快進(jìn)鍵啟動,一文帶你了解云原生時代容器安全
都說國內(nèi)需求離容器化還遠(yuǎn),更談不上關(guān)注安全,喊的熱鬧而落地困難。但總得有些聲音面向未來向前看。
在2020年Forrester IaaS安全評測中,阿里云容器安全和谷歌并列滿分,技術(shù)能力領(lǐng)跑市場。阿里云在云計(jì)算各領(lǐng)域技術(shù)一直領(lǐng)先一步,包括云原生安全,和作為其重要組成的容器安全。
本文總結(jié)了阿里云容器安全的治理能力和經(jīng)驗(yàn),呈現(xiàn)云原生時代容器安全涌現(xiàn)的新特點(diǎn)。幫助未來的你全面理解容器安全,保護(hù)生產(chǎn)環(huán)境安全。
隨著阿里云前進(jìn)的腳印,我們首先來理解容器是什么,以及容器和云原生的關(guān)系。
理解容器第一步:云原生”大樓“的底座
2010年,云原生的概念第一次在WSO2的首席技術(shù)官Paul Fremantle的博客中被提及,其后經(jīng)歷了Pivotal、CNCF等機(jī)構(gòu)的補(bǔ)充,加入了DevOps、持續(xù)交付、微服務(wù)、容器、服務(wù)網(wǎng)格(Service Mesh)、不可改變的基礎(chǔ)設(shè)施、聲明式API等技術(shù),通過這些技術(shù)可以構(gòu)建出高彈性、高虛擬化、高容錯性、自恢復(fù)、易管理的分布式架構(gòu)系統(tǒng)。
但隨著云原生所包含的概念越來越廣,任何對其的定義似乎都有管中窺豹的嫌疑。與其糾結(jié)定義的完整性,我們不妨把目光轉(zhuǎn)向云原生給企業(yè)帶來的好處和改變。
總結(jié)精煉四個關(guān)鍵詞:低成本、高可用、高安全、高效率。
低成本
企業(yè)服務(wù)器成本和虛擬損耗大幅減少。從物理主機(jī),到虛擬化,再到容器化,客戶不必再進(jìn)行線下機(jī)房管理、使用資源占用量高的虛擬機(jī),大大節(jié)約成本。
高可用
優(yōu)雅地解決高并發(fā)場景下容量問題。在云原生容器化時代,不封裝操作系統(tǒng)的容器,直接運(yùn)行于主機(jī)內(nèi)核之上,對系統(tǒng)資源的占用更少。加之鏡像封裝的技術(shù),可以實(shí)現(xiàn)其大規(guī)模自動化部署,配合分布式架構(gòu),彈性擴(kuò)容能力極強(qiáng)。
高安全
攻擊面減少。IDC時代,所有的應(yīng)用、進(jìn)程都在一臺服務(wù)器上運(yùn)行,一旦某個進(jìn)程被惡意突破,整個主機(jī)都面臨巨大的風(fēng)險。而在容器架構(gòu)中,單個容器中可能只有一個進(jìn)程,就算被攻擊突破,對主機(jī)的影響也有限。
高效率
云原生倡導(dǎo)DevSecOps理念,而容器化使得在開發(fā)過程中使用CI/CD(快速集成和快速部署)成為可能,極大地提升了應(yīng)用開發(fā)和程序運(yùn)行的效率。
我們不難發(fā)現(xiàn),云原生和容器之間的緊密關(guān)系。可以說,容器徹底改變了企業(yè)IT基礎(chǔ)設(shè)施的架構(gòu)方式,是搭建云原生的關(guān)鍵。
如果說云原生是一棟高樓大廈,那么容器化便是這座大樓的底座,向上支撐分布式架構(gòu)、微服務(wù)和不同工作負(fù)載,向下封裝基礎(chǔ)設(shè)施,屏蔽了底層架構(gòu)的差異性,以自身鏡像封裝、內(nèi)核共享、便利擴(kuò)容等特性,構(gòu)建了一棟云原生大廈。
隨著企業(yè)上云率不斷提升,越來越多的企業(yè)選擇在生產(chǎn)環(huán)境中使用容器架構(gòu)。
CNCF 2020年發(fā)布的報(bào)告中顯示,在生產(chǎn)中應(yīng)用容器的企業(yè)比例從去年的84%增長到今年的92%。艾瑞咨詢在《中國容器云市場研究報(bào)告》中顯示,2020年有84.7%的中國企業(yè)已經(jīng)&計(jì)劃使用容器。
但歷史的經(jīng)驗(yàn)告訴我們,所有繁榮景象之上,都懸著一把達(dá)摩克里斯之劍,Tripwire 2019年對311位IT安全專業(yè)人員進(jìn)行了調(diào)研,發(fā)現(xiàn)60%的組織都遭遇過容器安全事故,容器的背后存在著巨大的安全隱患。
理解容器風(fēng)險第二步:運(yùn)輸中的“集裝箱”
既然容器構(gòu)成了云原生這座大廈的基座,那么防護(hù)容器安全就不僅僅是防護(hù)容器的安全這么簡單。
