姚 娟

（湖北郵電規(guī)劃設(shè)計有限公司，湖北 武漢 430070）

0 引 言

云計算技術(shù)不斷發(fā)展成熟，其作為新基建中信息技術(shù)基礎(chǔ)設(shè)施的重要部分組成，成為數(shù)字化轉(zhuǎn)型的重要支撐。云計算的應(yīng)用加速了從互聯(lián)網(wǎng)行業(yè)向政務(wù)、醫(yī)療、金融以及工業(yè)等傳統(tǒng)行業(yè)的滲透，但同時對其安全性提出了更高的質(zhì)量要求。

1 計算技術(shù)的發(fā)展

云計算技術(shù)于2006年提出并不斷的迭代更新，其早期的核心是虛擬技術(shù)，為云計算提供了系統(tǒng)虛擬層面的支持。通過服務(wù)器虛擬化、存儲虛擬化以及網(wǎng)絡(luò)虛擬化實現(xiàn)硬件基礎(chǔ)設(shè)施的集約化建設(shè)，但僅把部署在物理機上的業(yè)務(wù)遷到虛擬機上，并未充分體現(xiàn)云端強大的服務(wù)能力。

如何讓應(yīng)用最大程度地利用云的能力，發(fā)揮云計算的價值，基于云化架構(gòu)的特點定義一條最佳路徑成為行業(yè)的迫切需求。近年來，云原生架構(gòu)應(yīng)運而生，以容器、微服務(wù)以及DevOps為代表的云原生技術(shù)可以為業(yè)務(wù)提供更高的靈活性和可移植性。未來，云計算的應(yīng)用場景將從資源優(yōu)化轉(zhuǎn)向效能提升。

從技術(shù)角度來看，云原生是一類技術(shù)的統(tǒng)稱，基于此可以構(gòu)建更易于靈活擴展的應(yīng)用程序。從業(yè)務(wù)角度來看，云原生可以帶來更快的業(yè)務(wù)響應(yīng)速度和高效的需求實施，有效縮短應(yīng)用程序交付周期，更快地將需求轉(zhuǎn)化為代碼，再將代碼轉(zhuǎn)化為在線應(yīng)用程序，最終為用戶服務(wù)[1]。

云原生架構(gòu)主要特性主要包括以下幾個方面。一是容器化封裝，云原生技術(shù)架構(gòu)以容器技術(shù)為基礎(chǔ)，可實現(xiàn)毫秒級的彈性需求響應(yīng)，相較于傳統(tǒng)虛擬機分鐘級的彈性需求響應(yīng)有了很大提高，而且在容器中作為獨立的應(yīng)用程序部署單元運行應(yīng)用程序和進程，以實現(xiàn)高水平資源隔離。二是動態(tài)管理，通過集中式的編排調(diào)度系統(tǒng)來快速構(gòu)建跨多個容器的應(yīng)用服務(wù)，可實現(xiàn)應(yīng)用故障的自動排除和重構(gòu)，自愈能力強，可任意處理，另外大規(guī)模復(fù)制能力可實現(xiàn)跨區(qū)域、跨平臺甚至跨服務(wù)提供商的大規(guī)模復(fù)制和部署能力[2]。三是面向微服務(wù)，服務(wù)松耦合，通過標準的應(yīng)用程序接口（Application Program Interface，API）進行通信。

2 云原生存在的安全風(fēng)險

傳統(tǒng)安全更多的是基于邊界，以Mac為標識來進行訪問，在流量的出入口設(shè)置一個防火墻，解決大部分的安全問題。到云安全這個階段時，業(yè)務(wù)可隨時隨地接入，因此傳統(tǒng)的安全防護形式已不適用，因此開始基于網(wǎng)絡(luò)之間互連的協(xié)議（Internet Protocol，IP）來進行防護，這種模式下可以防護所有的虛擬機。云原生階段，云原生技術(shù)架構(gòu)充分發(fā)揮云效能的同時，也帶來了新的安全需求和挑戰(zhàn)，容器化部署使得東西向流量加大，服務(wù)的力度會變得越來越細，原來基于IP的防護方式也不能滿足需求，要實現(xiàn)對云原生技術(shù)架構(gòu)和大規(guī)模應(yīng)用的全面保護，則需要更細粒度的應(yīng)用層保護。

隔離性方面包括設(shè)備隔離、文件系統(tǒng)隔離、進程隔離、進程間通信隔離、網(wǎng)絡(luò)隔離以及資源限制等，是Docker容器技術(shù)與傳統(tǒng)虛擬化技術(shù)在運行時安全性差異的主要體現(xiàn)[3]。在Docker容器環(huán)境中，操作系統(tǒng)內(nèi)核由多個容器共享，并且容器只是運行在主機上的若干進程，因此其安全性，特別是隔離性，與傳統(tǒng)虛擬機存在一定的差距。根據(jù)Docker容器的主要特點并結(jié)合其在安全應(yīng)用中出現(xiàn)的實際問題可知，存在的技術(shù)性安全風(fēng)險可以分為東西向的攻擊、鏡像安全風(fēng)險以及容器虛擬化安全風(fēng)險等，下面進行具體分析。

