警惕云原生應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn)

闞哲

云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務(wù)創(chuàng)新的重要推動(dòng)力。Gartner的一份報(bào)告指出，2022年將有75 %的全球化企業(yè)會(huì)在生產(chǎn)中使用云原生的容器化應(yīng)用。到2025年，會(huì)有超過(guò)95 %的新云工作負(fù)載將部署在云原生平臺(tái)上，但不可忽視的是，云原生在創(chuàng)造效益的同時(shí)，也在重塑整個(gè)應(yīng)用生命周期，由此帶來(lái)了新的應(yīng)用安全隱患。

云原生應(yīng)用變革帶來(lái)安全風(fēng)險(xiǎn)

隨著以容器、微服務(wù)、服務(wù)網(wǎng)格為代表的云原生技術(shù)被廣泛使用，企業(yè)從由虛擬機(jī)驅(qū)動(dòng)的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际健⒒谖⒎?wù)的云原生環(huán)境。

在瑞數(shù)信息技術(shù)總監(jiān)吳劍剛看來(lái)，云原生技術(shù)帶來(lái)了應(yīng)用形態(tài)的變化：一方面，云原生為應(yīng)用帶來(lái)了更好的韌性、適用性和故障自愈率；另一方面，云原生應(yīng)用遵循面向微服務(wù)化的設(shè)計(jì)方式，導(dǎo)致應(yīng)用數(shù)量快速增長(zhǎng)，應(yīng)用更加分散、配置更加復(fù)雜，同時(shí)應(yīng)用間交互也帶來(lái)了API數(shù)量的指數(shù)級(jí)增長(zhǎng)，進(jìn)而為云原生應(yīng)用和業(yè)務(wù)帶來(lái)了新的風(fēng)險(xiǎn)。吳劍剛表示，云原生環(huán)境帶來(lái)的應(yīng)用風(fēng)險(xiǎn)大致可分為3類(lèi)。

傳統(tǒng)應(yīng)用安全風(fēng)險(xiǎn)

云原生應(yīng)用源于傳統(tǒng)應(yīng)用，因而云原生應(yīng)用風(fēng)險(xiǎn)也繼承了傳統(tǒng)應(yīng)用的風(fēng)險(xiǎn)，例如：失效的對(duì)象級(jí)授權(quán)、失效的用戶身份認(rèn)證、注入攻擊、過(guò)度的數(shù)據(jù)暴露、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控等風(fēng)險(xiǎn)。

其中，開(kāi)源組件代碼漏洞正在成為云原生環(huán)境中常見(jiàn)的風(fēng)險(xiǎn)。云原生技術(shù)大量使用開(kāi)源代碼，企業(yè)很難規(guī)避開(kāi)源代碼庫(kù)漏洞，由此為云原生應(yīng)用的安全帶來(lái)了更多不確定性。

API安全風(fēng)險(xiǎn)

API大量出現(xiàn)是云原生環(huán)境的一大特點(diǎn)，目前針對(duì)API的攻擊已成為一個(gè)重要方向。針對(duì)API的常見(jiàn)網(wǎng)絡(luò)攻擊包括：重放攻擊、DDoS攻擊、注入攻擊、中間人攻擊、內(nèi)容篡改和參數(shù)篡改等。這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化和自動(dòng)化。

同時(shí)，由于API接口被大量調(diào)用，很多企業(yè)API資產(chǎn)不清、責(zé)任不清，API濫用正在成為黑客攻擊的主要入口，為企業(yè)帶來(lái)巨大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

業(yè)務(wù)安全風(fēng)險(xiǎn)

隨著數(shù)字化業(yè)務(wù)快速增長(zhǎng)，App、微信、小程序和H5等多種業(yè)務(wù)接入渠道產(chǎn)生，API接口大量被調(diào)用，帶來(lái)了相應(yīng)的業(yè)務(wù)安全風(fēng)險(xiǎn)。

一方面，小程序這類(lèi)新興線上渠道被攻擊者逆向難度很低，逆向成功后，直接調(diào)用API接口就可以獲取用戶信息、敏感數(shù)據(jù)和辦理業(yè)務(wù)等實(shí)施業(yè)務(wù)欺詐。另一方面，API接口承載著敏感數(shù)據(jù)，經(jīng)常面臨接口越權(quán)、未授權(quán)訪問(wèn)等安全威脅，攻擊者通過(guò)各類(lèi)Bots模擬真實(shí)用戶、批量化業(yè)務(wù)操作，很容易實(shí)現(xiàn)業(yè)務(wù)攻擊。

