如何保護云原生應用程序
譯文【51CTO.com快譯】很多企業(yè)如今正在采用云原生設計模式,以使其業(yè)務運營實現(xiàn)現(xiàn)代化,并加快上市時間。云原生架構(gòu)結(jié)合了微服務、容器、自動化持續(xù)集成(CI)/持續(xù)交付(CD)管道、容器編排、統(tǒng)一可觀察性和云計算基礎設施等技術。然而,現(xiàn)代云計算服務面臨著數(shù)據(jù)泄露、應用程序漏洞、帳戶劫持、API不安全、惡意內(nèi)部人員、數(shù)據(jù)丟失、拒絕服務和憑證管理不足等安全風險。
為了防范這些威脅,企業(yè)應該對其數(shù)據(jù)和服務采用零信任模型,并采用DevSecOps在整個軟件開發(fā)生命周期(SDLC)中集成安全實踐。企業(yè)正在使用Docker等容器技術來簡化其云原生應用程序的打包和部署工作流。Kubernetes是一種流行的容器編排系統(tǒng),用于自動化容器化應用程序的部署、擴展和管理。
采用DevOps原則使企業(yè)團隊能夠快速部署和發(fā)布功能,但它也給云原生應用程序的安全性帶來了挑戰(zhàn)。因此,需要將安全實踐引入DevOps。
圖1 云原生安全的四個C
1.云原生安全的四個C
云原生安全的四個C分別是云計算(Cloud)、集群(Clusters)、容器(Container)和代碼(Code)。如圖1所示,每一層都受益于外部安全層,代碼層是構(gòu)建在云計算、集群和容器層之上的。以下簡要介紹每一層保護架構(gòu)的作用:
- 云計算——它是所有安全層的基礎,每家云計算提供商(如AWS、Microsoft Azure、谷歌云、IBM Cloud)都為正在運行的工作負載提供云計算基礎設施的安全性。
- 集群——這一層的主要安全問題是RBAC授權(quán)、機密管理、pod安全策略和網(wǎng)絡策略,Kubernetes是標準操作工具。
- 容器——這一層推薦的安全態(tài)勢是容器漏洞掃描、鏡像簽名和禁止特權(quán)用戶。
- 代碼——企業(yè)對這一層擁有最大的控制權(quán),并且可以實施安全建議,例如執(zhí)行靜態(tài)代碼分析、采用DevSecOps實踐,以及使安全成為持續(xù)集成(CI)/持續(xù)交付(CD)管道的一部分。
2.云原生安全挑戰(zhàn)
由于發(fā)生新冠疫情,很多企業(yè)采用遠程工作模式,因此保護數(shù)據(jù)和系統(tǒng)的需求變得比以往任何時候都更加重要。“零信任”安全模型可以改善企業(yè)的總體安全狀況,特別是如果他們計劃讓其員工開展遠程工作或采用混合工作空間環(huán)境。其基本原則是避免盲目信任安全參數(shù)(企業(yè)網(wǎng)絡)內(nèi)的所有內(nèi)容,并始終對嘗試訪問網(wǎng)絡的每個用戶、應用程序和設備進行身份驗證和授權(quán)——無論是企業(yè)內(nèi)部還是外部。
構(gòu)建零信任架構(gòu)的關鍵技術和原則是:
- 多因素身份驗證。
- 身份和訪問管理。
- 設備清單的可見性。
- 防火墻管理。
- 數(shù)據(jù)分類和加密。
- 最低權(quán)限訪問。
- 持續(xù)網(wǎng)絡流量監(jiān)控。
3.云原生應用安全
容器可以輕松打包和部署應用程序的運行時依賴項,并幫助解決開發(fā)和生產(chǎn)環(huán)境之間的配置管理問題。然而,與傳統(tǒng)的威脅檢測和漏洞掃描安全機制相比,容器的運行是暫時的,通常使用壽命較短,這使得容器的安全性具有挑戰(zhàn)性。
(1)容器安全
開箱即用的容器提供了一定程度的隔離和安全性,但同時,它們也帶來了一系列安全問題,例如內(nèi)核漏洞、拒絕服務攻擊、中毒圖像、容器泄漏和機密泄露。減少容器攻擊面至關重要,因為一個容器中的問題可能會影響同一主機上運行的其他實例。應用最小權(quán)限原則并限制用戶對容器的訪問是很好的做法。需要一個秘密管理解決方案來安全地存儲憑證,并允許容器在操作期間訪問敏感數(shù)據(jù)。
此外,容器鏡像是不可變的,因此容器鏡像中的任何漏洞都會在鏡像的生命周期內(nèi)持續(xù)存在。因此需要確保定期掃描映像以查找漏洞,作為持續(xù)集成(CI)/持續(xù)交付(CD)管道的一部分,需要使用最新補丁進行更新,并從受信任的注冊表中提取。在容器化環(huán)境中運行云原生應用程序時,企業(yè)需要完全了解集群配置,并進行適當?shù)谋O(jiān)控。
