云原生技術蓬勃發展,已成為賦能企業業務創新的重要推動力。Gartner報告指出,2022年將有75%的全球化企業會在生產中使用云原生的容器化應用。到2025年,超過95%的新云工作負載將部署在云原生平臺上。
但不可忽視的是,云原生在創造效益的同時,也在重塑整個應用生命周期,由此帶來了新的應用安全隱患。
云原生應用變革帶來三大安全風險
隨著以容器、微服務、服務網格為代表的云原生技術被廣泛使用,企業從由虛擬機驅動的基本云環境轉變為分布式、基于微服務的云原生環境。
在瑞數信息技術總監吳劍剛看來,云原生技術帶來了應用形態的變化:一方面,云原生為應用帶來了更好的韌性、適用性、故障自愈率等;另一方面,云原生應用遵循面向微服務化的設計方式,導致應用數量快速增長,應用更加分散、配置更加復雜,同時應用間交互也帶來了API數量的指數級增長,進而為云原生應用和業務帶來了新的風險。
吳劍剛表示,云原生環境帶來的應用風險大致可分為三類:
傳統應用安全風險
云原生應用源于傳統應用,因而云原生應用風險也繼承了傳統應用的風險,例如:失效的對象級授權、失效的用戶身份認證、注入攻擊、過度的數據暴露、使用含有已知漏洞的組件、不足的日志記錄和監控等風險。
其中,開源組件代碼漏洞正在成為云原生環境中常見的風險。云原生技術大量使用開源代碼,企業很難規避開源代碼庫漏洞,由此為云原生應用的安全帶來了更多不確定性。
API安全風險
API大量出現是云原生環境的一大特點,目前針對API的攻擊已成為一個重要方向。針對API的常見網絡攻擊包括:重放攻擊、DDoS攻擊、注入攻擊、中間人攻擊、內容篡改、參數篡改等。這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化、自動化。
同時,由于API接口被大量調用,很多企業API資產不清、責任不清,API濫用正在成為黑客攻擊的主要入口,為企業帶來巨大的數據泄露風險。
業務安全風險
隨著數字化業務快速增長,APP、微信、小程序、H5等多種業務接入渠道產生,API接口大量被調用,帶來了相應的業務安全風險。
一方面,小程序這類新興線上渠道被攻擊者逆向難度很低,逆向成功后,直接調用API接口就可以獲取用戶信息、敏感數據、辦理業務等,實施業務欺詐。另一方面,API接口承載著敏感數據,經常面臨接口越權、未授權訪問等安全威脅,攻擊者通過各類Bots模擬真實用戶、批量化業務操作,很容易實現業務攻擊。
云原生呼喚新型應用安全技術
隨著云原生技術應用的普及,在未來數年內,云原生架構帶來的風險將成為攻擊者關注和利用的重點,傳統基于邊界的防護模型已不能完全滿足云原生的安全需求。
在云原生環境下,邊界變得模糊而且更細粒,安全防護無法再依賴傳統的邊界;再加上云原生架構的多租戶、虛擬化、快速彈性伸縮等特點,都對傳統邊界安全防護技術提出了新的挑戰。
瑞數信息技術總監吳劍剛表示,為了探索一條更適合云原生時代的持續安全之路,瑞數信息從2018年就開啟了云原生應用安全技術的研究,成為業內最早一批基于云原生技術推出WAAP(集Web應用防護、Bot防護、DDoS防御、API保護于一體)產品的安全廠商。
在整體架構上,瑞數信息全線產品實現了云原生架構重構,既可以提供本地化部署。
也可以部署在容器上。同時,為了保持云原生應用的運行效率,瑞數信息的產品采用了云原生輕量架構,將檢測流量和業務流量分離,通過對檢測流量的旁路式輕量校驗,將客戶的業務流量時延增加壓縮在5ms以內,滿足互聯網業務高性能、高敏捷的需求。
