一年一度的网络安全行业盛会RSA Conference于旧金山时间6月6-9日在美国召开，今年大会主题为Transform（转型），该主题与我国十四五规划的关键词——“数字化转型”不谋而合。值得一提的是，以容器、微服务、DevOps、服务网格为代表的云原生技术在助力企业数字化转型的过程中得到了广泛应用。

云原生技术的大量应用也为企业安全带来了新的挑战。一方面传统安全威胁并没有因新技术的应用而消失，而传统安全防护能力却因为新技术应用而失效；另一方面新技术带来了诸如容器逃逸等新问题。从本次有多家云原生安全厂商入选RSA2022创新沙盒十强，可以看出安全问题是云原生技术发展的热点问题。

一、云原生安全厂商技术分析
No.1
Lightspin
利用弹性、敏捷、轻量化的云原生特性提升产品迭代速度是企业数字化转型的重要驱动力，产品快速迭代带来的一个问题是安全防护措施跟不上业务迭代速度。伴随着微服务的普及，大量单体应用被拆分成若干业务容器，容器部署的规模与虚拟机相比上涨数十倍，同时大量的配置合规、漏洞修复问题，以及每时每刻产生的安全告警事件占据了运维人员大量精力，增加了企业在安全上的成本投入。

Lightspin攻击路径展示

对于云原生场景下的安全运维效率提升问题，Lightspin提供了一些新颖的思路。Lightspin通过SaaS方式提供了云原生场景下的DevOps全生命周期安全防护方案，保护包括AWS、Azure、GCP、K8s在内的云环境安全。其核心防护思想是借助可视化手段对云环境中的安全问题进行上下文关联分析，并标注需要关注问题的优先级。安全团队可以借此从入侵者视角看到其攻击路径和优先级，通过聚焦高优先级风险的方式最大限度地提高工作效率。

Lightspin使用了无代理技术，通过公有云或kubernetes提供的API周期性获取相关资产和配置信息，并将云上资产和风险进行关联映射到图形数据库中。通过分析整个环境的上下文信息后，产品会为运维人员提供攻击者视角入侵路径的展示，直观展示环境中的问题。除攻击路径展示外，借助可视化技术还可以直观发现孤儿资产、多实例共用ssh秘钥等安全问题。在问题修复方面，Lightspin提供了一键修复功能。结合官网材料可以看出，其主要方式是提供现成的Terraform或JSON文件，用户只需单击一下，即可解决发现的问题。

No.2
Araali Networks
在安全运维过程中，系统和应用漏洞的及时修复对预防可能发生的攻击相当重要，但是由于一些客观原理，导致漏洞修复工作困难重重，例如：待修复的漏洞和资产太多、漏洞修复需要重启设备导致服务中断、无法评估补丁修复方案对业务的影响等。

Araali Networks防护模式示意图

Araali提出了弹性补丁的概念，Araali在环境中部署一个叫Araali-FW的模块，该模块作为守护程序采用eBPF技术动态感知应用的行为(进程启动、文件操作、网络连接)并生成防护策略，策略可以导出并和应用进行绑定。在应用防护策略之后，Araali-FW便会对限制系统应用行为，因此即使黑客已经攻入系统，也无法执行其他操作。

除漏洞修复问题外，云原生场景下的另一个挑战是访问控制问题，云上无密码互访是用户刚需，而现实情况是云上这类服务一般是基于云厂商提供的IAM产品实现，并且这仅限于云服务提供商自身的产品。而对于云上客户自身业务互访或业务对外访问时，则采取配置安全组的方式实现。在复杂的业务场景下，安全组的管理变得异常复杂，由于安全组是人为的策略配置，也可能导致配置错误产生新的安全问题。Araali使用eBPF控件自动检测应用程序需要互访的对象，并生成最小化的访问控制策略。后续将策略和应用进行绑定，通过eBPF强制限制执行该策略。

在云原生场景下，容器业务相对单一，容器行为也更容易收敛，因此非常适合使用该技术做异常行为的学习并自动生成规则。通过对不符合预期的行为进行阻断来进行安全防护。不过在真实落地过程中，由于eBPF对内核要求较高，因此此项技术在普适性上仍存在缺陷。

No.3
Cado Security
云原生技术的大量运用，带来的另一个问题是做安全取证的难度变大，如何从大量数据中快速筛选出有价值的信息是一大难题，本次创新沙盒十强厂商Cado Security通过调用API这种无代理方式采集AWS和Azure两大云平台信息，并自动对EC2实例、kubernetes服务和文件系统、虚拟机磁盘、容器和无服务环境，以及本地环境进行自动化调查取证。

