云原生安全及架构成熟度探讨

Posted 2021-07-04 苹果资本

一、云原生安全建设方兴未艾 

（图片来源于网络）

2020年下半年云原生产业联盟进行过一次产业普及调研，其结果显示当前中国在产业数字化经济转型和新基建的推动背景下，云原生技术的应用正在普及深化中，而受限于云原生的建设步幅，云原生安全市场和相关建设仍处于早期孕育阶段。

• 用户在云原生技术的IT投资结构占比开始改善（从市场机会估算，云原生安全市场仍处于早期孕育阶段）
  -  28%的用户相关投资占比5-10%
  -  1/4的用户投资占比介于10-30%
  -  10%的用户占比介于20-50%
  -  9%的用户投资占比已超过50%

• 云原生建设重点放在改善技术研发和运维（安全运营角度的创新非常值得关注）

  - 应用至技术研发的用户约有77%

  - 投入到运维方面的用户约占59%

  - 用于测试的用户占比36%

  - 其余用来硬件采购、软件采购的用户分占34%和30%

• 云原生建设的用户仍聚集在中小规模集群（目前的规模分布有利于云原生安全中小企业的创新）

  - 76%的用户<= 500个节点

  - 仅十分之一的用户管理着超5000个节点的规模

• 多云/混合云架构渐成应用主流（发力于多云/混合云架构的云原生安全企业更有机会）

  - 已采用或1年内计划采用多云/混合云架构的用户已达74%

  - 仅不到三成的用户没有多云/混合云部署的计划

• 云原生技术的应用现状

  - 超六成用户已在生产环境中应用容器技术

  - 25%的用户软件发布已实现全自动化，55%的用户采用联合发布方式（自动化+人工）

  - 微服务架构正在成为主流，超80%的用户已使用或计划使用微服务

  - 不到三成用户已在生产环境中应用Serverless 技术

二、从安全本质上，云原生安全可以从两个角度来解构

 

1） 解决云原生环境中业务的安全问题：着重于云原生环境中运行于容器、微服务、服务网格等云原生环境中的业务安全问题，这个部分好理解，此处不再赘述。

 

2） 提供具备云原生特征的安全解决方案：例如安全监防的内建性、资源识别和管理归一化（编排对象可包含容器、虚拟机、函数甚至抽象对象（如支持可编程和API等））、安全应用服务Serverless化、安全治理Mesh化，具体而言具备下列云原生技术及特性：

 

a) 容器技术：带来的业务迭代的敏捷性、资源调度的弹性、应用与底层架构的高解耦合性、不同基础设置上的可移植性;

b) 容器编排：实现的自动部署/修复、服务发现与负荷均衡、业务弹性伸缩、声明式API、可扩展性架构；

c) 微服务技术：引入的资源、业务、应用分配及部署的低耦合性高简洁度、高可用性、可监测性、可控性、可容错性、可交互性；

d) Serverless：自动免运维、细粒度按需分配及计费（On-Demand）、事务驱动性（例如FaaS – Function as a Service）、流控和调度的精准度、安全运维的动态化和细粒度；

e) 开放应用模型（OAM - Open Application Model）：使得云安全“以业务应用为核心”的安全运营管理机制成为可能，安全运维和运营的最优实践可以动态贯穿于“云、边、端”伸缩过程的始终；

f) DevOps：使得DevSecOps（开发-安全-运维一体化）及可持续运营在实践上成为可能，最终实现云业务全生命周的安全与可信；

g) 云原生综合应用特性：以云原生中间件技术（结合微服务、服务网格架构、无服务、事务驱动等云原生技术）促使传统或创新性的云原生安全中间件技术的出现。

 

