云原生架構下安全方法的重構

云原生架構下安全方法的重構云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重構”金融云原生下的“內生安全”理念目錄越來越多的金融機構在靠近云原生云原生代表了一系列新技術，包括容器編排、微服務架構、丌可變基礎設施、聲明式API、基礎設施即代碼、持續(xù)交付/持續(xù)集成、DevOps等，且各類技術間緊密關聯(lián)。過去云的發(fā)展極大提升了數(shù)據(jù)中心的運行效率，而今天的云原生直接面向開發(fā)者提供服務，透明化了基礎設施運行環(huán)境，屏蔽了運行穩(wěn)定需求不業(yè)務快速變化之間的矛盾。金融機構采用云原生的驅勱力：開發(fā)運行環(huán)境一致性業(yè)務敏捷不彈性化高度的容錯性劣力企業(yè)的中臺建設混合云部署云原生發(fā)展過程中的阻礙：大量新技術不開源軟件不傳統(tǒng)單體應用、SOA應用架構丌完全兼容云原生開始重新定義IT組織的多個方面云原生表面上是資源的高度集中，而背后是對組織協(xié)作方式的變革，從組織責任邊界（交維邊界），產品迭代（開發(fā)模式），業(yè)務設計（應用架構）到數(shù)據(jù)中心基礎設施（運行平臺）都產生了影響。最常見的是數(shù)據(jù)中心的運維職責變化。單體應用獨立的基礎設施資源（計算、存儲、網絡）瀑布式開發(fā)開發(fā)(Dev)測試(QA)生產(Ops)運行平臺應用架構開發(fā)模式交維界面SOAESB敏捷開發(fā)開發(fā)(Dev)測試(QA)生產(Ops)IaaSPaaSaPaaS|

FaaSiPaaS|

IaaSMSMSMSMSMSMSMS MSMS MS云原生對安全團隊帶來的挑戰(zhàn)技術挑戰(zhàn)：云原生引入了大量基礎設施新技術，導致安全工作者理解難度增加，云越來越像個黑盒，過去的安全工作多數(shù)只是圍著核心業(yè)務外圍轉。組織挑戰(zhàn)：安全建設和云基礎設施關系緊密，導致安全職責需要重新考慮，安全組織和信息化其他組織的關系無法簡單定義為誰主管、誰建設、誰負責。能力服務化挑戰(zhàn)：應用上云后也會的提出安全服務化的訴求，開發(fā)團隊短期找丌到現(xiàn)成的安全服務時，可能自行使用開源安全工具，但卻難于兼顧安全責任。云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重構”金融云原生下的“內生安全”理念目錄1.不可變基礎設施導致安全的“重新左移”當前資產安全漏洞及基線問題從開發(fā)階段開始關注定期對運行環(huán)境進行安全掃描發(fā)現(xiàn)資產安全風險在運營過程中，發(fā)現(xiàn)漏洞需要及時協(xié)同運行團隊進行修復運行態(tài)的安全基本上與開發(fā)態(tài)的安全工作相互割裂資產的安全變更及安全服務的選擇，也需要在開發(fā)階段執(zhí)行未發(fā)布時，需要定期在鏡像倉庫及制品庫進行安全檢查上線發(fā)布即安全，脆弱性修補通過開發(fā)重新部署完成對運行發(fā)現(xiàn)的安全問題需要在開發(fā)測試環(huán)境的進行持續(xù)跟蹤應用開發(fā)安全云運行安全安全設計安全開發(fā)安全部署安全構建安全發(fā)布流水線

/

開發(fā)運行一體化/

云管平臺安全云內微隔離服務應用及微服務安全云邊界安全服務工作負載安全服務PaaS安全服務安全PaaS服務安全測試未來需求設計編碼測試發(fā)布培訓安全意識培訓軟件安全培訓進階安全培訓定義安全需求制定質量門進行安全和隱私風險評估制定安全設計需求分析攻擊面/緩解措施使用威脅建模執(zhí)行事件響應計劃使用批準的工具禁用不安全的函數(shù)和組件靜態(tài)代碼分析動態(tài)代碼測試模糊測試攻擊面評析事件響應計劃最終安全評審發(fā)布和存檔響應需求/架構設計編碼組件測試系統(tǒng)測試投產/發(fā)布后來源：

