉(zhuǎn)給應用運維人員。團隊之間的協(xié)調(diào)是需要時間的，往往等拿到數(shù)據(jù)，某些容器IP可能已經(jīng)變化，從而找不到這個IP了，也可能就錯失漏洞的及時修復。因此，容器云安全可能需要改變傳統(tǒng)的安全管理模式，將安全能力作為基礎設施，提供給容器云平臺上的租戶使用，自動實現(xiàn)漏洞的掃描和通知，由租戶自服務完成漏洞的修復。這樣則可以簡化并提升容器安全問題處理效率。二、容器安全基礎設施傳統(tǒng)網(wǎng)絡安全和云原生安全的模式是有區(qū)別的，在云原生架構中，安全是作為基礎設施能力，需要具備協(xié)助應用應對威脅、消除漏洞、增強防護力等能力。在規(guī)劃設計云原生或容器云安全時，可能需要考慮幾個原則：1.可見性、可觀察性容器由于其彈性、生命周期短等特征，需要實現(xiàn)詳細的監(jiān)控和可視化能力，能夠時時看到容器的運行狀況和歷史變化情況。這樣對業(yè)務應用運維管理人員來說，在遇到問題時才能快速的定位和分析根因。這也是筆者一再強調(diào)日志、監(jiān)控等基礎平臺建設的原因之一。2.可隔離性、可阻斷性容器由于其輕量性，可能會有眾多容器在運行，為容器的管理和維護帶來挑戰(zhàn)。除了要通過構建可見性、可觀察性能力，還需要在遇到安全異常時能夠隔離容器、阻斷入侵?？吹玫讲拍芄艿米?，實現(xiàn)手動或自動的容器隔離或容器網(wǎng)絡隔離，從而減少或降低安全風險。3.自服務性自服務能力是云原生基礎設施的關鍵能力要求。應用通過基礎設施的自服務能力，才可以敏捷的實現(xiàn)應用的配置管理和調(diào)度運行等。安全的自服務能力將減少應用團隊與基礎設施團隊的交互，從而提升了業(yè)務應用的響應能力。從中臺架構來說，安全能力可以提取為公共的技術服務，可以作為技術中臺服務能力的一部分。比如說認證方式（多因子動態(tài)認證）、權限管理、加密解密、漏洞掃描、合規(guī)檢測、病毒防護等等。從不同的視角、不同的架構看，這樣的規(guī)劃設計都是可行的、合理的。三、容器云安全規(guī)劃容器云安全規(guī)劃可以考慮從應用生命周期過程和應用資源調(diào)度管理層次進行劃分，從而實現(xiàn)網(wǎng)格化安全管控能力。橫向分段基于DevOps應用生命周期過程，可以將容器安全分為兩段：開發(fā)階段和運行階段。開發(fā)階段完成應用設計、編碼、單元測試和構建，輸出鏡像。在這個階段最重要的是盡可能消除安全漏洞，因此需要做到安全左移。運行階段的核心是保障業(yè)務應用的安全穩(wěn)定運行。雖然安全左移盡可能消除潛在的安全隱患，但運行階段該有的安全措施一樣也不能少。漏洞和入侵威脅時時都可能發(fā)生，另外容器機制所帶來的運維機制的變化要求下層能力對上層需求提供自服務能力，從而實現(xiàn)敏捷的響應，做到運行階段自服務、自適應。某廠商安全提出的一體兩面四個環(huán)節(jié)N項能力的容器云安全體系非常值得參考。在構建容器云平臺時，筆者提出了“以鏡像倉庫為媒介”，將鏡像作為容器應用標準化輸出，這樣就把開發(fā)階段和測試、生產(chǎn)進行了明確分段。測試、生產(chǎn)環(huán)境都是以容器云平臺來支撐和管理應用運行，因此應用部署于容器云平臺上測試，也可以看作運行階段的一部分。生產(chǎn)追求的是更穩(wěn)定安全的運行。1）開發(fā)階段（Dev），遵循“安全左移”，做到交付安全開發(fā)階段交付的鏡像是安全的。這需要將傳統(tǒng)的安全能力左移，通過開發(fā)階段的安全檢查和檢測，及時修復潛在的安全問題，減少攻擊面，將安全隱患消滅在部署運行之前，做到“交付安全、上線即安全”，而不是把安全問題都留到生產(chǎn)環(huán)境中去進行解決。安全左移核心是做安全管理，以鏡像為標準化交付物，以鏡像倉庫為媒介，實現(xiàn)開發(fā)、測試、生產(chǎn)節(jié)點的安全管控。在實際落地的時候通過在軟件生命周期過程中設置“安全卡點”來實現(xiàn)，以“準入”和“準出”來實現(xiàn)安全管控2）運行階段（Ops），遵循“持續(xù)監(jiān)控&響應”，做到自適應安全運行階段的核心是交互式檢測和實時防護。雖然安全左移盡可能消除了安全隱患，但容器應用運行時環(huán)境依然會存在很多潛在安全問題，比如說容器虛擬化或者物理服務器節(jié)點漏洞、網(wǎng)絡入侵、病毒入侵等。因此在運行階段需要實現(xiàn)持續(xù)的安全監(jiān)控和實時響應，能夠?qū)崿F(xiàn)自服務和自適應安全能力。