1.云原生進(jìn)程中的容器安全挑戰(zhàn)
云原生的火熱帶來了企業(yè)基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)等技術(shù)層面的革新。大勢(shì)所趨下,越來越多的企業(yè)選擇擁抱云原生。CNCF 2020年度的調(diào)研報(bào)告中顯示 ,已經(jīng)有83%的組織在生產(chǎn)環(huán)境中選擇Kubernetes,顯然,容器已經(jīng)成為應(yīng)用交付的標(biāo)準(zhǔn),也是云原生時(shí)代計(jì)算資源和配套設(shè)施的交付單元。
然而,由于在隔離和安全性方面存在的然缺陷,使安全成為企業(yè)進(jìn)行容器改造化進(jìn)程中始終被關(guān)注的核心問題之一。來到云原生時(shí)代,企業(yè)又將面臨哪些容器安全新挑戰(zhàn)?
2.缺少體系化的容器安全能力建設(shè)
傳統(tǒng)的企業(yè)應(yīng)用安全模型通常基于內(nèi)部架構(gòu)不同的信任域來劃分對(duì)應(yīng)的安全邊界,在信任域內(nèi)的東西向服務(wù)交互被認(rèn)為是安全的。而上云后企業(yè)應(yīng)用需要在IDC和云上部署和交互,在物理安全邊界消失后,如何在零信任的網(wǎng)絡(luò)安全模型下構(gòu)建企業(yè)級(jí)容器安全體系是云服務(wù)商需要解決的重要問題。
3.更多的攻擊面
基于容器技術(shù)的應(yīng)用部署依賴Linux內(nèi)核namespaces和cgroups等特性,從攻擊者的角度出發(fā),可以利用內(nèi)核系統(tǒng)漏洞,容器運(yùn)行時(shí)組件和容器應(yīng)用部署配置等多個(gè)維度發(fā)起針對(duì)性的逃逸和越權(quán)攻擊。K8s,Docker,Istio等開源社區(qū)近年來也相繼爆出不少的高危漏洞,這都給攻擊者提供了可乘之機(jī)。
4.缺少應(yīng)用側(cè)全生命周期的安全防護(hù)手段
容器技術(shù)在為企業(yè)應(yīng)用架構(gòu)提供了彈性、敏捷和動(dòng)態(tài)可擴(kuò)展等特性的同時(shí),也改變了應(yīng)用的部署模式。首先應(yīng)用自身的生命周期被大幅縮短,一個(gè)容器應(yīng)用的生命周期通常是分鐘級(jí);與此同時(shí),隨著存儲(chǔ)網(wǎng)絡(luò)和異構(gòu)資源利用率等基礎(chǔ)設(shè)施能力上的提升,容器應(yīng)用的部署密度也越來越高,傳統(tǒng)的面向虛機(jī)維度的安全防護(hù)策略和監(jiān)控告警手段已經(jīng)無法適應(yīng)容器技術(shù)的需求。
缺少對(duì)云上安全責(zé)任共擔(dān)模型的理解
企業(yè)應(yīng)用上云后的安全需要遵循責(zé)任共擔(dān)模型,在企業(yè)應(yīng)用架構(gòu)云原生化的轉(zhuǎn)型過程中,需要企業(yè)應(yīng)用管理者和安全運(yùn)維人員理解企業(yè)自身和云服務(wù)商之前的責(zé)任邊界。這個(gè)過程中也需要云服務(wù)商面向企業(yè)應(yīng)用側(cè)輸出更全面的容器安全最佳實(shí)踐并提升安全能力的易用性,降低使用門檻。
構(gòu)建容器安全體系的基本原則
為了應(yīng)對(duì)上述企業(yè)應(yīng)用在容器化進(jìn)程中的安全挑戰(zhàn),云服務(wù)商和企業(yè)應(yīng)用安全管理運(yùn)維人員需要攜手共建容器應(yīng)用安全體系:
圖1:ACK容器服務(wù)安全責(zé)任共擔(dān)模型
1.云服務(wù)供給側(cè)
