05-云原生全栈防护-打造容器云的多维安全-纪柯凌

容器云安全发展

• 容器云迅猛发展：2020年CNCF调查报告显示，部署容器化平台的意愿逐年增加，容器平台数量规模持续扩大。
• 容器云平台挑战：2019年和2020年CNCF调查报告均指出，安全是容器云平台的首要挑战。
• 安全事件频发：某知名车企在AWS上部署的K8S Dashboard暴露在公网，黑客通过漏洞获取数据并实施挖矿；我国《数据安全法》要求2021年9月1日起执行，容器安全事件层出不穷。
• 容器云安全难点：Kubernetes版本迭代中，安全能力存在明显GAP，弱隔离性、复杂生态导致安全防护困难。
• 市场前景广阔：容器安全市场预计以30.9%的复合年增长率增长，2024年市场规模达21.78亿美元。国外厂商众多，国内以公有云巨头为主，细分领域创新厂商开始布局。

从攻击者角度看容器云安全

• 攻击入口：集群管理入口、正面突破的数据入口、有漏洞的代码/供应链研发入口。
• 攻击手法：社会工程学（钓鱼）、镜像投毒、供应链安全挖掘、潜伏+回连、扫描+确认环境、横移+提权+升维。
• 攻击链：确定目标后进行社会工程学攻击，利用漏洞渗透、运行恶意镜像，通过小马传大马、下载工具实施攻击，内部横移、纵移，最终实现DDoS、挖矿、数据获取等目标。

F5云原生容器云安全方案

• 容器云安全入口控制：超级Gateway实现Pod/NS粒度的ACL、FQDN ACL、NAT控制与日志、协议安全检查等。
• 容器云内加固：NAP云原生WAF提供强大的安全投放能力，通过Sidecar方式提供服务，实现认证、授权、加密、数据流量访问控制。
• 服务网格安全治理：演进自内嵌代码、SDK，最终采用SideCar模式，实现安全与业务代码解耦，通过统一控制平面进行安全治理。
• 运行时安全可观测性：通过探针POD获取镜像流量，平台获取集群流量元数据，上下文关联，下发微隔离指令。
• 流水线安全：Code镜像扫描、测试环境部署、生产环境虚拟补丁、反馈漏镜像制品库，建立完整的流水线安全体系。
• 云原生安全4C：针对三个入口的防护，最小权限、零信任、降低攻击面，建立DevSecOps文化，打破部门墙。

总结

• 容器云安全是当前云原生应用的关键挑战，安全事件频发，市场前景广阔。
• 攻击者主要通过社会工程学、镜像投毒、供应链漏洞等手法进行攻击，需从攻击链角度进行防御。
• F5提供全面的容器云安全方案，包括入口控制、内加固、服务网格安全治理、运行时可观测性、流水线安全等，符合云原生安全4C理论。