容器云安全发展
- 容器云迅猛发展:2020年CNCF调查报告显示,部署容器化平台的意愿逐年增加,容器平台数量规模持续扩大。
- 容器云平台挑战:2019年和2020年CNCF调查报告均指出,安全是容器云平台的首要挑战。
- 安全事件频发:某知名车企在AWS上部署的K8S Dashboard暴露在公网,黑客通过漏洞获取数据并实施挖矿;我国《数据安全法》要求2021年9月1日起执行,容器安全事件层出不穷。
- 容器云安全难点:Kubernetes版本迭代中,安全能力存在明显GAP,弱隔离性、复杂生态导致安全防护困难。
- 市场前景广阔:容器安全市场预计以30.9%的复合年增长率增长,2024年市场规模达21.78亿美元。国外厂商众多,国内以公有云巨头为主,细分领域创新厂商开始布局。
从攻击者角度看容器云安全
- 攻击入口:集群管理入口、正面突破的数据入口、有漏洞的代码/供应链研发入口。
- 攻击手法:社会工程学(钓鱼)、镜像投毒、供应链安全挖掘、潜伏+回连、扫描+确认环境、横移+提权+升维。
- 攻击链:确定目标后进行社会工程学攻击,利用漏洞渗透、运行恶意镜像,通过小马传大马、下载工具实施攻击,内部横移、纵移,最终实现DDoS、挖矿、数据获取等目标。
F5云原生容器云安全方案
- 容器云安全入口控制:超级Gateway实现Pod/NS粒度的ACL、FQDN ACL、NAT控制与日志、协议安全检查等。
- 容器云内加固:NAP云原生WAF提供强大的安全投放能力,通过Sidecar方式提供服务,实现认证、授权、加密、数据流量访问控制。
- 服务网格安全治理:演进自内嵌代码、SDK,最终采用SideCar模式,实现安全与业务代码解耦,通过统一控制平面进行安全治理。
- 运行时安全可观测性:通过探针POD获取镜像流量,平台获取集群流量元数据,上下文关联,下发微隔离指令。
- 流水线安全:Code镜像扫描、测试环境部署、生产环境虚拟补丁、反馈漏镜像制品库,建立完整的流水线安全体系。
- 云原生安全4C:针对三个入口的防护,最小权限、零信任、降低攻击面,建立DevSecOps文化,打破部门墙。
总结
- 容器云安全是当前云原生应用的关键挑战,安全事件频发,市场前景广阔。
- 攻击者主要通过社会工程学、镜像投毒、供应链漏洞等手法进行攻击,需从攻击链角度进行防御。
- F5提供全面的容器云安全方案,包括入口控制、内加固、服务网格安全治理、运行时可观测性、流水线安全等,符合云原生安全4C理论。