對(duì)于云服務(wù)商,首先需要依托于云平臺(tái)自身的安全能力,構(gòu)建安全穩(wěn)定的容器基礎(chǔ)設(shè)施平臺(tái),并且面向容器應(yīng)用從構(gòu)建,部署到運(yùn)行時(shí)刻的全生命周期構(gòu)建對(duì)應(yīng)的安全防護(hù)手段。整個(gè)安全體系的構(gòu)建需要遵循如下基本原則:
保證容器管控平臺(tái)基礎(chǔ)設(shè)施層的默認(rèn)安全。
容器平臺(tái)基礎(chǔ)設(shè)施層承載了企業(yè)應(yīng)用的管控服務(wù),是保障業(yè)務(wù)應(yīng)用正常運(yùn)行的關(guān)鍵,容器平臺(tái)的安全性是云服務(wù)商應(yīng)該格外關(guān)注的。
完備的平臺(tái)安全能力:首先云服務(wù)商自身基礎(chǔ)設(shè)施的安全性是容器平臺(tái)是否安全的基礎(chǔ),比如VPC的安全配置能力,SLB的訪問控制,DDoS能力和賬號(hào)系統(tǒng)對(duì)云資源的訪問控制能力等都是平臺(tái)側(cè)面向企業(yè)應(yīng)用需要提供的基礎(chǔ)安全能力;
版本更新和漏洞應(yīng)急響應(yīng)機(jī)制:虛機(jī)OS的版本更新和漏洞補(bǔ)丁的安裝能力也是保證基礎(chǔ)設(shè)施安全的基本防護(hù)措施,除此之外如K8s等容器相關(guān)開源社區(qū)的風(fēng)險(xiǎn)漏洞,都可能成為惡意攻擊者首選的攻擊路徑,需要廠商提供漏洞的分級(jí)響應(yīng)機(jī)制并提供必要的版本升級(jí)能力;
平臺(tái)的安全合規(guī)性:這也是很多金融企業(yè)和政府部門應(yīng)用上云的硬性前提條件。云服務(wù)商需要基于業(yè)界通用的安全合規(guī)標(biāo)準(zhǔn),保證服務(wù)組件配置的默認(rèn)安全性,同時(shí)面向平臺(tái)用戶和安全審計(jì)人員,提供完備的審計(jì)機(jī)制。
面向容器應(yīng)用側(cè)提供縱深防御能力
云服務(wù)商不僅要在自身管控側(cè)建立完善的安全武裝,同時(shí)也需要面向業(yè)務(wù)應(yīng)用負(fù)載,提供適合云原生場(chǎng)景下容器應(yīng)用的安全防護(hù)手段,幫助終端用戶在應(yīng)用生命周期各階段都能有對(duì)應(yīng)的安全治理方案。由于云原生具有動(dòng)態(tài)彈性的基礎(chǔ)設(shè)施,分布式的應(yīng)用架構(gòu)和創(chuàng)新的應(yīng)用交付運(yùn)維方式等特點(diǎn),這就要求云服務(wù)商能夠結(jié)合自身平臺(tái)的基礎(chǔ)安全能力,將云原生能力特性賦能于傳統(tǒng)的安全模型中,構(gòu)建面向云原生的新安全體系架構(gòu)。
2.企業(yè)安全側(cè)
對(duì)于企業(yè)的安全管理和運(yùn)維人員來說,首先需要理解云上安全的責(zé)任共擔(dān)模型邊界,究竟企業(yè)自身需要承擔(dān)起哪些安全責(zé)任。云原生微服務(wù)架構(gòu)下企業(yè)應(yīng)用在IDC和云上進(jìn)行部署和交互,傳統(tǒng)的網(wǎng)絡(luò)安全邊界已經(jīng)不復(fù)存在,企業(yè)應(yīng)用側(cè)的網(wǎng)絡(luò)安全架構(gòu)需要遵循零信任安全模型,基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。對(duì)于企業(yè)安全管理人員來說可以參考關(guān)注如下方向加固企業(yè)應(yīng)用生命周期中的生產(chǎn)安全:
保證應(yīng)用制品的供應(yīng)鏈安全
