基于容器特點(diǎn)和傳統(tǒng)網(wǎng)絡(luò)安全能力進(jìn)行容器云安全規(guī)劃設(shè)計(jì)

基于容器特點(diǎn)和傳統(tǒng)網(wǎng)絡(luò)安全能力進(jìn)行容器云安全規(guī)劃設(shè)計(jì)

相比于傳統(tǒng)應(yīng)用而言，容器天然是弱安全的，這些不足隨著容器一起跑在企業(yè)內(nèi)網(wǎng)中，如果不能很好地識(shí)別并修復(fù)，分分鐘就會(huì)成為“馬奇諾防線”上的缺口，發(fā)生數(shù)據(jù)泄露、安全漏洞等，給企業(yè)帶來不可估量的損失。很多早期建設(shè)容器云的企業(yè)已經(jīng)深深感知到，面對(duì)容器技術(shù)的全新架構(gòu)，“高筑城墻以御外敵”的傳統(tǒng)安全方案已經(jīng)不合時(shí)宜，更多的攻擊面、監(jiān)控和防護(hù)難度大、安全管控難度高，企業(yè)必須重新審視容器云環(huán)境的安全策略。容器安全防護(hù)范圍需要前移，防護(hù)粒度需要更細(xì)，也需要靜態(tài)安全與動(dòng)態(tài)安全防護(hù)相結(jié)合。具體體現(xiàn)在容器的開發(fā)、部署、運(yùn)行的全生命周期中，從容器云平臺(tái)的大邊界，到租戶小邊界，再往內(nèi)深入到虛擬機(jī)容器的微邊界，對(duì)10+層的潛在攻擊面進(jìn)行安全防護(hù)加固，覆蓋到代碼安全審計(jì)、主機(jī)安全、鏡像安全、容器運(yùn)行時(shí)安全、容器網(wǎng)絡(luò)微隔離、編排環(huán)境合規(guī)安全、容器監(jiān)控自學(xué)習(xí)引擎等領(lǐng)域。聯(lián)盟容器云安全課題組的目標(biāo)是幫助企業(yè)健全容器安全防護(hù)工作體系，提供鏡像安全、基礎(chǔ)設(shè)施安全、運(yùn)行時(shí)安全等能力建設(shè)參考，減少摸索時(shí)間，讓更多重要生產(chǎn)應(yīng)用運(yùn)行在安全的容器環(huán)境中。本期介紹聯(lián)盟容器云安全課題組階段性研究成果“容器云安全規(guī)劃”。

導(dǎo)讀

本文是基于筆者在容器云安全平臺(tái)應(yīng)用實(shí)踐過程中對(duì)遇到的問題及方案的總結(jié)和思考，僅作為同行或朋友們?cè)谝?guī)劃容器云安全時(shí)的參考。容器作為云原生技術(shù)體系中的關(guān)鍵技術(shù)，對(duì)其的不同定位會(huì)帶來安全規(guī)劃的不同要求。云原生安全和傳統(tǒng)安全能力的需求也有不同，因此認(rèn)識(shí)到容器和云原生安全的特點(diǎn)來規(guī)劃容器云安全，會(huì)更有針對(duì)性。本文的方案可以作為容器云安全規(guī)劃時(shí)的參考，同時(shí)需要理解筆者所整理的《你需要知道的云原生架構(gòu)體系內(nèi)容》和《云原生架構(gòu)實(shí)施路線圖》，才能更好的理解本文內(nèi)容。

