云原生安全实践白皮书2023

中国联通云原生安全实践 白皮书（2022） 中国联通研究院2022年12月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法律保护。转载、摘编或利用其他方式使用本报告文字或者观点的，应注明“来源：中国联通研究院”。违反上述声明者，本院将追究其相关法律责任。 目录 一、背景概述3 （一）云原生成为新常态3 （二）云原生安全建设需求迫切4 1云原生安全风险升级4 2云原生安全事件频发4 二、云原生安全的发展6 （一）云原生安全理念6 （二）云原生安全典型模型8 1云原生安全防护责任共担模型8 2面向云原生的ATT&CK攻防矩阵模型9 3DevSecOps开发安全运营一体化模型11 三、云原生安全防护体系13 （一）云原生安全原则与架构13 1云原生安全原则13 2云原生安全架构15 （二）云原生基础架构安全17 1网络安全17 2编排及组件安全18 3镜像安全21 4容器运行时安全24 （三）云原生应用安全26 1API安全26 2微服务架构下的应用安全28 3Serverless安全29 （四）云原生研发运营安全33 1安全需求分析33 2安全开发34 3安全检测35 4安全运营37 （五）云原生数据安全40 1数据安全保护40 2数据安全审计40 （六）云原生安全管理42 1云原生资产统一管理42 2云原生安全事件统一管理42 3多云安全能力协同及统一管理43 4智能化的云原生安全管理43 四、云原生安全防护体系建设实践45 （一）云原生安全防御平台46 1安全编码47 2软件成分分析48 3交互式安全检测48 4应用运行时自保护49 （二）云原生容器安全管理平台51 1资产安全管控52 2安全配置基线核查52 3镜像安全53 4容器运行时安全55 五、云原生安全未来发展趋势及展望58 附录1英文缩略语59 附录2参考文献60 前言 云计算的飞速发展和广泛应用，使其已经成为“新基建”中信息基础设施的重要组成部分，并且在企业的数字化转型推进中发挥着重要的支撑作用。同时，云计算改变了传统的IT计算环境、网络、应用的整体架构以及存在模式。目前，企业的各项业务都在逐渐实现云化转型，如何在利用云计算为企业发展转型带来便利的同时，有效保证云安全，成为后续发展的重点。因此，云原生安全以其敏捷高效、使用便捷、响应快速、安全融合的特点，在云计算的发展过程中迅速得到推广和使用。 云原生安全作为一种新型的安全理念，并不是只解决云原生技术带来的安全问题，而是强调以原生的思维构建云安全体系，推动安全与云计算的深度融合，使整个安全体系覆盖计算环境、软件应用、研发运营、网络、数据以及安全管理等各个方面。企业组织需要秉承云原生安全的理念，构建云原生的安全体系，才能够全面的解决云计算所面临的各类新型安全问题，如网络安全边界模糊、容器逃逸、软件编码风险、开源组件风险、软件运行风险、API权限滥用、微服务互访难以管控等。 本白皮书系统阐述了云计算所面临的新型安全问题，结合云原生安全的发展情况，系统性介绍了云原生安全防护体系，给出了中国联通研究院云原生安全防护体系建设实践，最终对云原生安全的未来发展趋势进行了展望，以期为云原生安全的发展和企业的云原生安全建设提供参考，同时进一步赋能垂直行业的相关技术发展和体系建设。 -1- 编写组单位及成员： 中国联合网络通信有限公司研究院：丁攀、徐雷、郭新海、刘安、蓝鑫冲、王戈、苏俐竹、张曼君、谢泽铖、陆勰、贾宝军、侯乐、陶冶、刘伟 中国联合网络通信有限公司广东省分公司：莫俊彬、潘桂新、李文彬、彭健、聂勋坦 北京神州绿盟科技有限公司：雷新、浦明、封宏涛 北京小佑网络科技有限公司：袁曙光、白黎明、左伟震360数字安全科技集团有限公司：蒋婉秋 杭州默安科技有限公司：程进、王阔阔 北京升鑫网络科技有限公司（青藤云安全）：胡俊、李漫厦门服云信息科技有限公司（安全狗）：安晓伟 一、背景概述 （一）云原生成为新常态 云计算自2006年提出至今，已经取得了突飞猛进的发展，国内外的云计算规模每年都在飞速的增长和扩大。