2.1 東西向的攻擊

無論是物理設(shè)備還是虛擬機，都難以完全避免存在的網(wǎng)絡(luò)安全風(fēng)險，這是互聯(lián)網(wǎng)上所有信息系統(tǒng)面臨的重要風(fēng)險。較傳統(tǒng)網(wǎng)絡(luò)，容器網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全風(fēng)險顯得更為復(fù)雜嚴峻。如果在容器組之間、容器網(wǎng)絡(luò)與物理網(wǎng)絡(luò)之間沒有做好網(wǎng)絡(luò)權(quán)限管控，外網(wǎng)攻擊者就能通過東西向流量在集群網(wǎng)絡(luò)內(nèi)部的實例之間進行橫向攻擊，在集群中造成威脅[4]。

2.2 鏡像安全風(fēng)險

鏡像用于創(chuàng)建一個或多個容器，其安全性將會影響容器安全。Docker鏡像的安全風(fēng)險存在于創(chuàng)建過程、獲取來源以及獲取途徑等各個方面，Docker容器官方鏡像倉庫Docker Hub是一個完全開放的平臺，其中的鏡像數(shù)量豐富、版本多樣，但質(zhì)量參差不齊，可能由個人開發(fā)者上傳，甚至包含惡意漏洞的惡意鏡像，因而可能存在較大的安全風(fēng)險。

2.3 容器虛擬化安全風(fēng)險

Docker容器不擁有獨立的資源配置，且沒有做到操作系統(tǒng)內(nèi)核層面的隔離，與傳統(tǒng)虛擬機相比，其不完全的資源隔離和不充分的資源約束可能會導(dǎo)致安全風(fēng)險。

3 云原生的安全策略

云原生時代的到來引入了新的安全風(fēng)險，因此需要搭建一個真正端到端的縱深防御的云原生系統(tǒng)，將安全與云計算深度融合，幫助業(yè)務(wù)系統(tǒng)安全上云，讓云計算成為更加安全的新型基礎(chǔ)設(shè)施[5]。

云原生安全包括兩個層面的意思，一是云平臺安全原生化，二是云安全產(chǎn)品原生化。云平臺安全原生化是充分利用云計算分布式存儲、資源統(tǒng)一管理以及網(wǎng)絡(luò)虛擬化等特性，有效規(guī)避部分安全風(fēng)險，實現(xiàn)數(shù)據(jù)高可靠性、安全管理統(tǒng)一化、流量隔離與精細控制等能力。前置安全管理，云服務(wù)商從研發(fā)階段關(guān)注安全問題，采用內(nèi)嵌的方式而非引流外掛，將安全組件內(nèi)嵌融合于云平臺實現(xiàn)云安全產(chǎn)品原生化，解決云計算環(huán)境和傳統(tǒng)安全架構(gòu)割裂的痛點。此外，充分發(fā)揮云平臺原生的資源和數(shù)據(jù)優(yōu)勢，有效地與用戶云資源以及其他原生安全產(chǎn)品聯(lián)動，以解決云計算特有的安全問題。

云原生整體安全框架包括網(wǎng)絡(luò)安全、計算環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理等5個方面，如圖1所示。

圖1 云原生安全框架

3.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要體現(xiàn)在網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)攻擊檢測與防御以及網(wǎng)絡(luò)隔離3個方面。網(wǎng)絡(luò)設(shè)備的訪問要明確授權(quán)機制和安全的雙、多因素認證機制，做到最小化的網(wǎng)絡(luò)訪問權(quán)限控制。訪問控制權(quán)限策略變化需要有平臺化的審核、授權(quán)流程以及操作的審計記錄，基于類似訪問控制列表（Access Control Lists，ACL）的策略進行實現(xiàn)，允許或禁止兩個實體間通信，實體可以是集群、節(jié)點、租戶、命名空間、容器或者IP地址段[6]。此外，云原生平臺應(yīng)支持細粒度的控制，阻斷南北向和東西向攻擊，具體實現(xiàn)方式包括IP Tables和Network Policy等，而且可以根據(jù)實際需求選擇白名單模式或黑名單模式。

在基礎(chǔ)網(wǎng)絡(luò)攻防層面，通過內(nèi)置在云平臺的分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊防護體系進行流量清洗與流量牽引，通過云防火墻實現(xiàn)云上流量的可信及可控，通過云Web防火墻對Web應(yīng)用的惡意流量及訪問行為進行檢測和攔截。此外，內(nèi)置云平臺的網(wǎng)絡(luò)安全服務(wù)組件依托云主機和容器等計算資源，以集群方式提供服務(wù)，可靠性高，并且可以按需彈性伸縮，實現(xiàn)安全防護能力的平滑擴展。