執(zhí)筆專家汪照輝容器云安全用戶委員會(huì)委員云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟——容器云安全方向課題組專家。專注于容器云、微服務(wù)、DevOps、數(shù)據(jù)治理、數(shù)字化轉(zhuǎn)型等領(lǐng)域，對(duì)相關(guān)技術(shù)有獨(dú)特的理解和見解。擅長(zhǎng)于軟件規(guī)劃和設(shè)計(jì)，提出的“平臺(tái)融合”的觀點(diǎn)越來越得到認(rèn)同和事實(shí)證明。發(fā)表了眾多技術(shù)文章探討容器平臺(tái)建設(shè)、微服務(wù)技術(shù)、DevOps、數(shù)字化轉(zhuǎn)型、數(shù)據(jù)治理、中臺(tái)建設(shè)等內(nèi)容，受到了廣泛關(guān)注和肯定。顧問專家羅文江容器云安全用戶委員會(huì)委員云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟——容器云安全方向課題組組長(zhǎng)。招商銀行云計(jì)算架構(gòu)師，當(dāng)前從事銀行私有云和公有云基礎(chǔ)設(shè)施、以及混合云架構(gòu)的建設(shè)，參與包括容器云等相關(guān)云服務(wù)的規(guī)劃、技術(shù)選型、架構(gòu)設(shè)計(jì)和實(shí)施，以及業(yè)務(wù)連續(xù)性等保障體系的建設(shè)工作。常青容器云安全用戶委員會(huì)委員云原生應(yīng)用創(chuàng)新實(shí)踐聯(lián)盟——容器云安全方向課題組專家。任職于中國(guó)光大銀行信息科技部，主要負(fù)責(zé)項(xiàng)目管理和開發(fā)安全體系建設(shè)方面的相關(guān)工作。主要擅長(zhǎng)web應(yīng)用安全威脅與防治，容器云安全風(fēng)險(xiǎn)排查與評(píng)估。

越來越多的人關(guān)注云原生安全。作為云原生核心內(nèi)容的微服務(wù)、容器、DevOps的安全是構(gòu)建云原生安全體系的關(guān)鍵組成部分。云原生的核心是云原生應(yīng)用，而基于容器技術(shù)所構(gòu)建的容器云平臺(tái)則由于其自身是云原生應(yīng)用的運(yùn)行和管理工具平臺(tái)，使其成為云原生安全中的核心平臺(tái)支撐。從云原生應(yīng)用和云原生架構(gòu)上來說，圍繞容器云平臺(tái)來構(gòu)建云原生安全體系也是相對(duì)清晰、容易落地和容易實(shí)施的方案。一、容器云定位不同的人對(duì)容器云的理解和定位會(huì)有所不同。從容器為微服務(wù)應(yīng)用提供的標(biāo)準(zhǔn)化的運(yùn)行時(shí)環(huán)境來說，它支撐的是應(yīng)用生命周期過程中的運(yùn)行階段的需求。最初筆者提出的“以應(yīng)用管理為核心”的容器云平臺(tái)建設(shè)思路，也在信通院剛剛發(fā)布的《云原生新一代軟件架構(gòu)的變革》白皮書中的“一個(gè)中心”得到了體現(xiàn)。因此可以說容器云平臺(tái)是應(yīng)用運(yùn)行時(shí)的支撐和管理平臺(tái)。不過要實(shí)現(xiàn)應(yīng)用的可見性、可管理性等，需要圍繞容器云平臺(tái)構(gòu)建額外眾多的基礎(chǔ)設(shè)施工具和平臺(tái)支撐，比如日志平臺(tái)、監(jiān)控平臺(tái)、認(rèn)證權(quán)限平臺(tái)、消息平臺(tái)等等。需要將容器云平臺(tái)置于整個(gè)云原生DevOps體系之中，它承擔(dān)的是應(yīng)用生命周期過程中的運(yùn)行階段。在這個(gè)體系中，每個(gè)平臺(tái)、組件和工具都會(huì)涉及安全的問題。而安全又分了不同的層次和機(jī)制，比如認(rèn)證授權(quán)、加密解密、網(wǎng)絡(luò)防護(hù)、病毒防護(hù)、應(yīng)用安全等等；采用容器又帶來了新的對(duì)象、新的流程和新的問題，比如鏡像安全、容器安全、DevOps安全等。