如果我們把容器看成一個個封裝好的集裝箱,想要讓箱內(nèi)的貨物順利配送到客戶手上,那么從集裝箱的制作、安裝、打包、到運(yùn)輸箱子的貨輪、快遞配送員的安全,都需要考慮在內(nèi)。
也就是說,我們需要在整體的DevSecOps的開發(fā)流程中,考慮容器的安全:
根據(jù)上圖我們可以看到,在容器的全生命周期中,涉及到四個部分的安全風(fēng)險:
基礎(chǔ)設(shè)施
容器構(gòu)建于云平臺/服務(wù)器之上,硬件設(shè)施、內(nèi)核、云平臺的安全是容器安全的基礎(chǔ),基礎(chǔ)設(shè)施安全是容器安全的第一步。
供應(yīng)鏈
當(dāng)基礎(chǔ)平臺安全后,開發(fā)者可以在云上建立一整套DevOps的開發(fā)流程,通過容器化來提升交付效率,那么首先需要完成容器的構(gòu)建和部署。
容器內(nèi)部一般分為三層,底層為BootFS文件系統(tǒng),中層為鏡像層,上層為可改寫的容器層:
容器內(nèi)部層次
容器的構(gòu)建依賴于鏡像,鏡像由鏡像庫管理。在構(gòu)建容器過程中只需要從鏡像庫中調(diào)取鏡像即可。如果由于鏡像庫管理不當(dāng),混入了惡意鏡像,或者鏡像遭到損壞,有漏洞的鏡像沒有及時更新,鏡像的認(rèn)證和授權(quán)限制不足等,會給容器帶來巨大的安全隱患。
容器構(gòu)建完成之后,還需要對其進(jìn)行正確的部署,拿容器網(wǎng)絡(luò)來舉例,在默認(rèn)的-host的網(wǎng)絡(luò)配置下,容器運(yùn)行時默認(rèn)可以通過網(wǎng)絡(luò)訪問其他容器及主機(jī)操作系統(tǒng),一旦單個容器被入侵就可能影響到宿主機(jī)上部署的所有容器。根據(jù)StackRox的報(bào)告,配置錯誤恰恰是企業(yè)對于容器安全最擔(dān)憂的部分。
容器運(yùn)行時
容器構(gòu)建完畢之后,依賴Cgroup、Namespace、Capability等功能在內(nèi)核上實(shí)現(xiàn)互相隔離,并使用編排工具和容器運(yùn)行時組件進(jìn)行批量化管理和使用。
而編排平臺,如Kubernetes、OpenShift等,存在不少高危漏洞,根據(jù)NVD(National Vulnerablity Database)的數(shù)據(jù)統(tǒng)計(jì),光是K8S平臺被找到的CVE漏洞就有109個,其中嚴(yán)重(Critical)的漏洞有10個,高危(High)的漏洞有39個,一旦使用者沒有及時修復(fù)相關(guān)漏洞,就有可能被攻擊者利用,威脅容器安全。
應(yīng)用安全
當(dāng)我們順藤摸瓜一步步往上走,從基礎(chǔ)設(shè)施層到網(wǎng)絡(luò)層,最終到達(dá)處于最上層的應(yīng)用層,也就是容器這條船上承載的一個個“貨物”,較為容易遭受DDoS攻擊、賬號盜用、數(shù)據(jù)泄露等攻擊。
除了在整體開發(fā)流程中理解容器安全外,容器本身的特性也給安全防護(hù)帶去了不一樣的側(cè)重點(diǎn):
1、容器隔離性差
和虛擬機(jī)基于系統(tǒng)的隔離不同,容器是基于進(jìn)程的隔離,沒有明確的安全邊界, 更容易發(fā)生容器逃逸、宿主機(jī)內(nèi)核遭受攻擊的問題。
2、容器存活時間短
和傳統(tǒng)的虛擬機(jī)相比,容器具有輕量級的優(yōu)勢,可以快速部署,快速迭代,這也意味著單個容器的存活時間也急速變短。據(jù)Datadog的數(shù)據(jù)統(tǒng)計(jì),傳統(tǒng)云虛擬機(jī)的平均生存周期是23天,而容器只有2.5天,極短的存活期導(dǎo)致在運(yùn)行時對它進(jìn)行保護(hù)變得更加困難,所以在供應(yīng)鏈側(cè)就要保證容器的安全。
此外,容器的更新速度也對鏡像庫的更新速度有了更高的要求。
3、容器部署密度高
由于大規(guī)模部署,對容器的批量化管理必然需要使用編排工具,對于編排工具、鏡像庫、鏡像的安全保障就變得更為重要。
理解容器安全第三步:動態(tài)防護(hù)全生命周期
在對容器的生命周期進(jìn)行梳理之后,我們會發(fā)現(xiàn)防護(hù)容器安全,其實(shí)就是防護(hù)生產(chǎn)環(huán)境的安全。那么在整個鏈路中,容器最常遭受的攻擊是什么,企業(yè)應(yīng)該如何防護(hù)?
