文 / 北银金融科技有限责任公司云安全技术专家  李高峰

自2013年Docker容器(Container)技术诞生,2015年云原生计算基金会(CNCF)成立,近十年来采用云原生技术的应用呈现指数级增长。中国数据中心(IDC)报告显示,2018年时云原生在企业的应用只有40%,预计2023年底占比将超过80%。云原生作为金融机构业务创新的原动力,在带来快速交付与迭代数字业务应用优势的同时,也带来了新的安全风险与挑战。

中国信通院牵头发布《云原生架构安全白皮书(2021年)》(以下简称《白皮书》)对云原生应用技术提供了安全管理框架和具体指导。北银金融科技有限责任公司(以下简称“北银金科”)为实现云原生的安全可控和合规使用,进一步贯彻白皮书指导意见,在云原生安全管理与建设方面积极探索并形成了一套可落地的云原生安全防护路径。

云原生环境的安全挑战

云原生技术有效支持金融行业快速创新和业务扩展,但也给安全体系带来了诸多挑战。

容器安全方面,容器是云原生应用的基本组成单元,容器中的应用程序也是云原生应用的核心。因此,容器技术的安全风险不容忽视。比如,容器中的进程隔离不足,会导致容器间相互干扰;容器镜像的来源不可信,会导致容器中的应用程序被恶意篡改等。

服务网格安全方面,服务网格是微服务架构的进一步升级,为服务实例之间提供了一种透明的、无感知的通信方式,但是在实际使用中也面临着安全性问题。比如,服务网格中的数据传输可能会被拦截和篡改,造成数据泄露和损坏;服务网格中的认证和授权机制可能不够严格,导致未授权的用户或应用程序访问敏感数据等。

API网关安全方面,API网关是云原生应用的入口,负责将用户请求转发给后端微服务。如果API网关的认证和授权机制不够严格,将导致未授权的用户或应用程序访问敏感数据。另外,API网关可能存在缓存漏洞、SQL注入漏洞等安全漏洞,导致攻击者获取敏感数据或控制API网关等。

微服务安全方面,微服务架构将应用程序拆分成多个微服务,每个微服务都有自己的业务逻辑和数据存储。如果微服务在设计与开发过程中存在逻辑缺陷,可能造成提权和业务数据被非法篡改,微服务请求参数中如存在敏感信息,容易导致服务请求被非法篡改劫持的风险。

云原生环境安全体系思路及实践

《白皮书》从云原生架构层面定义了云原生安全体系,涵盖基础设施安全、云原生计算环境安全、云原生应用安全、云原生研发运营安全、云原生数据安全及安全管理的云原生安全防护体系。为应对以上挑战,基于权威机构对云原生安全体系的定义,北银金科探索总结云原生安全建设思路,云原生安全并不是只解决云原生技术带来的安全问题,而是一个全新的安全理念,云原生安全体系的建设应融入组织的文化,采取多种措施,来保证云原生应用的安全性。

北银金科积极推动云原生安全的探索实践,新时代的云原生安全建设迈向“一体化”发展,做好顶层规划,构造主动防御的安全体系,才能真正建设好坚实的城墙。秉承“统一入口、统一管理、统一运营”原则,以体系化的思路建设为指引,北银金科形成“安全文化”“安全开发”和“安全防护”三位一体的一套可落地的云原生安全体系,并取得明显实践成效。

1.“安全文化”建设

生产安全是运维人员必备的入门课程,但是随着云原生快速发展,基于敏捷开发的理念,业务系统快速迭代上线,企业安全文化需要深入到需求调研、规划设计、软件迭代与集成测试等方方面面。

(1)制定安全规范。基于《商业银行应用程序接口安全管理规范》(JR/T 0185—2020)与OW ASP Top10(开放式Web应用程序安全项目十大安全漏洞列表),对云原生技术应用中规划、构建、部署等全生命周期过程可能存在的安全隐患进行分析和规范,制定安全开发手册、安全开发全生命周期管理规范与安全生产考评机制,以确保全流程各环节中的安全问题得到及时发现和解决。

(2)提高全员安全意识。定期开展全员安全培训与考试,提高员工的安全意识和技能。建立学时积分制度和奖励机制,安全考试成绩纳入常态化考核,积极推动安全证书获取。督促开发、测试和运维人员在日常工作中时刻关注安全问题,防范安全漏洞,从而提高安全防范意识和安全紧急事件的响应能力。

(3)强化全流程安全管理。基于安全开发全生命周期管理规范,对需求分析、设计、编码、测试、部署等各个环节的安全问题进行全面管理,防止漏洞产生,确保软件的安全性和稳定性。