這是一個(gè)相互關(guān)聯(lián)、相互影響而又相輔相成的一個(gè)體系。筆者一直也在思考如何來規(guī)劃容器云平臺(tái)的安全。一直想解決的一個(gè)問題是：安全團(tuán)隊(duì)通過傳統(tǒng)安全工具和方法掃描出來的漏洞如何和跟應(yīng)用管理人員直接關(guān)聯(lián)。采用大二層網(wǎng)絡(luò)，服務(wù)的IP對(duì)所有人是可見的。由于傳統(tǒng)網(wǎng)絡(luò)安全往往是基于IP的機(jī)制，比如防火墻、白名單設(shè)置等，而容器帶來了新的機(jī)制，容器IP往往是變化的，而服務(wù)是彈性的、可遷移的，往往不會(huì)和某個(gè)固定IP關(guān)聯(lián)。這和傳統(tǒng)的網(wǎng)絡(luò)安全管理模式是沖突的。從安全團(tuán)隊(duì)角度，他們掃描出來的存在漏洞的容器由于IP的可變性無法直接和應(yīng)用關(guān)聯(lián)，不得不通過容器云平臺(tái)來查詢、關(guān)聯(lián)到應(yīng)用、中轉(zhuǎn)給應(yīng)用運(yùn)維人員。團(tuán)隊(duì)之間的協(xié)調(diào)是需要時(shí)間的，往往等拿到數(shù)據(jù)，某些容器IP可能已經(jīng)變化，從而找不到這個(gè)IP了，也可能就錯(cuò)失漏洞的及時(shí)修復(fù)。因此，容器云安全可能需要改變傳統(tǒng)的安全管理模式，將安全能力作為基礎(chǔ)設(shè)施，提供給容器云平臺(tái)上的租戶使用，自動(dòng)實(shí)現(xiàn)漏洞的掃描和通知，由租戶自服務(wù)完成漏洞的修復(fù)。這樣則可以簡(jiǎn)化并提升容器安全問題處理效率。二、容器安全基礎(chǔ)設(shè)施傳統(tǒng)網(wǎng)絡(luò)安全和云原生安全的模式是有區(qū)別的，在云原生架構(gòu)中，安全是作為基礎(chǔ)設(shè)施能力，需要具備協(xié)助應(yīng)用應(yīng)對(duì)威脅、消除漏洞、增強(qiáng)防護(hù)力等能力。在規(guī)劃設(shè)計(jì)云原生或容器云安全時(shí)，可能需要考慮幾個(gè)原則：1.可見性、可觀察性容器由于其彈性、生命周期短等特征，需要實(shí)現(xiàn)詳細(xì)的監(jiān)控和可視化能力，能夠時(shí)時(shí)看到容器的運(yùn)行狀況和歷史變化情況。這樣對(duì)業(yè)務(wù)應(yīng)用運(yùn)維管理人員來說，在遇到問題時(shí)才能快速的定位和分析根因。這也是筆者一再強(qiáng)調(diào)日志、監(jiān)控等基礎(chǔ)平臺(tái)建設(shè)的原因之一。2.可隔離性、可阻斷性容器由于其輕量性，可能會(huì)有眾多容器在運(yùn)行，為容器的管理和維護(hù)帶來挑戰(zhàn)。除了要通過構(gòu)建可見性、可觀察性能力，還需要在遇到安全異常時(shí)能夠隔離容器、阻斷入侵。看得到才能管得住，實(shí)現(xiàn)手動(dòng)或自動(dòng)的容器隔離或容器網(wǎng)絡(luò)隔離，從而減少或降低安全風(fēng)險(xiǎn)。3.自服務(wù)性自服務(wù)能力是云原生基礎(chǔ)設(shè)施的關(guān)鍵能力要求。應(yīng)用通過基礎(chǔ)設(shè)施的自服務(wù)能力，才可以敏捷的實(shí)現(xiàn)應(yīng)用的配置管理和調(diào)度運(yùn)行等。