某银行是我国由民间资本设立的商业银行,拥有覆盖全国的分支及附属机构。近年来,在金融行业数字化转型的驱动下,国有银行、股份制银行和各级商业银行也纷纷步入云原生化的进程。该银行重点发力“云原生体系”、“分布式体系”建设,走在数字化转型的前列。本文将重点分享该银行在数字化转型过程中的云原生安全挑战和实践。
需求和挑战
银行不仅要满足国家和金融行业强监管的合规要求,而且要做到对资产的完全可视、安全控制。
在前期的需求调研中,该银行发现他们缺少快速、集中的资产和风险管理手段,安全运营工作缺乏技术上的保障和审核能力。原本他们希望通过自研Agent以满足对云原生基础设施的资产清点和入侵检测功能需求,但因为开发成本和维护成本太高,又难以满足场景各异的安全需求,所以需要一款性能稳定、功能全面、架构成熟的云原生安全方案。同时,该银行专业安全技术人员无法全面覆盖到日益增长的创新业务和应用场景,也更需要一套高效化云原生安全分析平台来处理繁杂的安全应急工作和安全管理工作。
事实上,从传统应用向云原生化转型后,该银行也面临诸多的安全挑战。具体地讲,主要包括:
• 缺乏持续检测容器中是否存在漏洞的技术手段。
• 无法判断容器是否存在风险配置。
• 入侵检测无法实时防护容器,入侵检测功能需要实时检测容器中是否有反向链接行为,检测Web容器中是否存在后门文件。
• 容器资产难以统计。容器资产清点不仅可以掌握容器资产状况,也可以在发现容器被入侵时提供详细的信息进行溯源,可以通过查看容器内运行进程、端口是否存在异常来进一步分析。如果发现异常进程,则可以通过查看该容器对应的镜像,对应在“镜像”的资产中,查看这个镜像起跑起了多少容器,是否每个容器中都有异常程序。
因此,考虑自身的行业属性,面对数字化转型的发展需求和挑战,该银行需要一款性能稳定、功能全面、架构成熟的云原生安全产品或方案。凭借坚持技术创新、客户服务第一的优势积累,青藤蜂巢·云原生安全平台受到该银行青睐。例如,在技术能力上,通过蜂巢安全补丁功能可以及时发现镜像在构建时是否使用了有漏洞的应用,也可以更进一步的发现镜像仓库中是否存在漏洞,并且支持配置可信的“镜像源”,在镜像投入使用前就可以发现漏洞、修复漏洞。通过合规基线功能可以及时发现容器是否存在配置风险。比如黑客在入侵时有可能通过不断耗尽容器的内存资源进行攻击,进而导致主机上的所有容器都不可用,蜂巢通过检查是否设置了限制容器内存使用配置,可以实现有效预防。此外,7*24小时的实时在线防护服务,也为该银行业务平稳、安全运行提供保障。
解决方案
经过多番的对比试用、测试和安全验证,该银行最终采用青藤蜂巢·云原生安全平台。整个部署方案如图(图 青藤蜂巢产品功能架构)所示,主要从安全左移和运行时安全两个阶段,在容器的全生命周期过程中,提供原生的、融合的安全能力。
图 青藤蜂巢产品功能架构
安全左移的核心是做安全管理,在实际落地的时候是通过软件生产过程中安全检查的卡点来实现的,同时还要以“准入”和“准出”来进行管控。
• 在开发环节,确保构建的镜像是符合安全规定的,随后镜像即可“准入”到测试环节。
• 在测试环节,确保镜像运行起来之后应用的相关安全测试是没有问题的,随后镜像即可“准出”来发布上线。
同时,青藤蜂巢提供将安全检查的能力以API和插件的形式集成到生产流程中去,把开发运维和安全的人员之间的信息差给打破。在运行时,青藤蜂巢基于自适应安全的理念,实现对资产的监控和响应,来完成安全的闭环。
• 首先,摸清家底、理清系统脆弱点。
• 其次,对系统进行加固,下发安全策略,阻断恶意行为的侵入。
• 接着,对运行时环境进行持续监控,实时发现恶意行为,并进行响应处理。
• 最后,能对恶意进行溯源分析,找到攻击者利用的薄弱点并进行修补。
方案价值
该银行采用青藤蜂巢·云原生安全平台两年来取得显著的成效。青藤蜂巢通过自行修复不合规项,实时识别和防止违规行为的发生,确保该银行的云原生应用满足安全监管的合规要求,同时,提高各网络区域的资产清点能力、风险发现能力,如弱口令、漏洞、配置风险,协做好每天安全风险的修复与运营工作。主要表现在:
(1) 资产版本精确确认,及时定位不良资产
通过资产清点功能,精确确认各服务器的业务情况,同时下发整改任务,及时更新服务器上版本过低的软件,实时跟进版本更新进度。一方面该银行的安全部门清晰地了解当前线上云原生应用,并且能够实时跟进变化,另一方面在发生安全事件时,全面及时地获取资产数据支持,缩短了应急响应时间,减少了损失。
(2) 持续监测分析,发现内外风险
通过对资产清点得到的信息进行分析,能够提供风险快速分析和响应能力,持续监测暴露在外的资产风险, 如Web 风险文件、危险进程、开放端口、不必要的进程服务、不必要的系统账号等,弥补了传统边界防护的不足,帮助客户从单纯的“应急响应”升级到全周期的“持续响应”。
(3) 多锚点实时检测,准确感知入侵
由于银行客户对修复漏洞极为谨慎,所以对弱密码、系统风险、应用风险、入侵检测等操作等功能关注度更高。青藤蜂巢的入侵检测功能通过对攻击路径的多个节点(如进程变化、文件变化、登录退出等事件)等进行监控,能及时发现失陷主机,同时通过短信、邮件等多种方式,让用户第一时间知道入侵事件的发生。通过对容器运行时进行持续的监控和分析,该银行在高强度的攻防演练中发现入侵事件,同时有效地对攻击进行溯源分析,找到攻击路径并确定失陷范围;同时能快速进行安全响应,提高了响应效率。
(4) 缩小攻击面,提高了整体安全水平
该银行的云原生安全防护方案涵盖容器从开发到上线的全生命周期流程,对镜像安全问题进行了深度检查,发现了很多潜在安全风险,通过推动风险问题的解决,缩小了攻击面,提高了整体安全水平。
部署两年来,在青藤蜂巢的护航下,该银行业务安全平稳运行且零重大事故,云原生安全防护能力迈上新台阶,该银行对青藤蜂巢安全防护能力表示高度的肯定和认可。