云原生呼喚新型應(yīng)用安全技術(shù)

隨著云原生技術(shù)應(yīng)用的普及，在未來(lái)數(shù)年內(nèi)，云原生架構(gòu)帶來(lái)的風(fēng)險(xiǎn)將成為攻擊者關(guān)注和利用的重點(diǎn)，傳統(tǒng)基于邊界的防護(hù)模型已不能滿足云原生的安全需求。

在云原生環(huán)境下，邊界變得模糊而且更細(xì)粒，安全防護(hù)無(wú)法再依賴(lài)傳統(tǒng)的邊界，再加上云原生架構(gòu)的多租戶、虛擬化和快速?gòu)椥陨炜s等特點(diǎn)，都對(duì)傳統(tǒng)邊界安全防護(hù)技術(shù)提出了新的挑戰(zhàn)。

吳劍剛表示，為了探索一條更適合云原生時(shí)代的持續(xù)安全之路，瑞數(shù)信息從2018年就開(kāi)啟了云原生應(yīng)用安全技術(shù)的研究，成為業(yè)內(nèi)最早一批基于云原生技術(shù)推出WAAP（集Web應(yīng)用防護(hù)、Bot防護(hù)、DDoS防御和API保護(hù)于一體）產(chǎn)品的安全廠商。在整體架構(gòu)上，瑞數(shù)信息全線產(chǎn)品實(shí)現(xiàn)了云原生架構(gòu)重構(gòu)，既可以提供本地化部署，也可以部署在容器上。同時(shí)，為了保持云原生應(yīng)用的運(yùn)行效率，瑞數(shù)信息的產(chǎn)品采用了云原生輕量架構(gòu)，將檢測(cè)流量和業(yè)務(wù)流量分離，通過(guò)對(duì)檢測(cè)流量的旁路式輕量校驗(yàn)，將客戶的業(yè)務(wù)流量時(shí)延增加壓縮在5 ms以?xún)?nèi)，滿足互聯(lián)網(wǎng)業(yè)務(wù)高性能、高敏捷的需求。

在防護(hù)維度上，瑞數(shù)信息針對(duì)云原生架構(gòu)增加了流量采集層級(jí)，從node、pod、agent三個(gè)層面對(duì)流量進(jìn)行全方位監(jiān)測(cè)，將南北向、東西向流量管控起來(lái)，實(shí)現(xiàn)更細(xì)顆粒度的安全隔離機(jī)制，有效防止網(wǎng)絡(luò)威脅在云平臺(tái)內(nèi)部肆意蔓延。

面對(duì)云原生架構(gòu)帶來(lái)的三類(lèi)安全風(fēng)險(xiǎn)，吳劍剛表示W(wǎng)AAP動(dòng)態(tài)安全平臺(tái)在提供傳統(tǒng)Web安全防御能力的同時(shí)，也能輕松應(yīng)對(duì)新興和快速變化的Bots攻擊、0day攻擊和應(yīng)用DDoS攻擊，助力用戶打造覆蓋Web、App、云原生應(yīng)用和API資產(chǎn)的主動(dòng)防護(hù)體系。

Web安全防護(hù)能力：基于“動(dòng)態(tài)安全引擎”“智能威脅檢測(cè)引擎”“規(guī)則引擎”協(xié)同工作，WAAP動(dòng)態(tài)安全平臺(tái)采用輕量級(jí)簽名和特征規(guī)則，即可對(duì)手動(dòng)攻擊、自動(dòng)化攻擊提供更為高效全面的Web應(yīng)用防護(hù)能力，實(shí)現(xiàn)縱深防御。

API安全防護(hù)能力：WAAP動(dòng)態(tài)安全平臺(tái)采用智能威脅檢測(cè)技術(shù)、行為分析技術(shù)，通過(guò)API感知、發(fā)現(xiàn)、監(jiān)控分析和保護(hù)四大模塊，實(shí)現(xiàn)對(duì)API全生命周期的安全防護(hù)管理。