安全的自服務(wù)能力將減少應(yīng)用團(tuán)隊(duì)與基礎(chǔ)設(shè)施團(tuán)隊(duì)的交互，從而提升了業(yè)務(wù)應(yīng)用的響應(yīng)能力。從中臺(tái)架構(gòu)來說，安全能力可以提取為公共的技術(shù)服務(wù)，可以作為技術(shù)中臺(tái)服務(wù)能力的一部分。比如說認(rèn)證方式（多因子動(dòng)態(tài)認(rèn)證）、權(quán)限管理、加密解密、漏洞掃描、合規(guī)檢測(cè)、病毒防護(hù)等等。從不同的視角、不同的架構(gòu)看，這樣的規(guī)劃設(shè)計(jì)都是可行的、合理的。三、容器云安全規(guī)劃容器云安全規(guī)劃可以考慮從應(yīng)用生命周期過程和應(yīng)用資源調(diào)度管理層次進(jìn)行劃分，從而實(shí)現(xiàn)網(wǎng)格化安全管控能力。橫向分段基于DevOps應(yīng)用生命周期過程，可以將容器安全分為兩段：開發(fā)階段和運(yùn)行階段。開發(fā)階段完成應(yīng)用設(shè)計(jì)、編碼、單元測(cè)試和構(gòu)建，輸出鏡像。在這個(gè)階段最重要的是盡可能消除安全漏洞，因此需要做到安全左移。運(yùn)行階段的核心是保障業(yè)務(wù)應(yīng)用的安全穩(wěn)定運(yùn)行。雖然安全左移盡可能消除潛在的安全隱患，但運(yùn)行階段該有的安全措施一樣也不能少。漏洞和入侵威脅時(shí)時(shí)都可能發(fā)生，另外容器機(jī)制所帶來的運(yùn)維機(jī)制的變化要求下層能力對(duì)上層需求提供自服務(wù)能力，從而實(shí)現(xiàn)敏捷的響應(yīng)，做到運(yùn)行階段自服務(wù)、自適應(yīng)。某廠商安全提出的一體兩面四個(gè)環(huán)節(jié)N項(xiàng)能力的容器云安全體系非常值得參考。在構(gòu)建容器云平臺(tái)時(shí)，筆者提出了“以鏡像倉庫為媒介”，將鏡像作為容器應(yīng)用標(biāo)準(zhǔn)化輸出，這樣就把開發(fā)階段和測(cè)試、生產(chǎn)進(jìn)行了明確分段。測(cè)試、生產(chǎn)環(huán)境都是以容器云平臺(tái)來支撐和管理應(yīng)用運(yùn)行，因此應(yīng)用部署于容器云平臺(tái)上測(cè)試，也可以看作運(yùn)行階段的一部分。生產(chǎn)追求的是更穩(wěn)定安全的運(yùn)行。1）開發(fā)階段（Dev），遵循“安全左移”，做到交付安全開發(fā)階段交付的鏡像是安全的。這需要將傳統(tǒng)的安全能力左移，通過開發(fā)階段的安全檢查和檢測(cè)，及時(shí)修復(fù)潛在的安全問題，減少攻擊面，將安全隱患消滅在部署運(yùn)行之前，做到“交付安全、上線即安全”，而不是把安全問題都留到生產(chǎn)環(huán)境中去進(jìn)行解決。安全左移核心是做安全管理，以鏡像為標(biāo)準(zhǔn)化交付物，以鏡像倉庫為媒介，實(shí)現(xiàn)開發(fā)、測(cè)試、生產(chǎn)節(jié)點(diǎn)的安全管控。在實(shí)際落地的時(shí)候通過在軟件生命周期過程中設(shè)置“安全卡點(diǎn)”來實(shí)現(xiàn)，以“準(zhǔn)入”和“準(zhǔn)出”來實(shí)現(xiàn)安全管控2）運(yùn)行階段（Ops），遵循“持續(xù)監(jiān)控&響應(yīng)”，做到自適應(yīng)安全運(yùn)行階段的核心是交互式檢測(cè)和實(shí)時(shí)防護(hù)。