《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 人工智能 > 業(yè)界動(dòng)態(tài) > 云原生應(yīng)用保護(hù)平臺(tái)的發(fā)展演進(jìn)脈絡(luò)

云原生應(yīng)用保護(hù)平臺(tái)的發(fā)展演進(jìn)脈絡(luò)

2021-01-27
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  一、前言

  1.png

  云計(jì)算,、大數(shù)據(jù)人工智能的來臨,,上云已經(jīng)成為組織數(shù)字化轉(zhuǎn)型的必由之路。云原生作為云計(jì)算的下一個(gè)階段,,相關(guān)的開發(fā)和部署模式已經(jīng)成為業(yè)界趨勢(shì),,技術(shù)、產(chǎn)品,、標(biāo)準(zhǔn)和解決方案的生態(tài)系統(tǒng)也在同步擴(kuò)張之中,,決策者面臨著跟進(jìn)這些復(fù)雜設(shè)計(jì)的挑戰(zhàn)。

  云原生技術(shù)應(yīng)用產(chǎn)生了新的云安全需求,,CISO 要在競(jìng)爭(zhēng)激烈的云原生市場(chǎng)中確保業(yè)務(wù)安全,。傳統(tǒng)的防火墻、反病毒,、服務(wù)器監(jiān)控,、終端檢測(cè)響應(yīng)和SIEM等安全產(chǎn)品,與云原生的適配性較好,,容易部署上云,。但工作負(fù)載安全、威脅檢測(cè),、用戶行為監(jiān)控,、合規(guī)與風(fēng)險(xiǎn)管理等安全產(chǎn)品,無法適應(yīng)云原生技術(shù)的新安全需求,,需要進(jìn)行專門的重新設(shè)計(jì),。

  過去的幾年,誕生了云工作負(fù)載保護(hù)平臺(tái)CWPP(Cloud Workload Protection Platform),、云安全態(tài)勢(shì)管理CSPM(Cloud Security Posture Management)等云安全產(chǎn)品,,對(duì)云原生安全的保護(hù)發(fā)揮了重要作用。但是,,隨著新應(yīng)用場(chǎng)景的出現(xiàn),、技術(shù)的演化和市場(chǎng)的變化趨勢(shì),云原生應(yīng)用保護(hù)平臺(tái)(Cloud-Native Application Protection Platform, CNAPP)的概念誕生,,漸有統(tǒng)一CWPP和CSPM之勢(shì),。本文將對(duì)CNAPP的發(fā)展演進(jìn)脈絡(luò)進(jìn)行分析。

  二,、傳統(tǒng)主機(jī)保護(hù)平臺(tái)

  2.png

  01 終端保護(hù)平臺(tái)

  云原生應(yīng)用程序保護(hù)平臺(tái)最初起源于終端保護(hù)平臺(tái)(Endpoint Protection Platform,,EPP),。雖然一些企業(yè)現(xiàn)在仍在使用EPP產(chǎn)品作為保護(hù)服務(wù)器工作負(fù)載的安全產(chǎn)品,但是EPP是面向物理終端設(shè)備(臺(tái)式機(jī),、筆記本電腦和平板電腦等)的解決方案,,不適合企業(yè)混合云場(chǎng)景下的工作負(fù)載保護(hù)的要求。

  在這種場(chǎng)景下,,基礎(chǔ)架構(gòu)是由本地服務(wù)器,、虛擬服務(wù)器以及公有云環(huán)境共同組成,主要的保護(hù)目標(biāo)是服務(wù)器的工作負(fù)載,。EPP產(chǎn)品的繼續(xù)使用會(huì)使企業(yè)的數(shù)據(jù)和應(yīng)用程序處在巨大的安全風(fēng)險(xiǎn)之中,。傳統(tǒng)的以數(shù)據(jù)中心、網(wǎng)絡(luò)和終端為主要保護(hù)對(duì)象的安全理念和產(chǎn)品,,需要向混合云場(chǎng)景進(jìn)行演進(jìn),。

  02 混合云場(chǎng)景下的云工作負(fù)載保護(hù)平臺(tái)