惡意機(jī)器人（Bot）保護(hù)能力：針對(duì)Bot自動(dòng)化工具的識(shí)別與防御是瑞數(shù)信息產(chǎn)品最突出的能力之一。WAAP動(dòng)態(tài)安全平臺(tái)通過(guò)“動(dòng)態(tài)混淆技術(shù)”，對(duì)服務(wù)器網(wǎng)頁(yè)底層代碼的進(jìn)行持續(xù)動(dòng)態(tài)變換，讓攻擊者無(wú)從下手。通過(guò)“人機(jī)識(shí)別技術(shù)”，實(shí)現(xiàn)對(duì)訪問(wèn)客戶端真實(shí)性的識(shí)別，實(shí)現(xiàn)從用戶端到服務(wù)器端的全方位“主動(dòng)防護(hù)”，有效打擊模擬真實(shí)用戶的各種自動(dòng)化攻擊和業(yè)務(wù)欺詐行為。

應(yīng)用層DDoS防護(hù)能力：區(qū)別于傳統(tǒng)限頻的防護(hù)技術(shù)，WAAP動(dòng)態(tài)安全平臺(tái)基于獨(dú)特的Bot防護(hù)能力，抓住CC攻擊都是工具發(fā)起的特點(diǎn)，通過(guò)工具防護(hù)，實(shí)現(xiàn)對(duì)業(yè)務(wù)/應(yīng)用層的CC攻擊的防護(hù)。

以API安全防護(hù)為例，傳統(tǒng)API安全網(wǎng)關(guān)產(chǎn)品主要是在API請(qǐng)求的身份認(rèn)證、權(quán)限管控、請(qǐng)求內(nèi)容校驗(yàn)與過(guò)濾以及API流量限速等方面進(jìn)行防護(hù)，但是這些防護(hù)功能都與應(yīng)用開(kāi)發(fā)高度相關(guān)，應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置，造成的部署與維護(hù)成本都極為高昂。

實(shí)際上云原生環(huán)境下的API功能在不斷擴(kuò)充與加強(qiáng)，貫穿了整個(gè)產(chǎn)品交付的流程，需要結(jié)合云原生架構(gòu)對(duì)API全生命周期進(jìn)行監(jiān)測(cè)和管控。這也是為什么瑞數(shù)信息會(huì)推出API安全管控平臺(tái)（API BotDefender）的原因，從API接入客戶端覆蓋到API服務(wù)器端，包括API資產(chǎn)管理、攻擊防護(hù)、敏感數(shù)據(jù)管控和訪問(wèn)行為管控四大模塊，為API接口提供完整的安全管控方案。

基于瑞數(shù)信息全程式API安全威脅防護(hù)，企業(yè)可以實(shí)現(xiàn)自動(dòng)化的API資產(chǎn)發(fā)現(xiàn)、API資產(chǎn)全生命周期管理、精準(zhǔn)API畫(huà)像構(gòu)建、全渠道感知API、API敏感數(shù)據(jù)管控、API攻擊防護(hù)、API濫用防護(hù)、API訪問(wèn)行為管控、動(dòng)態(tài)響應(yīng)防護(hù)等。

吳劍剛表示，在云原生環(huán)境下，企業(yè)面臨的攻擊面更廣，因此更應(yīng)該定義自己的核心資產(chǎn)，從應(yīng)用視角梳理核心資產(chǎn)、業(yè)務(wù)和場(chǎng)景來(lái)進(jìn)行防護(hù)。瑞數(shù)云原生安全產(chǎn)品正是順應(yīng)了安全視角轉(zhuǎn)變的趨勢(shì)，對(duì)核心資產(chǎn)進(jìn)行挖掘和保護(hù)，并通過(guò)輕量級(jí)架構(gòu)和檢測(cè)方式為云原生應(yīng)用降本增效。

目前，瑞數(shù)信息是國(guó)內(nèi)首批通過(guò)中國(guó)信通院“云原生API安全能力”和“WAAP能力”評(píng)估認(rèn)證的安全廠商，其中，瑞數(shù)WAAP動(dòng)態(tài)安全平臺(tái)還榮獲了中國(guó)信通院“云原生安全技術(shù)創(chuàng)新優(yōu)秀案例”獎(jiǎng)項(xiàng)。這充分彰顯了瑞數(shù)信息在云原生應(yīng)用安全領(lǐng)域的領(lǐng)導(dǎo)地位，在安全能力、功能全面性、產(chǎn)品穩(wěn)定性、性能等各個(gè)方面為企業(yè)客戶提供了信心。

云原生給業(yè)務(wù)帶來(lái)敏捷積極影響的同時(shí)，也帶來(lái)了全新的安全挑戰(zhàn)，企業(yè)需要不斷更新安全理念、采用多維度和多技術(shù)提高安全的包容性，并將安全策略和業(yè)務(wù)結(jié)合起來(lái)優(yōu)化，才能真正將云原生安全落地。