解决方案介绍
作为光大银行云原生技术合作伙伴,小佑科技深度理解光大银行的现状及相关建设要求,共同参与了光大银行全栈云容器平台安全防护建设项目,一起打造了全栈云容器安全防护平台。
1、核心理念
· 全生命周期自适应安全:对容器安全涉及的所有对象都进行防御,包括操作系统、Kubernetes平台、容器、容器镜像、镜像仓库、微服务。在每一个资产对象的防护方案中,均考虑了资产盘点-加固-检测-响应-预测这样的安全框架,形成安全运营的闭环。
· 监测智能化:基于动态学习业务系统进程与网络流量的方法,采用机器学习技术,构建安全基线模型,实现风险识别和风险态势感知。配合传统基于规则的分析识别技术,加上机器学习技术较全面发现安全漏洞和风险。
· 安全内生化:全栈云容器平台不仅仅提供基础运行环境,还直接集成安全能力。在创建Kubernetes集群时,便将防御容器以Daemonset的方式进行同步创建,每个集群节点运行一个防御容器,提供检测与防护能力。当集群扩容或缩容时,防御容器可以随着节点数量变化而自动做相应调整,减少安全运维成本。
· 流程敏捷化:基于安全左移的思路,实现DevSecOps。即在软件研发阶段便同步介入安全检查。通过在软件的整个生命周期中支持多个卡点,将风险尽早暴露,降低安全运维的成本。安全卡点包括 “编排文件扫描”、“镜像安全扫描”、“镜像构建入库”、“镜像运行拦截”等。安全左移能够尽早发现问题,有助于降低修复成本。
· 零信任:按照零信任的思想,持续信任评估,动态访问控制。零信任的其中一条技术路线是微隔离。在容器网络中,我们便采用微隔离技术来缓解风险。
2、主要能力2.1资产清点
容器安全平台对镜像、仓库、容器、集群节点、微服务、Kubernetes配置信息等容器相关信息进行自动采集,统一可视化管理,对容器风险一目了然,时刻掌握容器资产变化,使安全不落后于业务。消除安全与运维之间的信息壁垒,使业务环境内各项资产对安全用户清晰可见。
细粒度、结构化的资产清点助力安全用户及时发现容器、集群环境中可能存在的的风险隐患,提前进行预防、修复,并在在入侵事件发生时帮助安全用户及时定位受损资产信息,快速进行响应处理以免恶意事件扩散使更多资产收到感染
资产管理类型包括容器、镜像、仓库、主机、POD等,为用户提供容器内资产的分类视图,支持对每一类资产进行数据分级聚合展示,实现容器资产的全面可视化,帮助用户更直观的了解当前系统内的资产情况。
2.2漏洞管理
基于漏洞或脆弱性的视角,对整体的风险进行梳理,形成发现漏洞-验证漏洞-修复漏洞的闭环。
· 发现漏洞:对业务容器的镜像和集群进行扫描,得到当前存在的漏洞列表;
· 验证漏洞:对漏洞进行验证,以确保扫描结果的正确性;
· 分类分级:从漏洞的严重性与相关资产的重要程度,对漏洞进行评级,使得修复工作分得清优先级。
· 修复与验证:对修复漏洞后的资产重新扫描审核,确认问题得到缓解。
2.3合规审计
在业务系统上线运行之前,对业务系统所在容器、集群以及主机节点进行合规检测,以防止不安全的配置导致容器逃逸或者集群入侵事件。
全栈云容器安全防护平台在制定规范要求时,基于CIS合规进行裁剪与自定义,并在软件中提供对容器及集群进行合规审计的功能。基于产品提供可视化的基线检测结果和修复建议,用户可以自行修复不合规的检测项。
2.4告警响应
支持实时监控容器的运行情况,能够对可能出现的所有异常行为进行捕获和发出告警,可在响应中心中查看所有入侵事件具体信息。并支持在响应中心对不同状态的容器进行相应的操作改变其状态,目前支持的操作包括:解除隔离、启动容器、隔离容器、杀容器、暂停容器。
2.5镜像安全
镜像作为容器运行的基础,如果存在的安全隐患、风险问题直接影响到容器环境的安全性。面对镜像中可能存在的安全问题,需要对业务环境主机中和镜像仓库中的镜像资产,进行自动扫描以及支持手动扫描来识别风险,对危险镜像基于策略进行阻断,对高危镜像提供可写入dockerfile的修复建议
容器防护平台支持对容器镜像制作过程、镜像运行、镜像发布进行全方位的监控和检测。提供了自动获取节点和仓库中的镜像并从CVE漏洞、CNNVD漏洞、木马病毒、可疑历史操作、敏感信息泄露、以及是否是可信任镜像等多个维度对镜像进行扫描。
2.6容器安全
容器运行时的安全状况是容器安全管控的重中之重。目前传统的入侵检测方式主要针对于主机或者网络层面,现有手段无法快速发现针对容器层面的入侵行为。若无法设置预警与实时报警,入侵者极有可能通过漏洞远程操作容器执行命令实现入侵,从而导致重要数据泄露。
镜界容器防护平台通过对容器的调用行为进行自动学习,形成容器的运行模型,同时对容器的调用行为进行监控,当容器出现行为之外的调用动作后,进行实时预警或阻断。
容器安全防护平台支持对容器内行为进行检测。当发现容器逃逸行为、读取敏感信息、启动恶意进程、挂载非法设备、映射敏感目录、修改命名空间等恶意行为时,根据预设策略触发报警或阻断容器运行,并对发现异常的POD进行隔离。
2.7微服务安全
全栈云容器防护平台提供了对微服务、应用进行周期性的检测。支持自动检测发现Kubernetes集群内的微服务以及API并通过可视化视角展示出来。能够通过手动或周期性自动发现的微服务以及API进行安全风险扫描。
2.8编排文件安全
在Kubernetes系统中,各类资源均需要通过编排文件构建,编排文件编写是否规范,将直接影响到构建资源的安全性、规范性与可用性。对于部署资源所编写的编排文件,系统支持自动接入,自动扫描,根据扫描结果指出编排文件中存在风险或不规范的配置项,并给出修复建议,保障资源合规且安全的创建。
2.9集群安全
Kubernetes 的 API-Server、 Scheduler、Controller 等多个核心组件在实现上,均有不同程度的漏洞爆出,其中不乏高危甚至是 10 分 (CVSS)的超危漏洞。除了包含漏洞的组件,不安全的配置也可能使得整个集群处于风险之中。全栈云容器安全平台支持对3朵云的容器集群的不同版本进行安全风险扫描。如:Kubernetes版本信息披露、匿名身份验证、可能遭受的各类攻击等。
2.10网络微隔
对容器环境中网络流量进行绘图,打破网络黑洞,支持对进程、容器、pod、服务、主机级别的网络监测。通过对单个业务之间,业务组之间,以及租户之间的网络访问策略配置,实现业务之间隔离,来减小被入侵之后的影响范围;通过网络拓扑图,从网络层面判断入侵影响范围。
全栈云容器防护平台自动检测发现Kubernetes集群内的运行容器,应用以及镜像,关联相对应的安全风险进行汇总,展示安全风险的数量以及风险级别的分布。支持自动发现容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络连接状态,展示连接的原地址,目的地址以及端口。并对异常连接进行预警。支持对Kubernetes集群内POD之间的通信进行网络隔离控制、隔离策略支持配置POD的间的访问规则、阻断来自其他命名空间的所有流量、允许来自外部客户端的流量等。