2.“安全开发”建设

引入安全开发工具在代码构建、测试验证和上线前评审各环节,建设全流程的安全开发逻辑,实现“安全左移”。从根源治理安全问题,极大提升项目安全性。

建设代码扫描与审计,通过引入代码扫描工具和审计工具对软件代码进行安全审查,及时发现软件安全漏洞,提高软件的安全性和稳定性。

通过测试环境的安全平台,进行安全测试和漏洞检测,确保软件在各种场景下能够正常运行并防止恶意攻击。

通过软件安全审计等手段对软件进行全面测试和验证,以确保软件在交付后能够满足安全需求。

3.“安全防护”建设

从外到内分层次、由硬到软分架构进行规划建设,基于自动化运营实现云原生安全能力闭环。

(1)基础设施安全能力。包括网络安全、服务器安全、存储安全等。一是网络安全,对网络进行安全隔离和加密传输,使用合适的防火墙和入侵检测系统来保障网络安全。采用VPC或SDN等技术实现安全隔离和网络流量加密,同时配合入侵检测和防火墙等安全设备,实现安全监控和攻击防范。二是服务器安全,对服务器进行强化配置、安全扫描和漏洞修复,避免恶意攻击和未经授权的访问。采用硬件加密、密钥管理、访问控制、防病毒、漏洞扫描等手段,强化服务器安全。使用统一的硬件安全模块来保障密钥的安全存储和管理,确保服务器和容器的安全性。同时,采用访问控制和账号审计等措施,限制用户和服务的访问权限,防止恶意攻击和未经授权的访问。三是存储安全,对存储设备进行加密和备份,防止数据泄漏和灾难性损失。采用数据加密、多重备份和冗余机制等手段,保障数据的安全性和可靠性。使用硬件加密和密钥管理等技术,确保数据的安全传输和存储。同时,进行定期备份和恢复测试,确保数据的可靠性和完整性。

(2)应用程序安全能力。包括容器镜像安全、访问控制、运行时安全、API安全等。一是容器镜像安全,在开发和部署过程中使用安全的镜像和组件,防止恶意代码和漏洞的注入。采用安全的容器镜像库和签名机制,确保容器镜像的来源和完整性。在部署容器时,进行容器安全扫描和漏洞测试,防止恶意容器和安全漏洞的注入。二是访问控制,采用身份认证、访问控制和授权机制,限制用户和服务的访问权限,防止未经授权的访问和操作。同时,采用审计和日志记录等技术,监控用户和服务的访问行为,发现和处理异常情况。三是运行安全,盘点生产环境容器资产清单,对容器进行漏洞扫描、基线配置审查、木马病毒扫描、入侵检测、网络防护、阻断控制等。四是API安全,通过检测、防护、分析等能力,实现API安全可见、可管、可控。基于深度内容检测能力,实现对敏感信息的检测和保护。配置API动态差异化管控策略,实现对API的精细化管控。

(3)数据安全能力。包括数据加密、备份和恢复等,对数据进行分类和分级处理,根据安全等级和隐私要求进行加密、备份和恢复等操作。一是数据加密,对敏感数据进行加密处理,确保数据的安全传输和存储。使用硬件加密和密钥管理等技术,确保密钥的安全存储和管理。二是数据安全策略,对数据进行统一安全策略管理,确保数据库访问与数据传输过程中实现实时加密、动态脱敏、数据库访问控制、堡垒机访问控制和数据安全审计等。三是备份和恢复,进行定期备份和恢复测试,确保数据的可靠性和完整性。采用多重备份和冗余机制,保障数据的可靠性和恢复性。同时,对备份数据进行加密处理,防止备份数据的泄露和攻击。

(4)运维安全能力。包括日志审计、监控报警、自动化运维等。对系统和应用进行实时监控和日志审计,及时发现和处理异常情况。通过自动化运维和自愈机制来降低运维风险和人为错误。

4.实践成效

北银金科为某金融机构云原生安全方面提供了一套云原生安全运营解决方案,有效助力构建云上安全防御体系。“安全左移”方面,在开发过程中,采用DevSecOps方法来确保软件开发的安全性,通过代码扫描和审计系统进行代码扫描和漏洞检测,确保了开发流程的严谨性和一致性。“API安全”方面,设置虚“高速公路检查站”方式,支持全面的威胁检测技术,构建检测、分析、防护能力,为API全生命周期安全管理提供支撑和平稳运行建立安全屏障。“云原生应用全生命周期管理”方面,提供应用全生命周期的安全防护及可视化展示,从开发态安全、镜像管理分发机制与运行时安全等全流程视角对云原生应用进行安全态势管理,全方位保护云原生应用全生命周期安全并满足监管合规要求。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。