云原生的發(fā)展使得越來越多的大規(guī)模容器應(yīng)用開始在企業(yè)生產(chǎn)環(huán)境上部署,也大大豐富了云原生應(yīng)用制品的多樣性,像容器鏡像和helm charts都是常見的制品格式。對(duì)于企業(yè)來說制品供應(yīng)鏈環(huán)節(jié)的安全性是企業(yè)應(yīng)用生產(chǎn)安全的源頭,一方面需要在應(yīng)用構(gòu)建階段保證制品的安全性;另一方面需要在制品入庫(kù),分發(fā)和部署時(shí)刻建立對(duì)應(yīng)的訪問控制,安全掃描、審計(jì)和準(zhǔn)入校驗(yàn)機(jī)制,保證制品源頭的安全性。
權(quán)限配置和憑證下發(fā)遵循權(quán)限最小化原則
基于統(tǒng)一的身份標(biāo)識(shí)體系進(jìn)行認(rèn)證授權(quán)是在零信任安全模型下構(gòu)建訪問控制能力的基礎(chǔ)。對(duì)于企業(yè)安全管理人員來說,需要利用云服務(wù)商提供的訪問控制能力,結(jié)合企業(yè)內(nèi)部的權(quán)限賬號(hào)體系,嚴(yán)格遵循權(quán)限最小化原則配置對(duì)云上資源和容器側(cè)應(yīng)用資源的訪問控制策略;另外嚴(yán)格控制資源訪問憑證的下發(fā),對(duì)于可能造成越權(quán)攻擊行為的已下發(fā)憑證要及時(shí)吊銷。另外要避免容器應(yīng)用模板配置如特權(quán)容器這樣的過大權(quán)限,確保最小化攻擊面。
關(guān)注應(yīng)用數(shù)據(jù)和應(yīng)用運(yùn)行時(shí)刻安全:
應(yīng)用的成功部署上線并不意味著安全工作的結(jié)束。除了配置完備的資源請(qǐng)求審計(jì)外,安全管理運(yùn)維人員還需要利用廠商提供的運(yùn)行時(shí)刻監(jiān)控告警和事件通知等機(jī)制,保持對(duì)容器應(yīng)用運(yùn)行時(shí)安全的關(guān)注,及時(shí)發(fā)現(xiàn)安全攻擊事件和可能的安全隱患。對(duì)于企業(yè)應(yīng)用自身依賴的敏感數(shù)據(jù)(比如數(shù)據(jù)庫(kù)密碼,應(yīng)用證書私鑰等)需要根據(jù)應(yīng)用數(shù)據(jù)的安防等級(jí)采用對(duì)應(yīng)的密鑰加密機(jī)制,利用云上的密鑰管理方案和落盤加密,機(jī)密計(jì)算等能力,保證數(shù)據(jù)在傳輸和落盤鏈路上的數(shù)據(jù)安全性。
及時(shí)修復(fù)安全漏洞和進(jìn)行版本更新:
無論是虛機(jī)系統(tǒng),容器鏡像或是容器平臺(tái)自身的安全漏洞,都有可能被惡意攻擊者利用成為入侵應(yīng)用內(nèi)部的跳板,企業(yè)安全管理運(yùn)維人員需要根據(jù)云服務(wù)商推薦的指導(dǎo)方案進(jìn)行安全漏洞的修復(fù)和版本更新(比如K8s集群版本,應(yīng)用鏡像版本等)。此外企業(yè)要負(fù)責(zé)內(nèi)部員工的安全培訓(xùn)工作,居安思危,提升安全防護(hù)意識(shí)也是企業(yè)安全生產(chǎn)的基礎(chǔ)要?jiǎng)?wù)。
端到端的云原生容器安全架構(gòu)
阿里云ACK容器服務(wù)面向廣大的企業(yè)級(jí)客戶,構(gòu)建了完整的容器安全體系,提供了端到端的應(yīng)用安全能力。在今年Forrester IaaS安全評(píng)測(cè)中,阿里云容器安全能力與谷歌并列滿分,領(lǐng)先其他廠商。下圖為阿里云容器服務(wù)的安全體系架構(gòu)圖:
圖2:ACK容器服務(wù)安全體系架構(gòu)圖
首先整個(gè)容器安全體系依托于阿里云強(qiáng)大的平臺(tái)安全能力,包括物理/硬件/虛擬化以及云產(chǎn)品安全能力,構(gòu)建了夯實(shí)的平臺(tái)安全底座。
