云计算安全测评:云原生安全

藤井瑞教授

国家互联网与信息控制系统安全可信产品安全卫生检测中心

（中国公安部门部第二研究院）

云计算与公安部门大信息安全可信评定生物医学相关人士

云原生植物行业发展趋势

云原生植物的英语简写“Cloud Native”是一个女团词，其中“云”则表示应用领域程序代码于云计算自然环境中，“原生植物”则表示应用领域程序在结构设计Hathras就综合考虑了云计算的灵活性和分布式控制系统优点。云原生植物构架能助推企业适应环境现代IT控制技术的发展变化，从而帮组织机构实现应用软件的加速插值、灵巧开发，达到提高效率的效用。

2013年，Pivotal公司的Matt Stine首度提出云原生植物的基本概念，用于界定为云而结构设计的应用领域和云上布署的传统应用领域。

2015年，云原生植物计算促进会（CNCF）成立，意在推动以罐子为中心的云原生植物控制系统。其得出了目前被广泛接受的云原生植物的表述，即：“云原生植物控制技术有助于各组织机构在公有云、私有云和混和云等新式静态自然环境中，构筑和运转可灵活性扩充的应用领域。云原生植物的代表控制技术包括罐子、服务项目分层、微服务项目、不可变基础建设和新闻稿式API。这些控制技术能构筑可扩充性好、更易管理和易于检视的松谐振控制系统。紧密结合可信的智能化方式，云原生植物控制技术使技师能随心所欲地Vertus做出频密和可预估的重大更改。”

2017年，Matt Stine将云原生植物构架归入模组化、可检视、可布署、可试验、可替换、可处理6个个人风格；Pivotal新一代官方网站对云原生植物归纳为4个关键点：微服务项目+DevOps+持续交货+罐子。

微服务项目构架下，应用领域的各个服务项目可独立开发、布署、更新和扩容，更好地利用了云计算按需分配和灵活性扩充的优点。

DevOps让开发、试验和运维相互融合，从而实现加速编译、智能化试验、布署、发布和回滚，为微服务项目构架提供控制技术支撑。

持续交货是指在DevOps的支撑下，更快更便捷地进行应用软件开发、试验、布署和升级，从而实现持续交货。

罐子是一种轻量级的虚拟机，共享宿主操作控制系统的内核，具有轻量化的特点，其与编排控制系统一起实现了加速启动、按需服务项目、灵活性扩充等，是微服务项目的底层基础设施。

随着控制技术的发展，为了更好地开展云原生植物治理和应用领域，又出现了服务项目分层、无服务项目器计算（Serverless Computing）的基本概念

云原生植物面临的安全可信问题

云原生植物已成为了云计算市场的宠儿，其解决了传统IT构架中布署困难、升级缓慢、构架复杂等问题，但也同样面临安全可信风险。特斯拉Kubernetes罐子集群被黑事件、Docker Hub 中的罐子镜像被投毒注入挖矿程序等一系列针对云原生植物的安全可信攻击事件

云原生植物安全可信包含两层意思：一是云原生植物自然环境的安全可信，二是利用云原生植物控制技术的安全可信。

云原生植物自然环境的安全可信是指采用相应的安全可信措施对云原生植物自然环境进行保护，这种安全可信措施有可能是使用传统的安全可信防护产品，也有可能是使用云原生植物控制技术的安全可信产品，也有可能是云原生植物自然环境自身的安全可信优点。

利用云原生植物控制技术的安全可信是指采用云原生植物的灵活性扩充、按需分配等特点进行安全可信产品的结构设计和布署，这种安全可信产品能布署在云原生植物自然环境中，当然也可以为传统IT构架提供安全可信防护。

未来，云原生植物自然环境必将与采用了云原生植物控制技术的安全可信相互融合，成为统一的整体；也就是说在云计算自然环境下的安全可信一般也是采用了云原生植物控制技术的安全可信，采用了云原生植物控制技术的安全可信也会为云计算自然环境安全可信添砖加瓦，从而实现持续交货、持续安全可信，达到业务与安全可信齐头并进。

本文我们重点讨论云原生植物自然环境的安全可信，依据其控制系统构成从罐子、编排控制系统、微服务项目、服务项目分层、无服务项目器计算五个层面分析其安全可信风险。

在云原生植物自然环境下，罐子作为微服务项目的主要载体，是底层基础建设，为适应环境应用领域的加速布署和插值，罐子具有数量庞大、生命周期短暂等特点，且在罐子的新建和消失过程中用于标识罐子IP地址、名称等均将发生变化，这对于传统的基于IP的访问控制策略是一种极大的挑战。罐子面临的主要安全可信挑战包括：罐子镜像的安全可信性、罐子间流量和访问控制的复杂性、共享操作控制系统内核情况下罐子逃逸的安全可信风险、罐子安全可信配置的复杂性、特权罐子的权限控制等。

编排控制系统是罐子的大脑，它可以提供用户所需的罐子布署，管理和扩缩容等编排功能。比如，Kubernetes就是被最为广泛使用的罐子编排控制系统。编排控制系统的安全可信问题同样对云原生植物自然环境影响深远，其需

微服务项目就是将单体应用领域中的不同模块拆分成微服务项目，这些微服务项目都可以独立布署、运维、升级和扩充，微服务项目之间通过使用RESTful API进行通信。在云原生植物自然环境中，内外网边界模糊，更多的API会暴露在互联网上。随着API暴露面的增加，其被攻击的风险也大大增加，传统的南北向防护体系在云原生植物自然环境下显得力不从心。此外，微服务项目构架增加了服务项目间的访问和调用，给东西向流量控制带来了更大的挑战。

