↑ 点击上方“安全狗”关注我们
12月24日,由开源GitOps产业联盟和杭州谐云科技联合主办的开源GitOps产业联盟会员行·杭州站在线上成功举办。
作为国内云原生安全领导厂商,安全狗此次也收到邀请作为演讲嘉宾出席活动。
厦门服云信息科技有限公司(品牌名:安全狗)成立于2013年,致力于提供云安全领域相关产品、服务及解决方案,是国内最早引入云工作负载安全(CWPP)概念,首家推出云主机安全SaaS产品、成功构建云工作负载安全&云原生安全产品线、能灵活适配各种混合云环境的安全厂商。
安全狗海青实验室安全研究员唐子龙此次在活动上结合自身的安全研究经验为大家分享了“云原生容器全生命周期的漏洞防治”主题演讲。
在提及云原生漏洞的定义时,唐子龙说到,漏洞实质上是系统安全策略上存在的缺陷,可以使攻击者能够在未授权的情况下访问或破坏系统。除此之外,配置安全缺陷也属于一种漏洞的形式。
随着云原生应用的普及,越来越多的资产形态都由实体化专向虚拟化和云原生化的形态。
可以看到云原生容器资产漏洞由以下部分组成:
DveOps工具存在高危的命令执行漏洞。如Jenkins rce。
任何的高危漏洞都将影响整个云原生环境的安全性。
在分析云原生漏洞态势时,唐子龙也结合自己在大型攻防演练实战中的经验强调对漏洞的态势追踪是一项重要的动作。在Sysdig、CNVD等权威调研中也纷纷指出编排平台及运行时引擎等两类基础设施的主机漏洞居多。一旦被攻破,则会对主机安全造成威胁。
针对这些云原生漏洞,唐子龙也分享了安全狗基于云原生安全的六大关键组成部分,总结出的“CCICAE”云原生漏洞攻击面模型与Gartner总结的容器全生命周期攻击面分析相对应。
对比其他抽象的难易理解的漏洞模型,安全狗推出的“CCICAE”云原生漏洞攻击面模型能让用户全面且易懂地了解到云原生面临的漏洞风险面有哪些,快速做出相应的防护措施。
随后,唐子龙深入浅出地从云原生环境漏洞攻击场景、容器应用服务漏洞、容器编排平台漏洞、容器运行时漏洞、操作系统漏洞、容器镜像&仓库漏洞等多种实际场景分享了云原生容器全生命周期漏洞攻击案例,同时也提醒用户们在日常的操作环境中要做好相应的安全防范。
在谈及云原生环境漏洞检测与防治实践时,唐子龙分享了几点建议:
1、基于CCICAE模型的漏洞对策
2、以漏洞情报运营与研究促进漏洞防御
3、事前:全生命周期、全环境漏洞检查
4、事前:全生命周期的SCA
5、事前:“准入”+“准出”安全管控
6、事中:运行时异常行为分析
7、事中:运行时RASP代码疫苗技术
8、事中:日志审计
9、事后:漏洞清点与防治
与此同时唐子龙强调到,通过整个云原生容器全生命周期漏洞防治流程图的全面展示,我们可以在不同的阶段做该做的检测。在构建时,就对其进行扫描和漏洞扫描;在部署阶段,关注部署的代码安全和镜像安全;在运行时,关注异常行为和情报信息。同时,检测到情报,我们也能反哺回漏洞库,并对全资产进行全生命周期的巡检。
在演讲的最后,唐子龙总结到,随着云原生容器的广泛运用,在提升DevOps效率的同时,也引入了新的漏洞安全风险。云原生分布式环境兼容了复杂多样的业务和需求,对漏洞的检查与防治手段不再单一,而是多维度的检查与对应,需要管理员更细化的理清资产的脉络。
在不同的业务场景中,也面临着截然不同的漏洞攻击面。因此,用户需结合漏洞梳理和实际业务场景分析出这些攻击面,再根据不同的风险程度,有的放矢地采用多种安全能力实施纵深防御。也可以引入基于SCA技术的工具,与DevOps流程无缝结合,在流水线的测试阶段自动发现应用程序中的开源组件,能高效查出“洞点”。
对于安全左移和迅捷右移的理念,在云原生容器应用上线前进行代码漏洞和软件成分分析进行筛查,可以帮助实施安全左移;在云原生容器应用运行时进行实时监控行为分析,分析其是否有漏洞成分,能够帮助实施迅捷右移。这两种理念仍需结合具体场景。在打磨安全能力和产品的兼容同时,需要安全产研与DevOps相关技术人员的密切合作,互相间建立更多信任。
- END -
