云原生技術(shù)蓬勃發(fā)展,已成為賦能企業(yè)業(yè)務(wù)創(chuàng)新的重要推動(dòng)力。Gartner報(bào)告指出,2022年將有75%的全球化企業(yè)會(huì)在生產(chǎn)中使用云原生的容器化應(yīng)用。到2025年,超過95%的新云工作負(fù)載將部署在云原生平臺(tái)上。
但不可忽視的是,云原生在創(chuàng)造效益的同時(shí),也在重塑整個(gè)應(yīng)用生命周期,由此帶來了新的應(yīng)用安全隱患。
云原生應(yīng)用變革帶來三大安全風(fēng)險(xiǎn)
隨著以容器、微服務(wù)、服務(wù)網(wǎng)格為代表的云原生技術(shù)被廣泛使用,企業(yè)從由虛擬機(jī)驅(qū)動(dòng)的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际健⒒谖⒎?wù)的云原生環(huán)境。
在瑞數(shù)信息技術(shù)總監(jiān)吳劍剛看來,云原生技術(shù)帶來了應(yīng)用形態(tài)的變化:一方面,云原生為應(yīng)用帶來了更好的韌性、適用性、故障自愈率等;另一方面,云原生應(yīng)用遵循面向微服務(wù)化的設(shè)計(jì)方式,導(dǎo)致應(yīng)用數(shù)量快速增長,應(yīng)用更加分散、配置更加復(fù)雜,同時(shí)應(yīng)用間交互也帶來了API數(shù)量的指數(shù)級(jí)增長,進(jìn)而為云原生應(yīng)用和業(yè)務(wù)帶來了新的風(fēng)險(xiǎn)。
吳劍剛表示,云原生環(huán)境帶來的應(yīng)用風(fēng)險(xiǎn)大致可分為三類:
● 傳統(tǒng)應(yīng)用安全風(fēng)險(xiǎn)
云原生應(yīng)用源于傳統(tǒng)應(yīng)用,因而云原生應(yīng)用風(fēng)險(xiǎn)也繼承了傳統(tǒng)應(yīng)用的風(fēng)險(xiǎn),例如:失效的對(duì)象級(jí)授權(quán)、失效的用戶身份認(rèn)證、注入攻擊、過度的數(shù)據(jù)暴露、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控等風(fēng)險(xiǎn)。
其中,開源組件代碼漏洞正在成為云原生環(huán)境中常見的風(fēng)險(xiǎn)。云原生技術(shù)大量使用開源代碼,企業(yè)很難規(guī)避開源代碼庫漏洞,由此為云原生應(yīng)用的安全帶來了更多不確定性。
● API安全風(fēng)險(xiǎn)
API大量出現(xiàn)是云原生環(huán)境的一大特點(diǎn),目前針對(duì)API的攻擊已成為一個(gè)重要方向。針對(duì)API的常見網(wǎng)絡(luò)攻擊包括:重放攻擊、DDoS 攻擊、注入攻擊、中間人攻擊、內(nèi)容篡改、參數(shù)篡改等。這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化、自動(dòng)化。
同時(shí),由于API接口被大量調(diào)用,很多企業(yè)API資產(chǎn)不清、責(zé)任不清,API濫用正在成為黑客攻擊的主要入口,為企業(yè)帶來巨大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。
● 業(yè)務(wù)安全風(fēng)險(xiǎn)
隨著數(shù)字化業(yè)務(wù)快速增長,APP、微信、小程序、H5 等多種業(yè)務(wù)接入渠道產(chǎn)生,API接口大量被調(diào)用,帶來了相應(yīng)的業(yè)務(wù)安全風(fēng)險(xiǎn)。
一方面,小程序這類新興線上渠道被攻擊者逆向難度很低,逆向成功后,直接調(diào)用API接口就可以獲取用戶信息、敏感數(shù)據(jù)、辦理業(yè)務(wù)等,實(shí)施業(yè)務(wù)欺詐。另一方面,API接口承載著敏感數(shù)據(jù),經(jīng)常面臨接口越權(quán)、未授權(quán)訪問等安全威脅,攻擊者通過各類Bots模擬真實(shí)用戶、批量化業(yè)務(wù)操作,很容易實(shí)現(xiàn)業(yè)務(wù)攻擊。