阿里云從2011年即開啟了探索的腳步,推進(jìn)容器化的技術(shù)改造和落地,推進(jìn)云原生技術(shù),2020年完成了核心系統(tǒng)全面云原生化,積累了大量的實(shí)踐經(jīng)驗(yàn),同步發(fā)布了國內(nèi)首個云原生容器安全ATT&CK攻防矩陣。
匯合多年的技術(shù)積累和實(shí)戰(zhàn)經(jīng)驗(yàn),為了更好地應(yīng)對容器化進(jìn)程中的安全挑戰(zhàn),阿里云認(rèn)為企業(yè)的容器安全應(yīng)當(dāng)做到動態(tài)防護(hù),覆蓋容器全生命周期。
基礎(chǔ)設(shè)施安全
大部分企業(yè)會選擇在云平臺上搭建容器,或直接使用容器運(yùn)營商的容器服務(wù),為了保障容器底層基礎(chǔ)設(shè)施的安全,企業(yè)在選擇云服務(wù)商時需要格外關(guān)注其安全能力:
1、云平臺是否安全合規(guī)
一方面是云平臺自身的安全,是否是可信的云環(huán)境;另一方是云平臺合規(guī)安全,云服務(wù)商需要基于業(yè)界通用的安全合規(guī)標(biāo)準(zhǔn),保證服務(wù)組件配置的默認(rèn)安全性。
2、云平臺安全能力是否強(qiáng)大
云平臺的基礎(chǔ)安全能力,例如主機(jī)/VM的防護(hù)、SLB訪問控制、DDoS、WAF能力、CWPP/CSPM功能等。
3、云平臺管理能力
版本更新和漏洞補(bǔ)丁的安裝能力也是保證基礎(chǔ)設(shè)施安全的基本防護(hù)措施,需要云廠商具備漏洞分級響應(yīng)機(jī)制和版本升級能力。
阿里云的云平臺防護(hù)能力毋庸置疑:· 通過可信芯片提供芯片級別的防護(hù)能力,保證服務(wù)器-云平臺-虛擬機(jī)/容器環(huán)境的整體環(huán)境可信,實(shí)現(xiàn)當(dāng)前技術(shù)發(fā)展階段下最高等級安全;· 2020年發(fā)布的108項(xiàng)自帶安全能力的云產(chǎn)品,提供強(qiáng)大的平臺安全防護(hù)能力;· 亞太地區(qū)獲得權(quán)威合規(guī)資質(zhì)最多的云廠家,為客戶解決云上合規(guī)問題。
軟件供應(yīng)鏈動態(tài)防護(hù):采集、可視、關(guān)聯(lián)分析和響應(yīng)的全流程建設(shè)
由于容器的存活時間短,運(yùn)行時安全防護(hù)困難增大,所以需要在供應(yīng)鏈側(cè),也就是容器構(gòu)建時即將安全納入考慮范疇,實(shí)現(xiàn)安全左移,將DevSecOps觀念納入交付流程。
在考慮容器供應(yīng)鏈安全時,動態(tài)思維極為關(guān)鍵。就容器生成的核心:鏡像而言,如果存在惡意鏡像或鏡像漏洞沒有得到及時更新,可能會造成大批量的入侵。據(jù)Prevasio 對于托管在 Docker Hub 上 400 萬個容器鏡像的調(diào)查統(tǒng)計(jì),有 51% 的鏡像存在高危漏洞;另外有 6432 個鏡像被檢測出包含惡意木馬或挖礦程序,這些惡意鏡像就已經(jīng)被累計(jì)下載了 3 億次。
為了應(yīng)對供應(yīng)鏈中的安全挑戰(zhàn),安全廠商需要提供實(shí)時動態(tài)的防護(hù)能力:
1、實(shí)時漏洞掃描:對鏡像進(jìn)行多維度深度掃描,檢測CVE漏洞、SCA中間件、WebShell惡意腳本、確保鏡像無漏洞;
2、鏡像資產(chǎn)管理:獲取主機(jī)鏡像信息,對鏡像資產(chǎn)進(jìn)行梳理,關(guān)聯(lián)鏡像、倉庫、主機(jī)節(jié)點(diǎn),便于對鏡像資產(chǎn)進(jìn)行快速檢索;