  混合云的部署架構(gòu)逐漸被市場(chǎng)接受。為了滿足混合云場(chǎng)景下的工作負(fù)載保護(hù),,云工作負(fù)載保護(hù)平臺(tái)(Cloud Workload Protection Platform, CWPP)隨之產(chǎn)生,。CWPP最初(2016年)基于主機(jī)安全的解決方案進(jìn)行定義,區(qū)別于EPP的PC維度,,CWPP主要解決的問題在于數(shù)據(jù)中心維度,。CWPP強(qiáng)調(diào)了混合數(shù)據(jù)中心架構(gòu)需要統(tǒng)一的管理、Linux系統(tǒng)的重點(diǎn)支持,、殺毒軟件的無效,、定價(jià)靈活性以及跟云平臺(tái)的對(duì)接和API與DevSecOps的結(jié)合等等。

  從技術(shù)角度來看,,最核心的是跟云平臺(tái)原生的對(duì)接,,利用AWS或者Azure提供的接口來進(jìn)行相關(guān)安全措施的處理。比如說通過VPC接口可以做到相關(guān)業(yè)務(wù)的微隔離,,也可以通過網(wǎng)絡(luò)流量日志來進(jìn)行流量的安全分析,。

  2017年,CWPP增加了外部場(chǎng)景的云工作負(fù)載安全服務(wù)(WAF,、Firewall和IPS等),,進(jìn)一步增強(qiáng)云工作負(fù)載的保護(hù)。并且,,開始采用控制面的安全措施(IAM配置,、網(wǎng)絡(luò)配置以及管理員訪問等)。

  此外,,容器的出現(xiàn),,使得用戶無法對(duì)線上系統(tǒng)進(jìn)行處理,安全措施需要前移到開發(fā)環(huán)節(jié),并且運(yùn)行時(shí)的應(yīng)用控制和容器的鎖定需要作為新的防御手段,,云工作負(fù)載保護(hù)架構(gòu)隨之發(fā)生了變化,。新架構(gòu)要求對(duì)SDL流程的支持,與自動(dòng)化CI/CD工具的結(jié)合,,要求API可以靈活調(diào)用,將安全檢查前移,。

  03 混合多云場(chǎng)景下的云工作負(fù)載保護(hù)平臺(tái)

  2018年,,大部分組織開始在使用至少兩個(gè)廠商的云計(jì)算服務(wù)?;旌隙嘣频牟渴鸺軜?gòu)成為市場(chǎng)的主流,。為了滿足混合多云場(chǎng)景下云工作負(fù)載保護(hù),CWPP需要提供統(tǒng)一的安全策略管理,,以減少企業(yè)的知識(shí)鴻溝,。

  同時(shí),CWPP的管理需要自動(dòng)化,,從而更好地與DevSecOps相結(jié)合,。例如,在自動(dòng)化生成工作負(fù)載時(shí),,自動(dòng)化安裝和配置相關(guān)的軟件或安全策略,。

  此外,CWPP開始注重機(jī)器學(xué)習(xí)技術(shù)對(duì)產(chǎn)品能力金字塔各個(gè)層面的加強(qiáng)作用,。例如,,對(duì)于微隔離層面,機(jī)器學(xué)習(xí)可以先學(xué)習(xí)和觀察正常的情況,,然后建立白名單,,隨著時(shí)間的推移不斷更新和修正策略以達(dá)到不用人工介入就可設(shè)置安全策略的狀態(tài)。

  然而,,CWPP并不能解決Serverless計(jì)算方式所帶來的安全問題,,勢(shì)必需要對(duì)工作負(fù)載的定義進(jìn)行重新和全面審視。因而,,Gartner在2019年對(duì)工作負(fù)載的外延和內(nèi)涵進(jìn)行細(xì)粒度解釋,,根據(jù)抽象度的不同分為物理機(jī)、虛擬機(jī),、容器和Serverless,。