云原生呼喚新型應(yīng)用安全技術(shù)
隨著云原生技術(shù)應(yīng)用的普及,在未來數(shù)年內(nèi),云原生架構(gòu)帶來的風(fēng)險(xiǎn)將成為攻擊者關(guān)注和利用的重點(diǎn),傳統(tǒng)基于邊界的防護(hù)模型已不能完全滿足云原生的安全需求。
在云原生環(huán)境下,邊界變得模糊而且更細(xì)粒,安全防護(hù)無法再依賴傳統(tǒng)的邊界;再加上云原生架構(gòu)的多租戶、虛擬化、快速彈性伸縮等特點(diǎn),都對(duì)傳統(tǒng)邊界安全防護(hù)技術(shù)提出了新的挑戰(zhàn)。
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛表示,為了探索一條更適合云原生時(shí)代的持續(xù)安全之路,瑞數(shù)信息從2018年就開啟了云原生應(yīng)用安全技術(shù)的研究,成為業(yè)內(nèi)最早一批基于云原生技術(shù)推出WAAP(集Web應(yīng)用防護(hù)、Bot防護(hù)、DDoS防御、API保護(hù)于一體)產(chǎn)品的安全廠商。
在整體架構(gòu)上,瑞數(shù)信息全線產(chǎn)品實(shí)現(xiàn)了云原生架構(gòu)重構(gòu),既可以提供本地化部署,也可以部署在容器上。同時(shí),為了保持云原生應(yīng)用的運(yùn)行效率,瑞數(shù)信息的產(chǎn)品采用了云原生輕量架構(gòu),將檢測流量和業(yè)務(wù)流量分離,通過對(duì)檢測流量的旁路式輕量校驗(yàn),將客戶的業(yè)務(wù)流量時(shí)延增加壓縮在5ms以內(nèi),滿足互聯(lián)網(wǎng)業(yè)務(wù)高性能、高敏捷的需求。
在防護(hù)維度上,瑞數(shù)信息針對(duì)云原生架構(gòu)增加了流量采集層級(jí),從node、pod、agent三個(gè)層面對(duì)流量進(jìn)行全方位監(jiān)測,將南北向、東西向流量管控起來,實(shí)現(xiàn)更細(xì)顆粒度的安全隔離機(jī)制,有效防止網(wǎng)絡(luò)威脅在云平臺(tái)內(nèi)部肆意蔓延。
面對(duì)云原生架構(gòu)帶來的三類安全風(fēng)險(xiǎn),吳劍剛表示瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)在提供傳統(tǒng)Web安全防御能力的同時(shí),也能輕松應(yīng)對(duì)新興和快速變化的Bots攻擊、0day攻擊和應(yīng)用DDoS攻擊,助力用戶打造覆蓋Web、APP、云原生應(yīng)用和API資產(chǎn)的主動(dòng)防護(hù)體系。
● WEB安全防護(hù)能力: 基于“動(dòng)態(tài)安全引擎”“智能威脅檢測引擎”“規(guī)則引擎”協(xié)同工作,瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)采用輕量級(jí)簽名和特征規(guī)則,即可對(duì)手動(dòng)攻擊、自動(dòng)化攻擊提供更為高效全面的Web應(yīng)用防護(hù)能力,實(shí)現(xiàn)縱深防御。
API安全防護(hù)能力:瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)采用智能威脅檢測技術(shù)、行為分析技術(shù),通過API感知、發(fā)現(xiàn)、監(jiān)控分析和保護(hù)四大模塊,實(shí)現(xiàn)對(duì)API全生命周期的安全防護(hù)管理。
● 惡意機(jī)器人(Bot)保護(hù)能力: 針對(duì)Bot自動(dòng)化工具的識(shí)別與防御是瑞數(shù)信息產(chǎn)品最突出的能力之一。瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)通過“動(dòng)態(tài)混淆技術(shù)”,對(duì)服務(wù)器網(wǎng)頁底層代碼的進(jìn)行持續(xù)動(dòng)態(tài)變換,讓攻擊者無從下手;通過“人機(jī)識(shí)別技術(shù)”,實(shí)現(xiàn)對(duì)訪問客戶端真實(shí)性的識(shí)別,實(shí)現(xiàn)從用戶端到服務(wù)器端的全方位“主動(dòng)防護(hù)”,有效打擊模擬真實(shí)用戶的各種自動(dòng)化攻擊和業(yè)務(wù)欺詐行為。