三、云原生安全能力成熟度标准参考

企业的云原生安全建设始终是一个多次迭代的渐进的、螺旋式升降的、循环不已的过程，如何评估在迭代周期内评估安全架构的成熟度将会是个无法绕开的节点和难点，企业可构建云原生安全架构成熟度体系来评估自身云原生安全架构的演进状态，以便能够有效识别未来的迭代进化的方向。可以参考云原生安全成熟度模型SESORA，我们可以看到该模型中有6个涉及云原生核心能力的维度标准

• 维度1. Service（服务化能力）

• 维度2. Elasticity（弹性能力）

• 维度3. Serverless（无服务化比例）

• 维度4. Observability（可测量性）

• 维度5. Resilience（韧性/可复原性）

• 维度6. Automation（自动化程度）

   

四、国内云原生安全产品案例一

以云原生安全厂商探真科技的探真容器安全产品为例。

（图片来源于网络）

1.服务化能力方面，探真容器安全能够通过应用程序画像感知和控制，确保流动代码的安全性，同时自动检测和防止可疑活动。基于云原生的不可变性、微服务化、以及可执行性，使用行为画像和特征模型来取代过时安全监测方法。

2.弹性能力方面，探真容器安全可以完全的弹性部署，随需而动。

3.无服务化比例上，探真科技整体采用创新的Serverless架构，运行速度快，资源占用小。

4.可测量性上，探真容器安全针对云原生环境下运行的主机、K8s集群、pod、容器、Namespace、微服务等多种资产做到了全部可视化，并实现了基于优先级实时感知风险态势。

5.韧性/可复原性方面，基于云原生的不可变的特性，探真容器安全学习分析容器内的活动，来对运行时行为进行免疫基线建模，通过侦测偏移行为，保证容器运行时免受未知攻击威胁。

6.自动化程度方面，探真容器安全支持与CI/CD 流程深度集成，自动化扫描并加固镜像，确保镜像上线即安全。同时可以自动化进行免疫基线建模，通过侦测偏移行为，保证容器运行时免受未知攻击威胁。自动基于最小权限对容器进行收敛和加固，减小运行时非必要的攻击面和风险敞口。

从这一例子不难看出，成熟度高的优秀的云原生安全解决方案，一定是在以上六个维度都利用了云原生本身的特性或创新的技术。同理，应用这样的云原生安全解决方案，才能给企业的云原生环境带来真正的安全。

五、国内云原生安全产品案例二

随着云服务架构的广泛推广使用，适用于云原生环境的API服务架构也逐渐变多，云原生环境是一个完全API化的场景，API几乎承载了所有的服务间调用。

在实际业务中，一次Web端的HTTP调用，后端可能是几十上百次API调用，这意味着API串行设备所要求的延时更小。在更加苛刻的条件下，在串行设备中内置复杂的计算逻辑不现实，而简单的单包分析又解决不了API的异常调用、爬数据、拖数据问题。

（图片来源于网络）

在星阑科技的解决方案中，让串行设备(API网关)承担高性能的阻断能力，通过旁路实时计算平台来承载更多的复杂计算任务。而在旁路大数据分析平台中，模型可以基于历史行为与当前一段时间内的多次请求，动态判定出数据泄露行为，并将攻击源IP和API路径下发给API网关，从而完成旁路阻断。

六、国外云原生安全产品案例

另外，2021年Q2 RSA Conference 2021年度创新沙盒决赛的10家入围者名单中基于原生或部分采纳云原生技术的入围企业已接近史无前例的三成，读者可以基于前述六度成熟度模型构建自己的云原生安全成熟度模型，顺便分析一下下面入围决赛的三家企业，其产品或技术会给你的云服务在安全角度上能带来哪些成熟度的提升，同时也是一个契机，触动你关注未来自己企业的云原生安全架构应该选用何种模式？

1. Abnormal：基于云原生的邮件安全平台

2. Open Raven：基于云原生的数据治理平台

3. Wiz: 业界首家基于云原生的安全风险可视化平台

 

 

参考资源

 

《中国云原生用户调查报告（2020年）》

《云原生架构》

《云原生2.0白皮书》

RSA Conference Innovation Program