在云平臺(tái)安全層之上是容器基礎(chǔ)設(shè)施安全層,容器基礎(chǔ)設(shè)施承載了企業(yè)容器應(yīng)用的管控能力,其默認(rèn)安全性是應(yīng)用能夠穩(wěn)定運(yùn)行的重要基礎(chǔ)。在容器管控側(cè),阿里云容器服務(wù)基于CIS Kubernetes等業(yè)界安全標(biāo)準(zhǔn)基線對(duì)容器管控面組件配置進(jìn)行默認(rèn)的安全加固,同時(shí)遵循權(quán)限最小化原則收斂管控面系統(tǒng)組件和集群節(jié)點(diǎn)的默認(rèn)權(quán)限,最小化攻擊面。三月,阿里云容器服務(wù)提交的CIS Kubernetes benchmark for ACK正式通過CIS社區(qū)組織的認(rèn)證審核,成為國(guó)內(nèi)首家發(fā)布CIS Kubernetes國(guó)際安全標(biāo)準(zhǔn)基線的云服務(wù)商。
統(tǒng)一的身份標(biāo)識(shí)體系和訪問控制策略模型是在零信任安全模型下構(gòu)建安全架構(gòu)的核心,ACK管控側(cè)和阿里云RAM賬號(hào)系統(tǒng)打通,提供了基于統(tǒng)一身份模型和集群證書訪問憑證的自動(dòng)化運(yùn)維體系,同時(shí)面對(duì)用戶憑證泄露的風(fēng)險(xiǎn),創(chuàng)新的提出了用戶憑證吊銷的方案,幫助企業(yè)安全管理人員及時(shí)吊銷可能泄露或離職員工的集群訪問憑證,避免越權(quán)訪問攻擊事件。
針對(duì)密鑰管理、訪問控制、日志審計(jì)這些企業(yè)應(yīng)用交互訪問鏈路上關(guān)鍵的安全要素,ACK容器服務(wù)也提供了對(duì)應(yīng)的平臺(tái)側(cè)安全能力: :
訪問控制:ACK基于K8s RBAC策略模型提供集群內(nèi)應(yīng)用資源的訪問控制能力,在保證非主賬號(hào)或集群創(chuàng)建者默認(rèn)無權(quán)限的安全前提下,集群管理員可以通過控制臺(tái)或OpenAPI的方式對(duì)指定的子賬號(hào)或RAM角色進(jìn)行集群和賬號(hào)維度的批量RBAC授權(quán),ACK面向企業(yè)常見授權(quán)場(chǎng)景,提供了四種預(yù)置的權(quán)限模板,進(jìn)一步降低了用戶對(duì)RBAC及K8s資源模型的學(xué)習(xí)成本。對(duì)于應(yīng)用容器中通常依賴的集群訪問憑證serviceaccount,ACK集群支持開啟針對(duì)serviceaccount的令牌卷投影特性,支持對(duì)sa token配置綁定audience身份,并且支持過期時(shí)間的設(shè)置,進(jìn)一步提升了應(yīng)用對(duì)管控面apiserver的訪問控制能力。
密鑰管理:針對(duì)企業(yè)客戶對(duì)數(shù)據(jù)安全自主性和合規(guī)性的要求,ACK Pro集群支持對(duì)K8s Secret的落盤加密能力,同時(shí)支持使用BYOK的云盤加密能力,保證企業(yè)核心數(shù)據(jù)安心上云;同時(shí)ACK集群支持將用戶托管在阿里云KMS憑據(jù)管家中的敏感信息實(shí)時(shí)同步到應(yīng)用集群中,用戶在K8s應(yīng)用中直接掛載憑據(jù)同步的指定secret實(shí)例即可,進(jìn)一步避免了對(duì)應(yīng)用敏感信息的硬編碼問題。
日志審計(jì):ACK除了支持K8s集群audit審計(jì),controlplane管控面組件日志等基本的管控面日志采集外,還支持對(duì)Ingress流量的日志審計(jì)和基于NPD插件的異常事件告警。以上日志審計(jì)能力均對(duì)接了阿里云SLS日志服務(wù),通過SLS服務(wù)提供的快速檢索、日志分析和豐富的dashboard展示能力,大大降低了對(duì)容器應(yīng)用開發(fā)運(yùn)維和安全審計(jì)的難度。