在防護維度上,瑞數信息針對云原生架構增加了流量采集層級,從node、pod、agent三個層面對流量進行全方位監測,將南北向、東西向流量管控起來,實現更細顆粒度的安全隔離機制,有效防止網絡威脅在云平臺內部肆意蔓延。
面對云原生架構帶來的三類安全風險,吳劍剛表示瑞數WAAP動態安全平臺在提供傳統Web安全防御能力的同時,也能輕松應對新興和快速變化的Bots攻擊、0day攻擊和應用DDoS攻擊,助力用戶打造覆蓋Web、APP、云原生應用和API資產的主動防護體系。
WEB安全防護能力:基于“動態安全引擎”“智能威脅檢測引擎”“規則引擎”協同工作,瑞數WAAP動態安全平臺采用輕量級簽名和特征規則,即可對手動攻擊、自動化攻擊提供更為高效全面的Web應用防護能力,實現縱深防御。
API安全防護能力:瑞數WAAP動態安全平臺采用智能威脅檢測技術、行為分析技術,通過API感知、發現、監控分析和保護四大模塊,實現對API全生命周期的安全防護管理。
惡意機器人(Bot)保護能力:針對Bot自動化工具的識別與防御是瑞數信息產品最突出的能力之一。瑞數WAAP動態安全平臺通過“動態混淆技術”,對服務器網頁底層代碼的進行持續動態變換,讓攻擊者無從下手;通過“人機識別技術”,實現對訪問客戶端真實性的識別,實現從用戶端到服務器端的全方位“主動防護”,有效打擊模擬真實用戶的各種自動化攻擊和業務欺詐行為。
應用層DDoS防護能力:區別于傳統限頻的防護技術,瑞數WAAP動態安全平臺基于獨特的Bot防護能力,抓住CC攻擊都是工具發起的特點,通過工具防護,實現對業務/應用層的CC攻擊的防護。
以API安全防護為例,吳劍剛表示,傳統API安全網關產品主要是在API請求的身份認證、權限管控、請求內容校驗與過濾以及API流量限速等方面進行防護,但是這些防護功能都與應用開發高度相關,應用程序修改后往往也需要修改API安全網關的配置,造成的部署與維護成本都極為高昂。
但實際上云原生環境下的API功能在不斷擴充與加強,貫穿了整個產品交付的流程,需要結合云原生架構對API全生命周期進行監測和管控。這也是為什么瑞數信息會推出API安全管控平臺(APIBotDefender)的原因,從API接入客戶端覆蓋到API服務器端,包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊,為API接口提供完整的安全管控方案。
基于瑞數信息全程式API安全威脅防護,企業可以實現自動化的API資產發現、API資產全生命周期管理、精準API畫像構建、全渠道感知API、API敏感數據管控、API攻擊防護、API濫用防護、API訪問行為管控、動態響應防護等。
吳劍剛表示,在云原生環境下,企業面臨的攻擊面更廣,因此更應該定義自己的核心資產,從應用視角梳理核心資產、業務和場景來進行防護。瑞數云原生安全產品正是順應了安全視角轉變的趨勢,對核心資產進行挖掘和保護,并通過輕量級架構和檢測方式為云原生應用降本增效。
目前,瑞數信息是國內首批通過中國信通院“云原生API安全能力”和“WAAP能力”評估認證的安全廠商;其中,瑞數WAAP動態安全平臺還榮獲了中國信通院“云原生安全技術創新優秀案例”獎項。這充分彰顯了瑞數信息在云原生應用安全領域的領導地位,在安全能力、功能全面性、產品穩定性、性能等各個方面為企業客戶提供了信心。
結語
云原生給業務帶來敏捷積極影響的同時,也帶來了全新的安全挑戰,企業需要不斷更新安全理念、采用多維度、多技術提高安全的包容性,并將安全策略和業務結合起來優化,才能真正將云原生安全落地。瑞數信息作為云原生安全領域的領先廠商,將幫助更多企業用戶提升應對IT風險的免疫力,落地云原生應用安全最佳實踐。