根据Gartner统计结果显示，2021年以IaaS、PaaS和SaaS为代表的全球云计算市场规模达到3307亿美元，增速32.5%。据中国信息通信研究院（信通院）的统计结果显示，2021年中国云计算市场规模达3229亿元，较2020年增长54.4%。其中公有云市场规模增长70.8%至2181亿元，私有云市场同比增长28.7%至1048亿元。由此可见，在数字化转型加快推进，软件行业快速发展的今天，云计算的地位日显重要，并且已经成为实际意义上的基础设施。 随着云计算的发展，云原生作为一种理念也在不断的丰富、落实和实践，并且目前已经渡过了概念普及阶段，进入了快速发展时期。如今在各行各业的数字化业务环境中，以容器、不可变基础设施、微服务、服务网格、声明式API等为代表的云原生技术已经被广泛采用。根据信通院调研数据显示，2019年我国云原生市场规模已达350.2亿元。2020年43.9%的国内用户已在生产环境中采纳容器技术，超过七成的用户已经或计划使用微服务架构进行业务部署。由此可见，云原生技术已经成为云计算实现的新常态。 （二）云原生安全建设需求迫切 1云原生安全风险升级 云原生技术的使用，彻底改变了云计算的运行环境以及云端应用的设计、开发、部署和运行模式，这些改变为企业的生产和运营带来了极大的便利，提高了工作效率，但是同时也带来了新的安全挑战，使得云原生安全风险全面升级。其中，微服务的使用使网络边界更加模糊化，应用间交互式端口呈指数级增长，而且交互访问关系越来越复杂，传统的边界安全防御不再适用云原生安全架构；容器镜像的使用使得软件供应链的风险更加复杂，在使用镜像部署系统时，极易将安全漏洞、恶意软件和代码引入到生产环境中；独立的开发运营流程以及服务实例应用周期的变短，增加了安全监控和防护的难度，准确的检测网络攻击行为，以及针对0day漏洞和开源组件漏洞的检测与防护能力迫切需要提升。 2云原生安全事件频发 由于云原生技术的广泛使用，伴随的安全事件也逐渐增多。根据RedHat2022年发布的关于Kubernetes安全调研报告显示，参与调研的93%的受访者表示其Kubernetes环境在过去的一年里至少经历过一次安全事件，55%的受访者表示由于安全原因减缓了应用程序的部署。因此，在云原生环境下，一旦没有实施全面有效的安全防护，黑客即可利用应用漏洞攻击容器上的服务，或可进一步利用容器漏洞，直接访问容器云上的敏感信息，获取服务器特权，从而对容器云进行 修改并最终完全控制服务器，造成恶劣影响和重大损失。 近年来云原生安全事件频发，已经严重威胁到了企业的安全。其中比较典型的安全事件包括：攻击团伙TeamTNT入侵Kubernetes集群植入挖矿木马，该事件导致将近50000个IP被攻击；DockerHub中存在用于加密货币挖矿攻击活动的恶意镜像文件，这些恶意镜像文件被挖矿软件劫持了至少两年之久，且已被下载了超过2000万次，导致大量的企业资源被非法利用；安全公司Rapid7遭到Codecov供应链攻击，进而引发了大量公司连锁数据的泄露，受影响客户达到 2.9万。这些安全事件的发生，无不警示着各企业和组织抓紧推进云原生安全体系的构建。 二、云原生安全的发展 （一）云原生安全理念 云原生安全作为一种新兴的安全理念，它不是单一的技术，而是一簇技术的集合。目前国内外的组织和企业都已经开展了云原生安全的相关研究，但是不同的组织和企业对云原生安全理念的理解不尽相同。云原生计算基金会（Cloudnativecomputingfoundation,CNCF）认为云原生安全是一种将安全构建到云原生应用程序中的方法，安全性是应用程序全生命周期的一部分，旨在确保与传统安全模型相同标准的基础上，同时适应云原生环境的细节，即快速的代码更改和高度短暂的基础设施。Kubernetes提出了云原生4C安全模型，自下而上分别是云基础设施(Cloud)、集群(Cluster)、容器(Container)和代码(Code)，该模型强调每一层的安全都受益于下层的保护。