面向容器應(yīng)用層在供應(yīng)鏈和運(yùn)行時(shí)刻的安全挑戰(zhàn),阿里云從容器應(yīng)用的構(gòu)建、部署到運(yùn)行全生命周期,提供全方位覆蓋的安全能力:
圖3:ACK容器服務(wù)應(yīng)用全生命周期安全能力
應(yīng)用構(gòu)建階段:
據(jù)Prevasio對(duì)于托管在Docker Hub上400萬個(gè)容器鏡像的調(diào)查統(tǒng)計(jì),有51%的鏡像存在高危漏洞;另外有6432個(gè)鏡像被檢測(cè)出包含惡意木馬或挖礦程序,而光這6432個(gè)惡意鏡像就已經(jīng)被累計(jì)下載了3億次。
應(yīng)對(duì)這些潛伏于鏡像制品中的安全挑戰(zhàn),一方面要求企業(yè)應(yīng)用開發(fā)者在構(gòu)建應(yīng)用鏡像時(shí)使用可信的基礎(chǔ)鏡像,規(guī)范化鏡像構(gòu)建流程, 保證鏡像最小化;另一方面阿里云ACR容器鏡像服務(wù)針對(duì)鏡像構(gòu)建流程中的安全風(fēng)險(xiǎn),提供了倉(cāng)庫(kù)權(quán)限的訪問控制,操作審計(jì)和鏡像安全掃描等基礎(chǔ)能力。其中鏡像安全掃描是用戶能夠主動(dòng)發(fā)現(xiàn)安全漏洞的基礎(chǔ)手段,ACR容器鏡像服務(wù)和阿里云云安全中心提供了不同版本的鏡像漏洞庫(kù),在支持鏡像深度掃描的同時(shí)具備漏洞庫(kù)的實(shí)時(shí)更新能力,滿足企業(yè)安全合規(guī)需求。在阿里云容器鏡像服務(wù)企業(yè)版中還可以通過創(chuàng)建和管理交付鏈實(shí)例,將安全掃描和分發(fā)流程自由組合并內(nèi)置到自動(dòng)化任務(wù)中并且自動(dòng)攔截包含漏洞的鏡像,確保分發(fā)到倉(cāng)庫(kù)中鏡像的安全性。
在鏡像構(gòu)建環(huán)節(jié),除了及時(shí)發(fā)現(xiàn)鏡像漏洞,如何在保證鏡像在分發(fā)和部署時(shí)刻不被惡意篡改也是重要的安全防護(hù)手段,這就需要鏡像的完整性校驗(yàn)。在阿里云容器服務(wù)企業(yè)版實(shí)例中,企業(yè)安全管理人員可以配置加簽規(guī)則用指定的KMS密鑰自動(dòng)加簽推送到倉(cāng)庫(kù)中的鏡像。
應(yīng)用部署時(shí)刻:
K8s原生的admission準(zhǔn)入機(jī)制為應(yīng)用部署時(shí)刻提供了天然的校驗(yàn)機(jī)制。
濫用特權(quán)容器,敏感目錄掛載,以root用戶啟動(dòng)容器,這些常見的應(yīng)用模板配置都很可能成為容器逃逸攻擊的跳板。K8s原生的PSP模型通過策略定義的方式約束應(yīng)用容器運(yùn)行時(shí)刻的安全行為。ACK容器服務(wù)提供面向集群的策略管理功能,幫助企業(yè)安全運(yùn)維人員根據(jù)不同的安全需求定制化PSP策略實(shí)例,同時(shí)綁定到指定的serviceaccount上,對(duì)PSP特性的一鍵式開關(guān)也面向用戶屏蔽了其復(fù)雜的配置門檻。此外,ACK容器服務(wù)還支持gatekeeper組件的安裝管理,用戶可以基于OPA策略引擎更為豐富的場(chǎng)景下定制安全策略。