雖然安全左移盡可能消除了安全隱患，但容器應(yīng)用運(yùn)行時(shí)環(huán)境依然會(huì)存在很多潛在安全問題，比如說容器虛擬化或者物理服務(wù)器節(jié)點(diǎn)漏洞、網(wǎng)絡(luò)入侵、病毒入侵等。因此在運(yùn)行階段需要實(shí)現(xiàn)持續(xù)的安全監(jiān)控和實(shí)時(shí)響應(yīng)，能夠?qū)崿F(xiàn)自服務(wù)和自適應(yīng)安全能力。持續(xù)監(jiān)控和響應(yīng)首先要做到“心中有數(shù)”，對(duì)自己的容器云平臺(tái)的資產(chǎn)做到一目了然，看得見；然后對(duì)這些資產(chǎn)運(yùn)行狀態(tài)和運(yùn)行情況也要看得清、能檢測(cè)；在出現(xiàn)異常時(shí)能夠有工具、有手段可用。需要將傳統(tǒng)網(wǎng)絡(luò)安全的能力通過接口等方式暴露給容器云平臺(tái)，無縫融合在一起，使容器云平臺(tái)可以以自服務(wù)的形式實(shí)現(xiàn)安全資產(chǎn)可見、自動(dòng)化交互防護(hù)、異常隔離、入侵檢測(cè)、溯源分析等。雖然使用的是傳統(tǒng)的安全手段和能力，但卻面向的不是傳統(tǒng)的網(wǎng)絡(luò)安全人員，也不是以傳統(tǒng)網(wǎng)絡(luò)域和網(wǎng)絡(luò)IP進(jìn)行管理，容器云運(yùn)行階段更重要的對(duì)應(yīng)用管理人員提供安全服務(wù)能力，同時(shí)由網(wǎng)絡(luò)安全人員提供后援支持?？v向分層基于資源層次和類型可以將容器云安全分為網(wǎng)絡(luò)層安全、節(jié)點(diǎn)安全、容器/服務(wù)實(shí)例層安全、平臺(tái)工具層（基礎(chǔ)設(shè)施）安全、應(yīng)用安全五個(gè)層次?？v向分層也是DevOps組織設(shè)計(jì)職責(zé)劃分的參考。容器云可采用二層或三層網(wǎng)絡(luò)，不同的網(wǎng)絡(luò)模式安全防護(hù)上會(huì)有不同，不過整體思路是一致的。網(wǎng)絡(luò)層安全和節(jié)點(diǎn)/主機(jī)安全要基于傳統(tǒng)的網(wǎng)絡(luò)安全能力。不過傳統(tǒng)網(wǎng)絡(luò)域管理可能會(huì)對(duì)不同域的容器云集群或節(jié)點(diǎn)管理帶來一些麻煩，相當(dāng)于要實(shí)現(xiàn)虛實(shí)混合的網(wǎng)絡(luò)管理；容器安全主要是圍繞應(yīng)用運(yùn)行時(shí)的防護(hù)和檢測(cè)；容器云平臺(tái)和基礎(chǔ)設(shè)施工具可以作為獨(dú)立的組件實(shí)現(xiàn)安全能力；應(yīng)用層安全則從業(yè)務(wù)應(yīng)用角度來考慮，比如應(yīng)用訪問授權(quán)、通信加密、防SQL注入、API接口安全等等。1）網(wǎng)絡(luò)層安全（網(wǎng)絡(luò)安全）網(wǎng)絡(luò)層安全并不只是指容器網(wǎng)絡(luò)。容器網(wǎng)絡(luò)相對(duì)要簡(jiǎn)單些，不過目前大多數(shù)公司的容器云平臺(tái)都難以獨(dú)立于傳統(tǒng)網(wǎng)絡(luò)。比如說多集群可能跨機(jī)房、跨網(wǎng)段，容器虛擬網(wǎng)絡(luò)和公司物理網(wǎng)絡(luò)相交叉，帶來了網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全管理的復(fù)雜度。