3.2 計算環(huán)境安全

計算環(huán)境安全從鏡像安全和容器安全兩方面考慮。鏡像作為容器運行的基礎(chǔ)，安全重要性不言而喻。使用數(shù)字簽名和https保障容器鏡像在下載和上傳時的完整性與機密性，無法通過完整性校驗的鏡像，需通過一定的控制手段阻止部署到容器集群中。此外，鏡像需要進行安全掃描，包括安全基線檢測、漏洞檢測以及惡意鏡像檢測等內(nèi)容。對鏡像的實例化運行進行防護，針對不安全鏡像進行告警或阻斷。同時，鏡像倉庫需要實現(xiàn)用戶的身份認證與訪問權(quán)限控制，避免用戶訪問其他用戶的鏡像資源[7]。

3.3 應(yīng)用安全

微服務(wù)架構(gòu)將關(guān)聯(lián)的業(yè)務(wù)邏輯及數(shù)據(jù)放在一起形成獨立的邊界，云原生基礎(chǔ)架構(gòu)應(yīng)基于零信任理念，默認微服務(wù)之間沒有信任，所有的微服務(wù)均需要有身份及合理的權(quán)限配置，所有的互訪均需要認證鑒權(quán)[8]。

根據(jù)業(yè)務(wù)需求，提供細粒度的內(nèi)、外部服務(wù)認證，支持單點登錄（一次登錄，全部訪問）和第三方授權(quán)登錄等功能。為了獲得授權(quán)，需要一個集中的架構(gòu)來提供和執(zhí)行管理所有微服務(wù)的訪問策略，微服務(wù)需具備網(wǎng)關(guān)對服務(wù)請求的控制能力。用戶與服務(wù)（南北向）以及服務(wù)與服務(wù)（東西向）之間的安全通信使用安全套接層/傳輸層安全（Secure Sockets Layer/Transport Layer Security，SSL/TLS）建立安全的連接，針對運行中的代碼以及服務(wù)或接口的動態(tài)掃描。

3.4 數(shù)據(jù)安全

數(shù)據(jù)安全防護策略需要與云原生架構(gòu)相結(jié)合，主要包括3個方面。首先，需要對云上數(shù)據(jù)進行發(fā)現(xiàn)和分類治理，針對敏感數(shù)據(jù)和重要數(shù)據(jù)制定相應(yīng)的保護策略。其次，在數(shù)據(jù)傳輸存儲的整個過程中，應(yīng)使用加密技術(shù)對上述數(shù)據(jù)進行加密和脫敏保護，通過密碼技術(shù)保障數(shù)據(jù)的完整性和機密性。最后，通過身份認證、角色管理等手段對數(shù)據(jù)獲取權(quán)限進行統(tǒng)一管理，完善對數(shù)據(jù)訪問的控制能力，監(jiān)測應(yīng)用程序接口（Application Program Interface，API）安全狀態(tài)及數(shù)據(jù)泄露風(fēng)險，最終形成云原生數(shù)據(jù)全生命周期的安全防護。

3.5 安全管理

安全管理以身份為中心，進行動態(tài)訪問控制，處理數(shù)據(jù)訪問和認證驗證，分別作用于應(yīng)用程序的數(shù)據(jù)平面和網(wǎng)絡(luò)通信的控制平面。終端用戶通過控制平面發(fā)起訪問請求，經(jīng)身份認證及授權(quán)，獲得許可后方可訪問數(shù)據(jù)平臺的數(shù)據(jù)，從而建立一次可信的安全訪問鏈接，主要原則如下文所述。

一是身份訪問控制，構(gòu)建基于身份的訪問控制體系，對網(wǎng)絡(luò)、設(shè)備以及應(yīng)用用戶等對象賦予數(shù)字身份。二是最小權(quán)限原則，資源按需分配使用，限制資源的可見性，給予執(zhí)行任務(wù)必要的最小特權(quán)[9]。三是實時訪問控制策略，通過實時計算終端用戶的身份與權(quán)限等信息，形成訪問控制策略，每當授權(quán)決策依據(jù)發(fā)生變化時就會重新計算，必要時會變更授權(quán)決策。

4 結(jié) 論

云原生技術(shù)因其敏捷、輕量等特性，在推進業(yè)務(wù)上云方面具有不可替代性，但是為了提高效率也犧牲了隔離等安全性能。云原生安全涉及到鏡像安全、容器安全以及網(wǎng)絡(luò)安全等各個層面，在業(yè)務(wù)上云時，對安全風(fēng)險進行充分評估，根據(jù)應(yīng)用場景制定相應(yīng)的安全防護策略。