針對(duì)應(yīng)用鏡像在部署時(shí)刻的安全校驗(yàn)需求,谷歌在18年率先提出了Binary Authorization的產(chǎn)品化解決方案。ACK容器服務(wù)也在去年初正式落地了應(yīng)用部署時(shí)刻的鏡像簽名和驗(yàn)簽?zāi)芰ΑMㄟ^安裝定制化的kritis組件,企業(yè)安全運(yùn)維人員可以通過定制化的驗(yàn)簽策略保證應(yīng)用部署鏡像的安全性,防止被篡改的惡意鏡像部署到企業(yè)生產(chǎn)環(huán)境中。
應(yīng)用運(yùn)行時(shí)刻:
企業(yè)應(yīng)用的穩(wěn)定運(yùn)行離不開運(yùn)行時(shí)刻的安全防護(hù)手段。ACK容器服務(wù)和云安全中心團(tuán)隊(duì)合作,面向容器內(nèi)部入侵,容器逃逸,病毒和惡意程序,異常網(wǎng)絡(luò)連接等常見的運(yùn)行時(shí)刻攻擊行為進(jìn)行實(shí)時(shí)監(jiān)控和告警,同時(shí)云安全中心還提供了針對(duì)告警事件的溯源和攻擊分析能力。與此同時(shí),ACK容器服務(wù)基于業(yè)界安全基線和最佳實(shí)踐,面向集群內(nèi)運(yùn)行應(yīng)用提供了一鍵化的免費(fèi)安全巡檢能力,通過巡檢任務(wù)及時(shí)暴露運(yùn)行中容器應(yīng)用在健康檢查/資源限制/網(wǎng)絡(luò)安全參數(shù)/安全參數(shù)等配置上不符合基線要求的危險(xiǎn)配置,并提示用戶修復(fù)建議,避免可能發(fā)生的攻擊。
對(duì)于安全隔離程度要求較高的企業(yè)客戶可以選擇使用安全沙箱容器集群,安全沙箱容器基于輕量虛擬化技術(shù)實(shí)現(xiàn),應(yīng)用運(yùn)行在獨(dú)立的內(nèi)核中,具備更好的安全隔離能力,適用于不可信應(yīng)用隔離、故障隔離、性能隔離、多用戶間負(fù)載隔離等多種場(chǎng)景。
對(duì)于金融支付,區(qū)塊鏈等對(duì)數(shù)據(jù)計(jì)算過程中的完全性,完整性和機(jī)密性有強(qiáng)安全訴求的場(chǎng)景,可以選擇部署使用ACK-TEE機(jī)密計(jì)算托管集群,其中機(jī)密計(jì)算基于Intel SGX技術(shù),支持將重要的數(shù)據(jù)和代碼防止在一個(gè)特殊的可信執(zhí)行加密環(huán)境(Trusted Execution Environment,TEE)中,而不會(huì)暴露給系統(tǒng)其他部分。其他應(yīng)用、BIOS、OS、Kernel、管理員、運(yùn)維人員、云服務(wù)商、甚至除了CPU以外的其他硬件均無法訪問機(jī)密計(jì)算平臺(tái)數(shù)據(jù),極大減少敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)。
安全是企業(yè)上云的首要關(guān)切
近十年來,選擇了阿里云容器服務(wù)的客戶對(duì)阿里云提出了各種各樣的安全場(chǎng)景需求,如公司內(nèi)部IT資產(chǎn)安全、數(shù)據(jù)運(yùn)轉(zhuǎn)安全、高效管控各方權(quán)限等,這些典型需求的考驗(yàn),使阿里云沉淀了最豐富的云原生產(chǎn)品家族、最全面的云原生開源貢獻(xiàn)、最大的容器集群和客戶群體和廣泛的云原生應(yīng)用實(shí)踐。
安全是企業(yè)上云的首要關(guān)切。隨著云原生對(duì)計(jì)算基礎(chǔ)設(shè)施和企業(yè)應(yīng)用架構(gòu)的重定義,容器作為云的新界面,也將緊跟云原生的發(fā)展大潮,向更加安全、可信的方向發(fā)展。未來,阿里云容器服務(wù)將始終以“讓企業(yè)放心上云,安心用云”為目標(biāo),在容器安全領(lǐng)域保持世界級(jí)的競(jìng)爭(zhēng)力,在不斷夯實(shí)自身基礎(chǔ)設(shè)施安全的基礎(chǔ)上,為客戶的應(yīng)用安全保駕護(hù)航。