US

NationalInstituteof

Standard

and

Technology2. 面向開發(fā)全流程安全的“重新構建”在開發(fā)過程中有大量安全檢測工作需要人工介入安全測試卡點主要出現(xiàn)在上線前的上線部署環(huán)節(jié)應用構建安全主要關注編譯環(huán)境與代碼安全問題大量零散的安全工具相互孤立，沒有形成整體自動化是所有安全工具集成到流水線的前提在DEV/SIT/UAT各個階段集成必要的安全測試應用構建安全還需要考慮基礎鏡像、依賴庫、構建過程等安全問題形成基于不同開發(fā)項目在各階段的研發(fā)安全看板管理當前未來代碼缺陷、軟件成分、密鑰硬編碼、代碼庫篡改、缺陷的依賴

……IaC安全驗證的鏡像、鏡像安全加固基線、密鑰硬編碼、服務安全配置CI/CD安全工具感染、制品庫憑據(jù)竊取、構建腳本篡改、推送錯誤鏡像到生產DEVST UAT代碼安全開發(fā)項目安全看板管理源代碼掃描人工代碼審計成果收集整理報告內容溝通輸出及提交報告回歸檢查（二次復查）提交復查報告報告內容溝通代碼審計階段實施復測階段實施SASTDASTIASTSCA……3. 容器化工作負載安全的 “重新部署”以物理機、虛擬機為主的云工作負載安全以防病毒、主機入侵防護為主的工作負載安全主機應用安全軟件部署/升級大多在運行態(tài)完成主機系統(tǒng)安全軟件直接嵌入到操作系統(tǒng)內部容器安全和Serverless安全需要重新考慮以安全加固、完整性保護、異常檢測為主的安全防護RASP等安全軟件的部署可以打包進Docker

file進行鏡像構建虛擬機和容器的安全都通過Sidecar部署，對應用無侵入不同安全等級的容器編排至對應的Ingress入口當前未來… …虛擬化安全管理平臺agent

一體化客戶端虛擬" agent平

臺物理服務器資源 物理服務器資源agent agent agentagent

agent部分云平臺虛擬機可通過sidecar部署安全組件虛擬機容器硬件虛擬化VM

s作為云單位使用壽命從幾個月到幾年虛擬OS應用/服務作為云單位使用壽命從幾分鐘到幾天物理機整塊應用物理服務器作為云單位使用壽命以年記無服務器虛擬ru

n

tim

e資源作為云單位使用壽命從秒到分鐘容器虛擬機/應用虛擬機安全加固、完整性保護為主4. 云運行環(huán)境安全服務化的“重新思考”私有云的安全服務本身需要原生化，充分利用云的彈性計算能力，并形成安全資源部署與云內資源管理、編排調度的協(xié)同。安全策略集中管理控制，隱性安全服務只為租戶提供結果展示需要考慮安全顯性化服務，IAM、KMS、憑據(jù)及證書管理、惡意代碼/敏感數(shù)據(jù)檢測API或SDK等，顯性化服務的特點是直接可被應用調用當

前

未來面向基礎設施面向應用調用安全服務(隱性)工作負載安全防護網絡隔離安全防護流量監(jiān)測安全防護安全日志審計服務…

…安全服務(顯性)IAM/憑據(jù)管理服務KMS/證書管理服務文件檢測API/SDK（惡意代碼/敏感數(shù)據(jù)）靜態(tài)數(shù)據(jù)脫敏服務…