服务项目网格被认为是下一代的微服务项目构架，其主要对服务项目进程间的通信进行管理，是云原生植物的发展和延伸。比如Istio就是一款典型的微服务管理和服务项目分层框架项目。引入新的控制技术必然也会带来新的安全可信风险，服务项目互联网面临的主要安全可信风险包括：不安全可信的通信导致的中间人攻击、东西向和南北向的认证授权和访问控制不当造成的越权攻击等。

无服务项目器计算是是新的云原生植物模式，当然同样面临安全可信问题，主要包括复杂和流动的攻击面、数据注入、非授权访问、操作不可见、无法溯源等。

云原生植物控制技术得到了广泛地应用领域，云原生植物控制系统也不断布署，这催生了诸如CASB（云访问安全可信代理），CSPM（云安全可信配置管理），CWPP（云工作负载安全可信防护平台），SASE （安全可信访问服务项目边缘模型）、罐子安全可信（Container Security）等新兴云安全可信防护产品和解决方案，这些都能为云原生植物自然环境的安全可信提供产品和控制技术支持。

云原生植物安全可信框架

基于以上云原生植物自然环境面临的安全可信问题，需要有一个完整的安全可信框架，用于明确云原生植物控制系统应具备的安全可信控制技术或能力。该框架中横轴是开发运营安全可信的维度，涉及需求结构设计（Plan）、开发（Dev）、运营阶段(Ops)，细分为需求、结构设计、编码、试验、集成、交货、防护、检测、响应阶段，，但考虑到响应安全可信能力要求在不同云原生植物控制技术层差异性较大，本标准不涉及响应阶段。而纵轴则是按照云原生植物控制系统和控制技术的层次划分，包括罐子基础建设安全可信、罐子编排平台安全可信、微服务项目安全可信、服务项目分层安全可信、无服务项目器计算安全可信五个部分：

从云原生植物安全可信的视角

，云原生植物控制系统各层所需的安全可信要求从罐子基础建设安全可信直至无服务器计算安全可信，对应图中蓝色标注部分。

从DevSecOps的视角，涉及的能力范围几乎覆盖了横轴的各个阶段，对应参考图中紫色标注部分。

此外，云原生植物安全可信体系各层都有认证授权、监控追踪和日志审计等通用的安全可信要求，这些通用控制技术能力覆盖DevSecOps中Ops阶段，见图中黄色标注部分。

需要注意的是该安全可信框架是从DevSecOps的角度看云原生植物安全可信体系，如果从其它维度，则会有不同的安全可信构架。该框架下的各个层次的安全可信能力要求包括：

1) 罐子基础建设安全可信能力要求主要包括：内核安全可信、罐子安全可信配置核查、罐子安全可信加固、罐子运转时安全可信、镜像安全可信、镜像仓库安全可信、日志审计、监控追踪、认证授权等。

2) 罐子编排平台安全可信能力要求主要包括：罐子编排平台安全可信配置核查、罐子编排平台安全可信加固、认证授权、密钥管理、互联网安全可信、日志审计、监控追踪等。

3) 微服务项目安全可信能力要求主要包括：微服务项目API安全可信、微服务项目应用领域安全可信；其中微服务项目API安全主要包括云原生植物API网关、API脆弱性评估；微服务项目应用领域安全可信主要包括认证授权、API安全可信、通信安全可信、凭证管理、日志审计、监控追踪等。

4) 服务项目分层安全可信能力要求主要包括：认证授权、日志审计、监控追踪、配置核查等。

5) 无服务项目器计算安全可信能力要求主要包括：无服务项目器应用领域安全可信、无服务项目器平台安全可信；其中无服务项目器平台安全可信主要包括认证授权、日志审计、监控追踪、账户安全可信、函数应用领域安全可信等。

安全可信建议

云原生植物作为云计算深入发展的产物，已在5G、人工智能、大数据等领域得到了广泛应用领域，以罐子、编排控制系统、微服务项目为关键控制技术的云原生植物控制系统也因为具有加速插值、灵巧开发、提高效率等特点被大量布署。然而，断发生的针对云原生植物安全可信攻击事件

我中心立项了公安部门行业标准《信息安全可信控制技术罐子安全可信监测产品安全可信控制技术要求》，该标准主要从罐子镜像安全可信、罐子运转时安全、编排组件安全可信和自身安全可信4个方面对罐子安全可信监测产品提出相关的安全可信功能要求和安全可信保障要求，目前该标准尚处于编制阶段。此外，我中心与国际云安全可信联盟CSA、云计算厂商和安全可信厂商等一起编制了《云原生植物安全可信控制技术规范》，建立了云原生植物安全可信构架，从开发运营安全可信（DevSecOps）和云化控制系统安全可信两个维度考虑安全可信机制，提出了罐子基础建设安全可信、罐子编排平台安全可信、微服务项目安全可信、服务项目分层安全可信、无服务项目器计算安全可信五个部分的安全可信要求，为云原生植物类产品厂商或甲方构筑安全可信的云原生植物类产品和控制系统提供参考和指导。

转载自国家网安检测中心服务项目号

即可阅读下载《云原生植物安全可信控制技术规范》全文

往期推荐