Cado Response关键组件交互

Cado Security通过自研的自动化采集工具实现在较短时间内完成取证过程，并通过可视化的方式对看到的可疑行动进行标记和展示。得益于机器学习和威胁情报的基础能力，取证结果支持自动识别威胁活动，并标注告警。当发现可疑活动后，其告警页面有具体响应的告警活动。得益于其丰富的情报数据，使得Cado Response支持多维度的搜索及上下文管理，Cado Response支持对日志、磁盘、内存、进程及历史交互命令等情报数据进行采集，采集的数据安全存储（支持权限控制和备份机制）后，安全团队或分析员只需在UI上直接调查云威胁活动。

二、绿盟云原生安全解决方案

产品全生命周期防护方案

云原生具有弹性、敏捷、快速迭代的特点，对应的安全防护能力也必然需要完全适应这一特性，并且要融合到DevOps流程中，对软件开发、测试、上线、运维的全生命周期安全防护。而多数传统安全设备由于只能解决单点安全问题，缺乏弹性扩展、环境感知、上下文关联分析、融入DevOps等能力，因此无法满足云原生场景的安全防护需求。

绿盟科技自2017年起对云原生安全进行研究，期间发布多份云原生安全相关技术报告，并于2020年正式推出绿盟云原生容器安全产品，致力于解决在云原生场景下的容器全生命周期安全问题，下面绿盟君将就此方案做进一步分享。

No.1
部署形态

产品部署示意

在产品部署形态上，不影响客户业务是产品设计的最基本要求。绿盟云原生容器安全产品的安全能力采用云原生的部署模式而非主机上Agent方式，通过这种方式的防护能力与客户环境耦合度很低，并且使用客户容器云平台自身的规则限制安全能力运行权限和资源使用。当需要卸载安全能力时，也能通过云原生的方式做到100%干净卸载。在客户业务规模发生变化时，产品可借助容器编排系统实现安全能力动态缩容或扩容。

No.2
安全检测与防护
防护能力主要包含配置与漏洞管理、工作负载防护两部分。
配置与漏洞管理主要包括以下三个方面：
1、检测镜像/容器/编排基础设施中存在的安全合规、漏洞扫描、恶意文件、敏感信息问题。
2、阻断风险镜像上传到镜像仓库。
3、阻断镜像实例化为容器。

工作负载防护措施主要包括以下三个方面：

黑客入侵路径示意图

1、网络威胁检测方面：通过运用绿盟科技在流量检测方面的优势能力，创新性地实现了容器间东西向流量的威胁检测能力，实时发现黑客的横向渗透行为。

2、系统入侵层面：借助绿盟科技在安全攻防方面的理解与研究，实现了基于规则的系统入侵检测。同时对于一些0day攻击也采用了和Araali类似的技术思路，通过对容器行为分析建模，让容器始终以最小化权限运行。当发现非预期行为时，及时告警或阻断。

3、访问控制方面：传统基于IP地址的隔离手段在云原生场景下已经失效，基于标签、镜像、业务的策略配置方式才能更贴合客户实际需求，绿盟科技通过自研微隔离技术，实现贴合客户业务场景的策略配置模式及隔离策略跟随客户业务变化跟随能力，解决了原生NetworkPolicy依赖网络插件、无法调整优先级、配置逻辑复杂等问题。同时针对API的访问控制，绿盟科技提供了不同业务间的7层访问控制，客户只需关注上层微服务之间的7层访问关系，无需关心承载业务的容器。

No.3
安全运维
在产品安全运维使用方面，多数客户采用多云、多集群的策略，每个业务部门部署了一个或多个容器集群，这无疑增加了安全运维的复杂度和工作量。绿盟云原生安全产品通过对策略和日志进行集群和NameSpace级别的隔离，实现各个业务部门可以使用统一的安全管理平台管理业务部门集群的能力。在提升安全事件闭环效率方面，通过安全事件的IP或进程信息直接关联所属集群、主机、容器、镜像、进程上下文信息等，降低安全事件闭环时间，提升安全运维效率。

当前云技术已经从资源“池化”发展到了云原生化阶段，随着云原生技术的普及和大量应用，与之配套的安全防护产品也必须满足敏捷、弹性、轻量化特性才能适应云原生场景下的防护需求，并需要通过融入到DevOps流程的方式提升企业安全建设和运维水平。绿盟科技通过将多年沉淀的攻防能力应用到云原生场景并持续探索云原生场景下的新型攻防手段，为客户提供全面、可靠、可用的云原生安全解决方案。