正文

运营商云原生安全实战:容器全生命周期防护体系揭秘

admin
admin V管理员 /0 评论 /9 阅读
0304
文章最后更新时间2025年03月04日,若文章内容或图片失效,请留言反馈!

需求分析

某大型运营商研究院是该集团公司产品开发和业务研究的主要科研机构,是该运营商研发和创新体系的重要组成部分。研究院拥有雄厚的科研基础设施,强大的科研开发团队和高水平的研发成果。

近年来,随着大数据、云计算、容器化、微服务、平台战略等新技术和新概念的层出不穷和快速发展,在业务支撑、架构能力、平台扩展性等方面对旧有的烟囱式建设的业务支撑系统提出了巨大的挑战。该研究院在集团提出以容器为基础平台战略的同时,针对容器技术的安全防护展开研究。

研究发现,一是容器技术不同于传统虚拟化技术,其自身隔离性较弱,它们共享宿主机的操作系统,容器之间可以相互访问和影响;二是在应用容器技术的过程中,存在多个安全薄弱点,包括镜像、镜像仓库、容器集群等;三是无法有效识别容器内部行为,包括正常的行为,例如网络连接,以及恶意的行为,例如容器的提权、逃逸等;基于此,亟需建立整体的容器安全体系,加强纵深防御。

整体方案设计

随技术路线从虚拟化转向容器化,基于云原生容器技术重构了基础设施,建立了开发平台、容器云等基于云原生为底座的基础平台。云原生技术使得大型复杂软件的应用拆分,各应用之间松耦合,从而降低了系统复杂度,还做到了独立发布部署、独立扩展和跨语言编程等,这些变化也驱动着安全工作模式及重心的转变。

图1  某运营商云原生安全架构图

适应云原生架构的整体方案设计

所以在安全方案设计上,也要贴合云原生技术架构,以满足业务容器化后,传统安全能力不再适用的问题,例如:业务容器会动态漂移、容器内部行为及日志等默认不会记录、基于IP的访问控制方式不再适用等。基于此整体的方案需满足以下几个方面:一是满足容器技术高密度、高动态、快速迭代、敏捷等多种特性;二是能够将安全防护覆盖云原生应用的整个生命周期,从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维;三是相关能力能够与现有安全体系兼容联动,统一管理及运营。

实施技术路线

1. 研发侧安全提升

首先,镜像是容器运行的基础,包含业务运行需要的所有环境、文件和配置等信息,但基础镜像当前基于公网的开源仓库,且代码也引入许多开源组件,无法保障业务镜像的安全性。且研发更侧重于业务的功能实现,安全重视程度不足,基于此建立了镜像安全防护能力,保障研发侧安全。

图2  某运营商镜像安全能力

镜像安全建立了对研发侧交付制品检测及阻断的能力,检测能力可识别镜像中可能存在的软件漏洞、软件许可、恶意文件、敏感信息等多个方面的安全风险。阻断能力可防止风险镜像流入线上业务。在能力落地前,研发流程为从公网拉取基础镜像,通过开发构建后,经过测试验证后,满足业务功能需求则直接上线。而能力融入后,在业务镜像构建完成后,以及上线前,又嵌入了安全检测的步骤。极大的加强了线上的安全性。

2. 安全薄弱点能力提升

在推进以容器为基础平台的战略过程中,发现容器平台由于自身的技术实现,大多的传统安全能力已经不再适用,例如入侵检测无法侵入容器内部、容器平台漏洞及配置合规性无法验证、基于IP的访问控制手段无法定位具体业务等。需要通过全方位的容器安全能力提升补足短板。

图3  某运营商云原生安全薄弱点监控

基于此对安全薄弱点进行全方位安全能力提升,建立了IAC配置安全检测、容器的入侵检测、微服务的漏洞发现、容器集群安全等相关能力,填补了应用容器技术后,多个安全建设空白。对容器涉及到的全生态,业务的全生命周期建立了安全防护。且落地只需在容器集群内运行安全终端,即可实现一键防护,形成整体的安全防护体系。

3. 安全管理提升

不单单是安全问题,在管理方面也有待提升,这包括由于容器技术的实现机制,导致业务容器在由于迭代更新、编排调度等消逝后,其在运行过程中存在的行为事件将不可查。对溯源、排障等多个方面都带来极大影响;且在应用容器技术后,对于云外及云内流量可以感知并进行检测,但对于容器集群内的网络流量还暂未形成清晰台账,内部的业务连接关系无法感知;以及由于细化到命名空间级的权限配置较为复杂,需要一定的技术积累,对人员要求较高,如何使得各业务线管理自己的容器也需要新的手段。

图4  某运营商统一云原生安全管理平台

因此,建立了一个整体的安全管理平台,并搜集容器的所有事件行为,对容器资产进行管理。在记录容器的所有行为事件的同时,还可自定义时间留存信息。网络的事件也会进行拓扑绘制,并可进行数据导出,外加安全能力的补足,形成了整体的解决方案。在使用上也可基于功能以及资产两个维度进行权限划分,适应多租户场景。

价值体现

通过整体解决方案的落地,首先补足了该运营商研究院在容器方面安全的空白,建立起自构建镜像-镜像存储/分发-容器运行-提供服务-业务消逝-基础平台的全生命周期的风险感知,以及安全防护能力。其次,将安全能力与开发平台进行深度结合后,形成DevSecOps,使得安全风险由事后感知修复,向事前评估整改转变。最后,通过一个平台,对所有的能力形成统一管理,并建立了报告中心、资产中心、漏洞管理、响应中心等一系列安全运营能力,使得安全人员可感知、可处置、可溯源,同时加强了人员效率。

注:该方案摘自《云原生应用保护平台(CNAPP)建设指南(2024)》。

扫描上方二维码,可获取完整版报告

-完-

热门动态推荐



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com