  這幾種工作負(fù)載從虛擬化水平到單位的計(jì)量再到生命周期都有很大的區(qū)別。能力金字塔因而發(fā)生了重大變化,。從原來的11個(gè)能力刪減到8個(gè)能力,,并且將最底層的“運(yùn)維習(xí)慣”與“加固、配置與漏洞管理”進(jìn)行了整合。刪掉了“欺騙防御”能力,,因?yàn)槠垓_/蜜罐系統(tǒng)是單獨(dú)產(chǎn)品提供,。同時(shí)數(shù)據(jù)的靜態(tài)加密大部分情況下都有云廠商提供,比如AWS的EBS加密和Azure的磁盤加密,,因此“靜態(tài)加密IaaS數(shù)據(jù)”這個(gè)能力也從能力金字塔中刪掉了,。但是加強(qiáng)了對(duì)威脅檢測(cè)和響應(yīng)的要求,相當(dāng)于要學(xué)習(xí)EDR的能力,。

7.png

  圖1:工作負(fù)載抽象

  2020年,,CWPP能力金字塔進(jìn)一步精簡(jiǎn),文件加密和防病毒從其中移除,。目前的能力,,從最核心的開始,按照重要性逐漸遞減的排序,,包括八層:加固,、配置和漏洞管理,基于身份的隔離和網(wǎng)絡(luò)可視化,,系統(tǒng)完整性保證,,應(yīng)用控制/白名單,預(yù)防漏洞利用和內(nèi)存管理,,服務(wù)器工作負(fù)載行為監(jiān)測(cè),、威脅檢測(cè)和響應(yīng),主機(jī)防入侵和漏洞屏蔽,,掃描惡意軟件,。

8.png

  圖2:基于風(fēng)險(xiǎn)的工作負(fù)載保護(hù)控制層次結(jié)構(gòu)

  三、云原生應(yīng)用保護(hù)平臺(tái)

  01 云原生應(yīng)用保護(hù)平臺(tái)的產(chǎn)生背景

  首先,,從安全市場(chǎng)角度來看,,云原生技術(shù)持續(xù)深入發(fā)展和廣泛普及勢(shì)必帶來新的網(wǎng)絡(luò)安全發(fā)展機(jī)遇,產(chǎn)生龐大的網(wǎng)絡(luò)安全需求,,并推動(dòng)云安全業(yè)務(wù)向縱深發(fā)展,。

  其次,從安全生態(tài)角度來看,,安全產(chǎn)品的融合發(fā)展成為必然選擇,。CWPP在數(shù)據(jù)面對(duì)云工作負(fù)載進(jìn)行保護(hù),CSPM在控制面對(duì)云工作負(fù)載進(jìn)行保護(hù),。

  值得注意的是,,當(dāng)前大多數(shù)的云安全事件都是配置錯(cuò)誤和管控失當(dāng)引起的,凸顯正確配置和合規(guī)的重要性,,控制面的安全變得越加重要,。數(shù)據(jù)面和控制面的云安全產(chǎn)品通過相互融合組成統(tǒng)一的解決方案,,能夠更好地保護(hù)多云和多租戶,云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)由此產(chǎn)生,。

  最后,,從云安全實(shí)際需求角度來看,混合多云仍將是組織和機(jī)構(gòu)未來一段時(shí)期的基礎(chǔ)架構(gòu),。

  但是,,工作負(fù)載的粒度、生命周期以及創(chuàng)建方式發(fā)生了顯著變化,,云安全保護(hù)需求勢(shì)必也會(huì)發(fā)生變化,。

  首先,組織正在越來越多地采用容器和Serverless等技術(shù)進(jìn)行云原生應(yīng)用開發(fā),,工作負(fù)載的粒度越來越來越細(xì),云原生安全保護(hù)需要適應(yīng)工作負(fù)載粒度的變化,。

  其次,,容器和Serverless等形式的云原生開發(fā)的流行,工作負(fù)載的生命周期越來越短,,部署在這些工作負(fù)載上的惡意軟件也呈現(xiàn)出快速變化的特點(diǎn),。傳統(tǒng)的基于簽名文件加載或反惡意軟件掃描的方式無法及時(shí)響應(yīng),基于行為建模的方案也因無法收集足夠案例變得失效,。云原生安全保護(hù)需要適應(yīng)工作負(fù)載的生命周期越來越短的變化,。

  最后,工作負(fù)載越來越通過鏡像構(gòu)建和替換,,正在向不變的基礎(chǔ)設(shè)施轉(zhuǎn)變,。云原生安全保護(hù)同樣需要適應(yīng)這種變化。

  02 云原生應(yīng)用程序保護(hù)平臺(tái)的主要特點(diǎn)