3、鏡像掃描、驗(yàn)證:除了漏掃以外,還需對鏡像的配置、CIS靜態(tài)基線等內(nèi)容,減少鏡像配置錯誤;同時建立鏡像加簽規(guī)則,確保進(jìn)入鏡像庫的鏡像安全、無誤,分發(fā)和部署中的鏡像不被篡改。
4、鏡像修復(fù):目前市面上還沒有較為成熟的擁有自動鏡像修復(fù)能力的廠商,大部分服務(wù)商僅提供修復(fù)建議。
阿里云的安全防護(hù)能力覆蓋供應(yīng)鏈全周期。在掃描能力上,提供專人管理和維護(hù)的龐大數(shù)據(jù)庫,收錄10w+安全漏洞,擁有最新突發(fā)漏洞的檢測能力,支持多操作系統(tǒng)下的漏洞掃描。同時檢測時間極快,基本可以達(dá)到1min出結(jié)果。在漏洞修復(fù)能力上,提供在OS下的鏡像自動修復(fù)能力,讓漏洞修復(fù)更簡單,降低運(yùn)維人員壓力。在CIS基線管理上,阿里云容器服務(wù)提交的 CIS Kubernetes benchmark for ACK 正式通過 CIS 社區(qū)組織的認(rèn)證審核,成為國內(nèi)首家發(fā)布 CIS Kubernetes 國際安全標(biāo)準(zhǔn)基線的云服務(wù)商。
運(yùn)行時安全
容器運(yùn)行時是用于運(yùn)行容器的每個主機(jī)操作系統(tǒng)對應(yīng)的二進(jìn)制文件,用于建立和維護(hù)每個容器環(huán)境。容器進(jìn)行時協(xié)調(diào)多個操作系統(tǒng)組件,隔離資源和資源使用量,并通過操作系統(tǒng)與宿主機(jī)進(jìn)行交互,可以說是容器運(yùn)行的保障,在這個階段,企業(yè)需要關(guān)注:
1、容器運(yùn)行時漏洞、威脅掃描
2、容器運(yùn)行時網(wǎng)絡(luò)可視化
3、容器運(yùn)行時配置合規(guī)安全
阿里云對容器運(yùn)行時提供兩大安全保障,一個是實(shí)時威脅檢測,防止容器逃逸。通過200+安全監(jiān)測模型能無死角實(shí)現(xiàn)逃逸檢測,有效監(jiān)控容器運(yùn)行時攻擊、配置錯誤、AK泄露等問題;另一個是漏洞管理,全面覆蓋系統(tǒng)漏洞、應(yīng)用漏洞、應(yīng)急0Day漏洞,同時SCA漏洞檢測能力還覆蓋生態(tài)及開源軟件漏洞檢查,有效降低漏洞入侵風(fēng)險。
此外,阿里云安全還提供容器運(yùn)行時網(wǎng)絡(luò)連接可視化,通過Agent采集數(shù)據(jù),實(shí)現(xiàn)東西、南北向網(wǎng)絡(luò)可視化,輕松識別網(wǎng)絡(luò)連接安全風(fēng)險,同時進(jìn)行配置合規(guī)檢查,保證容器運(yùn)行時的配置安全。
隨著云原生對于計(jì)算機(jī)基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的重新定義,原生安全也在進(jìn)一步迭代。Gartner在其Marktet Trends中提到建設(shè)云原生安全生態(tài),安全從原來單點(diǎn)式的防護(hù)開始向集成化、內(nèi)生化發(fā)展。容器技術(shù)和生態(tài)的成熟,使得新的容器使用場景也在涌現(xiàn),邊緣計(jì)算、機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析、aPaaS正在成為容器安全的新關(guān)鍵詞。
阿里云安全也在進(jìn)行容器與安全服務(wù)一站式深度整合,通過集成云安全中心、密鑰管理、日志管理等安全服務(wù),構(gòu)建原生的安全能力,在DevOps流程中默認(rèn)植入安全,提升整體持續(xù)集成和持續(xù)交付(CI/CD)流水線的安全和防御能力。
在云原生的挑戰(zhàn)下,阿里云容器服務(wù)也會走在技術(shù)前線,在容器安全領(lǐng)域保持世界級的競爭力,為客戶的應(yīng)用安全保駕護(hù)航。