持續(xù)監(jiān)控和響應首先要做到“心中有數(shù)”，對自己的容器云平臺的資產(chǎn)做到一目了然，看得見；然后對這些資產(chǎn)運行狀態(tài)和運行情況也要看得清、能檢測；在出現(xiàn)異常時能夠有工具、有手段可用。需要將傳統(tǒng)網(wǎng)絡安全的能力通過接口等方式暴露給容器云平臺，無縫融合在一起，使容器云平臺可以以自服務的形式實現(xiàn)安全資產(chǎn)可見、自動化交互防護、異常隔離、入侵檢測、溯源分析等。雖然使用的是傳統(tǒng)的安全手段和能力，但卻面向的不是傳統(tǒng)的網(wǎng)絡安全人員，也不是以傳統(tǒng)網(wǎng)絡域和網(wǎng)絡IP進行管理，容器云運行階段更重要的對應用管理人員提供安全服務能力，同時由網(wǎng)絡安全人員提供后援支持?？v向分層基于資源層次和類型可以將容器云安全分為網(wǎng)絡層安全、節(jié)點安全、容器/服務實例層安全、平臺工具層（基礎設施）安全、應用安全五個層次?？v向分層也是DevOps組織設計職責劃分的參考。容器云可采用二層或三層網(wǎng)絡，不同的網(wǎng)絡模式安全防護上會有不同，不過整體思路是一致的。網(wǎng)絡層安全和節(jié)點/主機安全要基于傳統(tǒng)的網(wǎng)絡安全能力。不過傳統(tǒng)網(wǎng)絡域管理可能會對不同域的容器云集群或節(jié)點管理帶來一些麻煩，相當于要實現(xiàn)虛實混合的網(wǎng)絡管理；容器安全主要是圍繞應用運行時的防護和檢測；容器云平臺和基礎設施工具可以作為獨立的組件實現(xiàn)安全能力；應用層安全則從業(yè)務應用角度來考慮，比如應用訪問授權、通信加密、防SQL注入、API接口安全等等。1）網(wǎng)絡層安全（網(wǎng)絡安全）網(wǎng)絡層安全并不只是指容器網(wǎng)絡。容器網(wǎng)絡相對要簡單些，不過目前大多數(shù)公司的容器云平臺都難以獨立于傳統(tǒng)網(wǎng)絡。比如說多集群可能跨機房、跨網(wǎng)段，容器虛擬網(wǎng)絡和公司物理網(wǎng)絡相交叉，帶來了網(wǎng)絡管理和網(wǎng)絡安全管理的復雜度。這可能需要結合傳統(tǒng)網(wǎng)絡安全手段和容器網(wǎng)絡安全手段來實現(xiàn)網(wǎng)絡安全。2）節(jié)點層（節(jié)點/主機安全）容器節(jié)點層安全其實也等同于傳統(tǒng)的主機安全，和網(wǎng)絡安全緊密相關。容器以進程的方式運行在容器節(jié)點上，保障節(jié)點安全是容器安全的重要部分。節(jié)點運行時入侵檢測、病毒防護、交互測試、系統(tǒng)漏洞修復、安全更新、版本升級等是節(jié)點安全的重要工作。3）容器層/應用服務實例層(容器安全、服務安全)容器可以看作是一個輕量的操作系統(tǒng)內(nèi)核，比傳統(tǒng)應用管理多了一層封裝。容器安全需要用到傳統(tǒng)主機安全的技術和手段，比如入侵檢測、病毒查殺等，同時由于容器中運行著應用服務實例，需要對運行中的服務實例進行實時的監(jiān)控和檢測，比如有新的漏洞出現(xiàn)，漏洞庫更新，容器就可能面臨著漏洞威脅。需要實現(xiàn)鏡像安全掃描、容器漏洞檢測、容器安全隔離、入侵阻斷等能力。4）平臺工具層（基礎設施安全）容器云平臺實現(xiàn)容器的調(diào)度和管理、服務的治理和管控?？梢岳肒ubernetes的安全機制來擴展實現(xiàn)容器云平臺的安全管控能力，比如Kubernetes的認證、授權、準入機制和容器云平臺的認證、授權調(diào)度管控結合起來，不同租戶不同用戶對不同資源有不同的訪問權限。擴展開來，可以和應用層的認證、權限管理、訪問控制映射起來，使安全的訪問控制成為一體多層。5）應用層（應用安全）應用層安全需要從開發(fā)階段代碼安全檢查開始，貫穿應用整個生命周期過程。開發(fā)階段關注的是代碼安全、鏡像安全等，運行階段關注的攻擊防護、溯源分析等。和傳統(tǒng)應用安全手段沒什么區(qū)別。容器云安全規(guī)劃從縱向?qū)哟伟踩珓澐趾蜋M向生命周期階段劃分從而將安全問題網(wǎng)格化，縮小安全問題范圍，可以有針對性地采取安全措施和手段來解決存在的問題。不過容器云平臺依然有不少的問題需要解決，比如說新漏洞的修復。業(yè)務開發(fā)團隊往往基于同一個基礎鏡像來構建應用服務鏡像，如果基礎鏡像中發(fā)現(xiàn)新的漏洞，可能會影響到運行中的眾多租戶的眾多容器和服務，需要重新構建鏡像新版本，重新發(fā)布替換運行中的服務。這