  總的來說,,CNAPP將會(huì)吸收CWPP和CSPM的能力,,不僅需要把不同的安全解決方案集成在一起,跨越不同技術(shù)邊界實(shí)施一致的安全策略,,提供統(tǒng)一的云原生保護(hù),,還需要采用面向安全的架構(gòu)設(shè)計(jì)(例如,零信任),,識(shí)別動(dòng)態(tài)工作負(fù)載中的屬性和元數(shù)據(jù),,自動(dòng)化地保護(hù)開發(fā)、發(fā)布,、部署和運(yùn)營等整個(gè)生命周期,。

  首先,CNAPP無疑仍將聚焦動(dòng)態(tài)混合,、異構(gòu)多云架構(gòu)場(chǎng)景下的工作負(fù)載保護(hù),,重點(diǎn)是跨不同技術(shù)邊界實(shí)施一致的安全策略,。

  其次,CNAPP需要具備對(duì)所有粒度的工作負(fù)載進(jìn)行保護(hù)的能力,。云原生應(yīng)用需要虛擬機(jī),、容器和無服務(wù)器PaaS組合起來提供服務(wù),單一的工作負(fù)載保護(hù)無法保證應(yīng)用的整體安全,。并且,,隨著工作負(fù)載的粒度和動(dòng)態(tài)變化,CNAPP策略和產(chǎn)品也許必須動(dòng)態(tài)適應(yīng),、彈性伸縮,。

  第三,CNAPP需要對(duì)開發(fā),、發(fā)布,、部署和運(yùn)營等整個(gè)生命周期進(jìn)行保護(hù)。現(xiàn)在的CWPP主要關(guān)注工作負(fù)載運(yùn)營階段的保護(hù),,缺乏對(duì)其他階段的保護(hù),。CNAPP需要注重基于基礎(chǔ)設(shè)施的不變性進(jìn)行保護(hù)。在開發(fā)階段,,使用安全測(cè)試來識(shí)別合規(guī)和配置的相關(guān)問題,,為持續(xù)改進(jìn)提供快速、可操作的反饋流程,。在發(fā)布階段,,持續(xù)地對(duì)工作負(fù)載鏡像(例如容器鏡像)進(jìn)行自動(dòng)掃描和更新,避免遭受漏洞,、惡意軟件,、危險(xiǎn)代碼以及其它不當(dāng)行為的侵害,確保所依賴的開源軟件和第三方應(yīng)用等軟件供應(yīng)鏈的安全,。在部署時(shí),,對(duì)工作負(fù)載鏡像的屬性進(jìn)行的驗(yàn)證(例如,簽名,、安全策略等),。

  第四,CNAPP需要適應(yīng)云原生開發(fā)的快速迭代,,基于CI/CD 實(shí)現(xiàn)自動(dòng)化,。云原生追求的本質(zhì)目標(biāo)是效率,CI/CD作為效率提升的重要手段,,是云原生的關(guān)鍵特性,。云原生時(shí)代,不滿足CI/CD自動(dòng)化的安全產(chǎn)品,,將摧毀云原生的價(jià)值,,也就不能算作云原生安全保護(hù),。

  第五,CNAPP需要重點(diǎn)加強(qiáng)配置保護(hù)和合規(guī)性檢查能力,。云計(jì)算基礎(chǔ)設(shè)施錯(cuò)誤配置帶來的安全風(fēng)險(xiǎn)要比攻破工作負(fù)載帶來的安全風(fēng)險(xiǎn)更大,。CSPM能夠?qū)υ朴?jì)算技術(shù)設(shè)施的配置和合規(guī)性進(jìn)行持續(xù)評(píng)估和改進(jìn),CNAPP需要充分吸收CSPM的這種能力,。

  第六,,CNAPP需具備對(duì)云原生應(yīng)用程序進(jìn)行威脅檢測(cè)和響應(yīng)的能力。CWPP主要依賴于預(yù)防性控制,,而CNAPP需要采用CARTA戰(zhàn)略框架和自適應(yīng)安全架構(gòu),,對(duì)云原生應(yīng)用程序以及相關(guān)工作負(fù)載的行為進(jìn)行監(jiān)控。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]