這可能需要結(jié)合傳統(tǒng)網(wǎng)絡(luò)安全手段和容器網(wǎng)絡(luò)安全手段來實(shí)現(xiàn)網(wǎng)絡(luò)安全。2）節(jié)點(diǎn)層（節(jié)點(diǎn)/主機(jī)安全）容器節(jié)點(diǎn)層安全其實(shí)也等同于傳統(tǒng)的主機(jī)安全，和網(wǎng)絡(luò)安全緊密相關(guān)。容器以進(jìn)程的方式運(yùn)行在容器節(jié)點(diǎn)上，保障節(jié)點(diǎn)安全是容器安全的重要部分。節(jié)點(diǎn)運(yùn)行時(shí)入侵檢測(cè)、病毒防護(hù)、交互測(cè)試、系統(tǒng)漏洞修復(fù)、安全更新、版本升級(jí)等是節(jié)點(diǎn)安全的重要工作。3）容器層/應(yīng)用服務(wù)實(shí)例層(容器安全、服務(wù)安全)容器可以看作是一個(gè)輕量的操作系統(tǒng)內(nèi)核，比傳統(tǒng)應(yīng)用管理多了一層封裝。容器安全需要用到傳統(tǒng)主機(jī)安全的技術(shù)和手段，比如入侵檢測(cè)、病毒查殺等，同時(shí)由于容器中運(yùn)行著應(yīng)用服務(wù)實(shí)例，需要對(duì)運(yùn)行中的服務(wù)實(shí)例進(jìn)行實(shí)時(shí)的監(jiān)控和檢測(cè)，比如有新的漏洞出現(xiàn)，漏洞庫更新，容器就可能面臨著漏洞威脅。需要實(shí)現(xiàn)鏡像安全掃描、容器漏洞檢測(cè)、容器安全隔離、入侵阻斷等能力。4）平臺(tái)工具層（基礎(chǔ)設(shè)施安全）容器云平臺(tái)實(shí)現(xiàn)容器的調(diào)度和管理、服務(wù)的治理和管控?？梢岳肒ubernetes的安全機(jī)制來擴(kuò)展實(shí)現(xiàn)容器云平臺(tái)的安全管控能力，比如Kubernetes的認(rèn)證、授權(quán)、準(zhǔn)入機(jī)制和容器云平臺(tái)的認(rèn)證、授權(quán)調(diào)度管控結(jié)合起來，不同租戶不同用戶對(duì)不同資源有不同的訪問權(quán)限。擴(kuò)展開來，可以和應(yīng)用層的認(rèn)證、權(quán)限管理、訪問控制映射起來，使安全的訪問控制成為一體多層。5）應(yīng)用層（應(yīng)用安全）應(yīng)用層安全需要從開發(fā)階段代碼安全檢查開始，貫穿應(yīng)用整個(gè)生命周期過程。開發(fā)階段關(guān)注的是代碼安全、鏡像安全等，運(yùn)行階段關(guān)注的攻擊防護(hù)、溯源分析等。和傳統(tǒng)應(yīng)用安全手段沒什么區(qū)別。容器云安全規(guī)劃從縱向?qū)哟伟踩珓澐趾蜋M向生命周期階段劃分從而將安全問題網(wǎng)格化，縮小安全問題范圍，可以有針對(duì)性地采取安全措施和手段來解決存在的問題。不過容器云平臺(tái)依然有不少的問題需要解決，比如說新漏洞的修復(fù)。業(yè)務(wù)開發(fā)團(tuán)隊(duì)往往基于同一個(gè)基礎(chǔ)鏡像來構(gòu)建應(yīng)用服務(wù)鏡像，如果基礎(chǔ)鏡像中發(fā)現(xiàn)新的漏洞，可能會(huì)影響到運(yùn)行中的眾多租戶的眾多容器和服務(wù)，需要重新構(gòu)建鏡像新版本，重新發(fā)布替換運(yùn)行中的服務(wù)。這