近日,由中国信息通信研究院主办的2023(第六届)金融科技产业大会在北京国际会议中心召开。会上,中国信通院云大所与青藤云安全达成战略合作,护航金融云稳健安全发展。青藤云安全联合创始人&产品副总裁胡俊出席大会,并发表《金融行业云原生化转型中的安全新思路》主题演讲,深入剖析了业务云原生化转型过程中安全挑战,重点阐述了青藤先进云安全方案-CNAPP的核心能力和应用价值。
一、金融行业云原生化转型的背景
根据中国人民银行印发的《金融科技发展规划(2022-2025年)》相关文件,对打造新型数字基础设施提出了更高目标,要求加快云计算技术规范应用,稳妥推进信息系统向多节点并行运行、数据分布存储、动态负载均衡的分布式架构转型,实现敏态与稳态双模并存、分布式与集中式互相融合。
为更好响应和满足该规划的要求,各个金融机构都在积极进行云原生化的转型。基于云原生技术进行应用开发,可以“无视”传统硬件基础设施的差异,提升资源利用率,同时,通过微服务来适应业务需求,也提升业务的敏捷变化,使得开发效率提升。
图1 业务云原生化的优势和价值
二、业务云原生化转型带来安全挑战
云原生给业务带来便利性同时,也给安全带来了全新的挑战,新的技术引入了新的安全防护对象,例如在云原生转型过程中,会引入容器、微服务、声明式API以及服务网格等一系列技术,这些新技术也会带来新的安全挑战。
在云原生化的改造过程中,摆在组织面前的首要问题正是安全问题。企业在技术和组织上面临着以下两方面新的挑战。
(1)技术挑战
云原生引入了大量新的基础设施,安全防护对象发生了颠覆性变化,容器及容器云逐渐成为工作负载的主流。容器还带来了相关的新技术,比如镜像使用和管理、新的应用运行时的环境配置、新的通用网络接口等。这些新技术会带来新的安全问题,比如容器逃逸、基础镜像安全问题、微服务框架安全问题等等。
图2 云原生引入新的安全挑战
虽然云原生引入了新的技术栈,但是传统IT环境中很多攻击手段在云环境中仍然适用。因为容器本质上仍然只是一个进程,只不过采用了namespace、cgroup等轻量的虚拟化技术进行隔离。
总得来说,云原生让安全风险敞口更大,安全挑战更大,既需要应对传统攻击手段,也需要应对一些云原生场景特有的安全问题。
(2)组织挑战
在云原生时代,安全职责划分需要重新考虑,同时责任主体也需要有所调整,从开发团队、运维团队、安全团队的各司其职,转变成责任共担,并通过组织流程让各责任主体协同起来。
图3 安全组织模式待调整
在现代开发环境中,安全流程的自动化是关键。快速的 CI/CD 开发没有为流程的人工审查留出时间,而是需要进行自动化安全测试。此外,开发人员不是安全专家,他们只有少量的时间用在安全流程上,因此需要有嵌入式的安全工具,辅助开发人员完成安全检测。构建和运行安全工具并非易事,特别是在大型组织中,不同开发团队的需求差别很大。为了提高自动化水平,一些组织建立了专门的安全工程团队,专注于建立内部工具和整合外部工具。
三、先进云安全方案-CNAPP
总得来说,云原生环境下,面对这些技术挑战和组织挑战,大多数传统安全工具根本无法解决这些挑战。根据CSA联盟发布的《2022年度-云计算的11类定级威胁》报告,78%的组织确认传统安全解决⽅案在其云环境中根本不起作用或功能有限。
图4 传统安全方案在云环境中效果调查情况
传统云安全方案基于硬件产品虚拟化,仅解决了部分流量安全的问题。此外,云安全资源池没有利用云计算基础设施的技术,还是传统的网关技术,无法解决新型的云计算组件安全问题,主要问题可以概括为以下几点:
难以适配云和云原生环境
高度碎片化导致效率低下
安全能力迭代演进缓慢
难以融合到业务全生命周期
为此,国际咨询机构Gartner提出了一个全新概念 CNAPP(Cloud Native Application Protection Platforms),中文全称“云原生应用保护平台”。根据其英文名字组合分析来看,有三个关键词:
Cloud:强调安全方案要能解决云的威胁问题,要能适配云环境本身动态变化。
Native:安全措施要实现原子化、原生化,真正嵌入到云原生全生命周期中去。
Application:安全防护在基础设施之外,需要更加要强化对应用以及应用内流转的数据的保护。
CNAPP框架在具体实践过程中应该包括开发和运行时两个阶段。在云原生时代,应该改变过去只重视运行时阶段安全防护,将运行时安全和开发安全放在同等重视位置上,实现开发阶段和运营阶段安全能力双向打通。例如,在运行时阶段发现一个容器存在某个问题,可追溯该该问题是在开发阶段什么时候引入的,以及在开发阶段如何修复等。当然在开发阶段的IaC配置也将直接影响到运行时阶段。CNAPP安全可以包括三个方面,如下图所示:
向左看:核心在于针对开发过程研发制品进行细粒度检查和控制,确保上线即安全。
向右看:适配新的云原生安全架构,包括云原生网络、云原生工作负载、 云原生应用、云原生API服务等。
向下看:在保留原有安全建设基础上,需要重点强化云配置管理。