● 應(yīng)用層DDoS防護(hù)能力: 區(qū)別于傳統(tǒng)限頻的防護(hù)技術(shù),瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)基于獨(dú)特的Bot防護(hù)能力,抓住CC攻擊都是工具發(fā)起的特點(diǎn),通過工具防護(hù),實(shí)現(xiàn)對(duì)業(yè)務(wù)/應(yīng)用層的CC攻擊的防護(hù)。
以API安全防護(hù)為例,吳劍剛表示,傳統(tǒng)API安全網(wǎng)關(guān)產(chǎn)品主要是在API請求的身份認(rèn)證、權(quán)限管控、請求內(nèi)容校驗(yàn)與過濾以及API流量限速等方面進(jìn)行防護(hù),但是這些防護(hù)功能都與應(yīng)用開發(fā)高度相關(guān),應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置,造成的部署與維護(hù)成本都極為高昂。
但實(shí)際上云原生環(huán)境下的API功能在不斷擴(kuò)充與加強(qiáng),貫穿了整個(gè)產(chǎn)品交付的流程,需要結(jié)合云原生架構(gòu)對(duì)API全生命周期進(jìn)行監(jiān)測和管控。這也是為什么瑞數(shù)信息會(huì)推出API安全管控平臺(tái)(API BotDefender)的原因,從API接入客戶端覆蓋到API服務(wù)器端,包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。
基于瑞數(shù)信息全程式API安全威脅防護(hù),企業(yè)可以實(shí)現(xiàn)自動(dòng)化的API資產(chǎn)發(fā)現(xiàn)、API資產(chǎn)全生命周期管理、精準(zhǔn)API畫像構(gòu)建、全渠道感知API、API敏感數(shù)據(jù)管控、API攻擊防護(hù)、API濫用防護(hù)、API訪問行為管控、動(dòng)態(tài)響應(yīng)防護(hù)等。
吳劍剛表示,在云原生環(huán)境下,企業(yè)面臨的攻擊面更廣,因此更應(yīng)該定義自己的核心資產(chǎn),從應(yīng)用視角梳理核心資產(chǎn)、業(yè)務(wù)和場景來進(jìn)行防護(hù)。瑞數(shù)云原生安全產(chǎn)品正是順應(yīng)了安全視角轉(zhuǎn)變的趨勢,對(duì)核心資產(chǎn)進(jìn)行挖掘和保護(hù),并通過輕量級(jí)架構(gòu)和檢測方式為云原生應(yīng)用降本增效。
目前,瑞數(shù)信息是國內(nèi)首批通過中國信通院“云原生API安全能力”和“WAAP能力”評(píng)估認(rèn)證的安全廠商;其中,瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)還榮獲了中國信通院“云原生安全技術(shù)創(chuàng)新優(yōu)秀案例”獎(jiǎng)項(xiàng)。這充分彰顯了瑞數(shù)信息在云原生應(yīng)用安全領(lǐng)域的領(lǐng)導(dǎo)地位,在安全能力、功能全面性、產(chǎn)品穩(wěn)定性、性能等各個(gè)方面為企業(yè)客戶提供了信心。
結(jié)語
云原生給業(yè)務(wù)帶來敏捷積極影響的同時(shí),也帶來了全新的安全挑戰(zhàn),企業(yè)需要不斷更新安全理念、采用多維度、多技術(shù)提高安全的包容性,并將安全策略和業(yè)務(wù)結(jié)合起來優(yōu)化,才能真正將云原生安全落地。瑞數(shù)信息作為云原生安全領(lǐng)域的領(lǐng)先廠商,將幫助更多企業(yè)用戶提升應(yīng)對(duì)IT風(fēng)險(xiǎn)的免疫力,落地云原生應(yīng)用安全最佳實(shí)踐。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!