7月2日,诸子云北京分会研讨会活动—网络安全攻防对抗在北京成功举办。作为国内云原生安全领导厂商,安全狗也参与此次活动。
近年来,国际网络空间安全威胁事件发生频率越来越高、影响范围越来越大,对国内不断依赖5G、云计算等新兴技术的各行各业用户也做出预警。随着攻防对抗越演越烈,国家不断加强对攻防对抗技术以及攻防演练的重视。在此次活动上,安全狗海青实验室负责人陈俊杰也着眼于攻防演练,为与会嘉宾分享《云原生运行时威胁检测经验》。
用户面临哪些云原生运行时安全威胁?
在介绍到云原生环境的运行时安全威胁时,陈俊杰指出“云原生技术在进一步释放云计算的效能的同时,也扩大了攻击面。在攻防演练的过程中,须对这些攻击面予以重视。”
结合对Gartner相关研究,陈俊杰指出第一点发现:云原生应用的攻击面激增。
首先,可能受攻击的资产更多元,比如K8s、容器以及激增的API可能成为攻击者的猎物;
再者,可能受攻击的阶段也更广泛,在容器应用的开发、构建、运行的全生命周期均面临着风险,这对DevSecOps的建设提出了更为严格的要求。
第二点发现:安全是一个整体。
基于Mitre的ATT&CK矩阵的分析,我们可以发现企业版的ATT&CK矩阵同时涵盖了主机、容器的组成部分。换而言之,容器安全与主机安全联系更加紧密,即,攻击者可以通过应用、容器、主机、内部集群这样的攻击路径,实施攻击。
云原生容器环境中,传统威胁和新型现代攻击是并存的,陈俊杰强调到。
安全狗云原生安全解决方案
陈俊杰结合安全狗海青实验室在云原生安全方面的研究经验,介绍了安全狗云原生安全产品云甲的功能与特点。
01
覆盖云原生容器全生命周期
安全狗云甲从构建、部署及运行等等阶段帮助用户做好DevSecOps的建设。其核心功能模块由镜像安全、运行时安全、网络安全、应用安全、基础设施安全以及合规基线等功能模块组成,各模块联动形成云原生容器全生命周期的安全防护。此外,云甲是实现了云原生安全2.X的五个一体化理念的产品。
02
云原生安全2.X的五个一体化
我们将云原生安全的未来,“一体化”全栈云原生安全模型方案,定义为云原生安全2.X。它是覆盖从代码到云的全栈整体安全的,满足“资产管理与安全一体化”、“环境安全一体化”、“工作负载安全一体化”、“网络层安全一体化”以及“应用安全一体化”等五大安全一体化特征的云原生安全平台。
陈俊杰进一步解释了安全狗云原生安全2.X的隐藏含义,即,“2.X”中的“2”主要代表安全数据的“统合综效”,增强“双向反馈”,而“X”代表可拓展性,例如集成或外接更多的安全能力。
云甲如何检测云原生环境运行时威胁
针对云原生环境面临的系列安全威胁,陈俊杰提出了相应的解决思路,即,结合“云原生 K8s 工作负载安全模型”:
“云原生 K8s 工作负载安全模型,它由应用、容器、主机以及集群等层级组成;各个层级均面临着安全的挑战;例如,应用层面临着“漏洞利用”以及“内存马”的安全挑战;在“容器层”与“主机层”之间,面临着“容器逃逸”的安全挑战;在“集群侧”,面临着“横向渗透”的安全挑战。
虽然应用、容器、主机与网络“环环相扣”且传统威胁和新型威胁并存,但安全狗也提出了“层层设防,层层监控”的解法进行应对:
通过Agent、Agentless以及多元威胁检测引擎来构筑“为云而生”的威胁检测框架。因此,也可以形成集应用、容器、主机与集群于一体的“立体纵深防御”;并且,还可以基于参考ATT&CK技战法,以及跟进威胁情报,来持续提升检测能力。
除此之外,在实现“工作负载安全一体化”的过程中,安全狗研发团队也构建了“多检测引擎”的运行时入侵检测体系。在模型和检测引擎的驱动下,安全狗云甲能有效检测出多种运行时安全威胁。
在攻防实战案例分享过程中,陈俊杰分别从红队视角做模拟攻击和从蓝队视角做产品入侵检测,层层递进地从多个场景介绍了云原生K8s工作负载后渗透综合案例。
在分享的最后,陈俊杰用“黑云压城城欲摧,甲光向日金鳞开”比喻云原生环境不断面临着的严峻安全挑战;用“岂曰无衣,与子同袍”比喻“战友”间“同仇敌忾”、用心构建“纵深防御体系”;最后他引用“兵者,诡道也”、“知己知彼,百战不殆”、“先为不可胜,以待敌之可胜”等古人智慧之言做防御思想的总结。在云原生技术快速发展的当下与未来,安全狗将从攻防对抗的视角持续优化云原生安全系列安全产品,与业界一起,持续推动我国数字经济转型及网络安全事业的深入发展。