云原生产业联盟针对不同服务模式下的云原生系统，建立了云原生安全防护责任共担模型。在此模型下，应用拥有方和平台提供方共同承担不同区域的安全责任，共同实现云原生应用的整体安全。 腾讯、信通院等单位联合发布的《“云”原生安全白皮书》指出，云原生安全指云平台安全原生化和云安全产品原生化。安全原生化的云平台，一方面通过云计算特性帮助用户规避部分安全风险，另一方面能够将安全融入从设计到运营的整个过程中，向用户交付更安全的云服务；原生化的云安全产品能够内嵌融合于云平台，解决用户云计 算环境和传统安全架构割裂的痛点。绿盟科技集团股份有限公司对于 云原生安全的理解包含两层含义，一是面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。二是具有云原生特征的安全，指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。 综上所述，我方认为云原生安全是云原生理念的延伸，旨在解决云原生技术面临的安全问题。抽象来看，云原生安全强调以原生的思维构建云安全，基于安全责任共同分担、安全左移、零信任、持续监控和响应、工作负载可观测等理念，将安全与云计算进行深度融合。在具体实践过程中，通过综合运用云原生基础架构安全、云原生应用安全、云原生研发运营安全、云原生安全管理等技术，共同实现云原生安全。 （二）云原生安全典型模型 1云原生安全防护责任共担模型 由于云原生采用的资源抽象和技术栈不同，所以云原生架构也可以采用多种模型来描述，其中主要的模型架构包括基础架构即服务(InfrastructureasaService,IaaS)、Kubernetes即服务(KubernetesasaService,Kubernetes-aaS)、容器即服务(ContainerasaService,CaaS)、功能即服务(FunctionasaService,FaaS)、软件即服务(SoftwareasaService,SaaS)五种不同的模型，利用这些不同的模型提供不同的服务模式。IaaS以即用即付模式按需提供物理或虚拟化计算、存储和网络资源；Kubernetes-aaS通过Kubernetes平台提供云计算服务，其中计算、存储、网络等功能均是通过以接口的形式提供、以插件的形式实现；CaaS使用基于容器的抽象来管理和部署应用，它是IaaS的一种子集，CaaS的基本资源为容器；FaaS是一种无服务器云计算服务，用户仅管理功能和数据，而云提供商则管理应用程序；SaaS允许用户通过Internet连接和使用基于云的服务,所有操作和维护任务以及应用程序数据均由服务提供商处理。 云原生安全与传统的安全及云安全相比，更关注容器、Kubernetes、微服务、Serverless等内容，但是总体上看云原生安全所保护的对象，是指以容器技术为基础底座，以DevOps、面向服务等云原生理念进行开发,并以微服务等云原生架构构建的信息系统。 在不同的服务模式下，平台提供方和应用拥有方所承担的安全责任也会有差别，具体的责任模型如图1所示 图1云原生安全防护责任共担模型 2面向云原生的ATT&CK攻防矩阵模型 2013年，MITRE公司为解决网络安全治理中防守方所面临的困境，基于现实中发生的真实攻击事件，创建了一个丰富的对抗战术和技术知识库，即AdversarialTacticsTechniquesandCommonKnowledge，简称为ATT&CK。该知识库指出攻击者的IP、域名、Hash等指纹信息可能会随着环境的不同而改变，但是其攻击的手段是具有共性的，因此，基于此构建攻防矩阵模型，能够更加准确的把握攻击行为。截止到本白皮书发布，ATT&CK的最新版本为V12，该版本的ATT&CK框架包含了企业矩阵、移动端矩阵、工业控制系统矩阵，每类矩阵中都包含攻击者发起攻击所采用的战术、技术和子技术，