…云運行環(huán)境（被保護資產同編排調度）云安全服務管理（統(tǒng)一策略管理、面向租戶展示）密鑰管理服務業(yè)務資源池 安全資源池私有云的安全能力基本以虛擬化的安全設備為主安全防護資產信息難于與云資產信息進行打通入侵防護、WAF、安全審計等安全服務直接面向租戶提供策略管理大量安全服務的云內集成很多時候變成租戶的困擾5. 云內基于業(yè)務屬性橫向隔離的“重新設計”傳統(tǒng)數(shù)據(jù)中心第一層隔離邏輯基于網絡區(qū)域屬性實現(xiàn)安全訪問控制云數(shù)據(jù)中心通過雙層（物理+VPC）網絡構建多租戶網絡基礎設施容器網絡和微服務通訊架構的出現(xiàn)增加了數(shù)據(jù)中心網絡復雜性傳統(tǒng)網絡隔離機制在新的數(shù)據(jù)中心無法繼續(xù)沿用，安全邊界模糊化，云數(shù)據(jù)中心的第一層隔離邏輯是基于業(yè)務單元（租戶）資源隔離大規(guī)模數(shù)據(jù)中心環(huán)境容器網絡下沉至虛機網絡是主要方向基于業(yè)務屬性標簽進行安全訪問控制隔離將是主要機制租戶內虛機/容器網絡基于屬性的微隔離，VPC間安全防護隔離、DMZ與業(yè)務域間安全防護隔離是云內實現(xiàn)隔離的主要位置當前未來業(yè)務區(qū)：用于部署各類服務器；開發(fā)測試區(qū)：用于業(yè)務系統(tǒng)上線前的開發(fā)測試；互聯(lián)網區(qū)：用于部署互聯(lián)網業(yè)務；外聯(lián)網區(qū)：用于部署不第三方外聯(lián)機構業(yè)務；廣域網區(qū)：用于不內部分支機構互聯(lián)；管理網區(qū)：用于數(shù)據(jù)中心內部網絡管理；金融機構數(shù)據(jù)中心架構租戶A租戶B租戶C租戶D租戶E租戶F…

…DMZ租戶A租戶B租戶C租戶D租戶E租戶F…

…業(yè)務區(qū)Web服務數(shù)據(jù)服務基于業(yè)務屬性的軟件定義邊界云內網絡安全服務6. 微服務框架下服務安全邊界 “重新定義”單體應用基于微服務理念進拆分，使用松耦合應用開發(fā)框架侵入式（Spring

cloud）微服務架構向無侵入式（服務網格）發(fā)展越來愈多的API/SDK對內開放的同時還需要對外進行開放安全防護僅僅依賴企業(yè)互聯(lián)網邊界過去的安全能力建設開放服務安全形成面向互聯(lián)網，組織內，微服務架構內三層邊界微服務內部，服務治理與微服務安全訪問控制的整合微服務外部，實現(xiàn)面向三方訪問場景的認證授權架構OIDCAPI與Web威脅防護在WAF側能力的集成（WAAP）當前未來單體應用架構 微服務架構7. 金融云各類訪問通道的“重新建設”開發(fā)及運維接入包括互聯(lián)網遠程、辦公網、生產網直接接入等主要以轉入NAC和VPN為主的接入控制方法面向云生產環(huán)境、研發(fā)流水線平臺的運維通道研發(fā)人員的開發(fā)測試環(huán)境的接入通道互聯(lián)網遠程的開發(fā)與運維接入變成后疫情時代的主旋律確保無論從互聯(lián)網接入還是辦公網接入都具備相同的安全控制措施基于接入過程的風險變化實時對訪問的授權進行動態(tài)控制簡單化的用戶體驗與基于零信任的安全訪問控制當前未來準入成功后入網鏡像流量N

AC準入VPN

+

N

AC準入訪問控制SSL_

VPN

用戶遠程訪問云管平臺/流水線及研發(fā)運行一體化平臺開發(fā)運維終端云管平臺及流水線等云桌面現(xiàn)有4A動態(tài)訪問控制持續(xù)信任評估持續(xù)認證終端環(huán)境感知云桌面環(huán)境感知信任評分云桌面訪問授權業(yè)務授權業(yè)務環(huán)境感知云桌面隱藏收縮暴露面應用代理業(yè)務隱藏收縮暴露面應用代理云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重