(2)安全責任共擔模型
在公共云中,安全是云計算服務提供商與其客戶之間的共同責任。其責任的區(qū)分可以被視為“云平臺”的安全與“云”中的安全。云計算提供商保護運行服務的整體基礎設施,并處理物理和網(wǎng)絡層的操作問題。另一方面,客戶負責他們的業(yè)務邏輯的安全,包括應用程序代碼和數(shù)據(jù)層保護。
圖2說明了微軟公司的責任共擔模型,包括客戶和微軟公司之間針對在內(nèi)部部署設施和云平臺中運行的工作負載的責任范圍。
圖2微軟公司的責任共擔模型
4.自動化云原生安全
DevOps方法側(cè)重于提高開發(fā)和運營流程之間的協(xié)作和透明度。然而,在追求快速上市的過程中,安全實踐不能被忽視并進一步推向下游。這就是DevSecOps發(fā)揮重要作用的地方,它在開發(fā)周期的早期結(jié)合了運營和安全措施。
(1)左移安全策略
在開發(fā)過程中轉(zhuǎn)移安全性至關重要,因為企業(yè)不希望安全性成為事后的想法。與其相反,企業(yè)應該將安全放在首位來設計和構(gòu)建系統(tǒng)。在生產(chǎn)中識別和修復安全漏洞既昂貴又耗時,因此將安全性左移的目標是在開發(fā)過程中實施安全實踐并執(zhí)行安全測試——而不僅僅是在生產(chǎn)之前部署。企業(yè)的DevOps管道應該允許以更高的質(zhì)量和速度部署軟件,同時遵守安全最佳實踐。
大多數(shù)漏洞是在應用程序級別引入的,如果企業(yè)的應用程序包含漏洞,網(wǎng)絡攻擊者可能會破壞其系統(tǒng)。靜態(tài)應用程序安全測試(SAST)和SAST工具使企業(yè)能夠掃描整個代碼庫并執(zhí)行與安全相關的規(guī)則,以檢測SQL注入、跨站點腳本、拒絕服務和代碼注入問題等漏洞。此外,作為持續(xù)集成工作流的一部分,可以對每次代碼提交執(zhí)行靜態(tài)代碼分析,并實施自動化漏洞檢測和合規(guī)性報告。
(2)將安全性集成到持續(xù)集成(CI)/持續(xù)交付(CD)管道中
如圖3所示,將安全控制集成到企業(yè)的自動化管道中是成功交付高質(zhì)量軟件的關鍵。DevOps管道具有將更改部署到其環(huán)境中所需的權(quán)限,因此必須在其周圍設置嚴格的安全護欄。開發(fā)人員可以為他們的持續(xù)集成(CI)/持續(xù)交付(CD)管道利用多種開源和商業(yè)安全工具。其目標是及早發(fā)現(xiàn)安全問題,并且更容易實施諸如遵循安全編碼實踐、同行評審過程和執(zhí)行靜態(tài)代碼分析等低摩擦的措施。
如果企業(yè)使用的是開源軟件或第三方數(shù)據(jù)庫,應該擁有用于漏洞管理和威脅檢測的工具。在企業(yè)的管道中實施輕量級滲透測試有助于增強安全狀況——例如,像OWASP ZAP這樣的動態(tài)應用程序安全測試(DAST)工具在將代碼部署到生產(chǎn)之前充當安全門。除了掃描企業(yè)的容器之外,還可以考慮在部署到云平臺之前掃描其基礎設施代碼。
圖3在DevOps管道中構(gòu)建安全性
結(jié)論
隨著在DevOps中構(gòu)建安全性的文化轉(zhuǎn)變,企業(yè)的開發(fā)團隊有額外的責任來自動化應用程序安全測試,并將其集成到發(fā)布管道中。就安全原則和最佳實踐對開發(fā)團隊進行培訓有助于彌合知識差距。此外,與IT安全團隊密切合作的開發(fā)團隊可以幫助緩解軟件開發(fā)生命周期(SDLC)早期的安全漏洞,并在應用程序開發(fā)和安全場景中實現(xiàn)左移概念。
開放式Web應用程序安全項目(OWASP)是一個促進應用程序安全機制的非營利性全球社區(qū)。因此建議在云原生領域工作的開發(fā)人員熟悉OWASP十大應用程序安全漏洞、黑客如何利用它們以及消除這些風險的方法。大多數(shù)漏洞(如代碼注入、敏感數(shù)據(jù)暴露、身份驗證中斷、安全錯誤配置、跨站點腳本編寫和日志/監(jiān)控不足)都可以通過安全編碼實踐和嚴格的代碼審查清單來解決。
原文標題:Securing Cloud-Native Applications,作者:Samir Behara
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
