多年來(lái),安全生態(tài)系統(tǒng)一直處于響應(yīng)狀態(tài)。當(dāng)攻擊發(fā)生時(shí),立即作出的反應(yīng)是確保安全元素到位,有助于防止未來(lái)的攻擊行為。根據(jù)2016年賽門(mén)鐵克公司出具的互聯(lián)網(wǎng)威脅報(bào)告,當(dāng)今35%的網(wǎng)站存在漏洞。而更持久、更復(fù)雜和不斷擴(kuò)散的威脅要求安全團(tuán)隊(duì)重新考慮他們的方法。
云原生安全性可以為企業(yè)提供更強(qiáng)大的防范攻擊的能力,從而創(chuàng)建一個(gè)密閉的安全環(huán)境。因此,首先從了解當(dāng)今的威脅環(huán)境開(kāi)始。
病毒的威脅
破壞數(shù)據(jù)中心的威脅類型相對(duì)簡(jiǎn)單。通常其對(duì)手是一些編寫(xiě)腳本來(lái)尋找已知的漏洞的不素之客,并使用已知的工具來(lái)利用在企業(yè)環(huán)境中運(yùn)行的舊版本的軟件缺陷。但企業(yè)需要防范更復(fù)雜的攻擊者,這取決于如何通過(guò)應(yīng)用程序環(huán)境、數(shù)據(jù)中心、域名、子網(wǎng)、公開(kāi)服務(wù)等方面的調(diào)查來(lái)阻止其最薄弱的應(yīng)用程序被居心不良的人發(fā)現(xiàn)。
當(dāng)攻擊者最終找到一個(gè)弱點(diǎn)時(shí),他們通常會(huì)注入并執(zhí)行shellcode,從應(yīng)用程序的邊界到應(yīng)用程序運(yùn)行的操作環(huán)境。然后攻擊者將嘗試提升其在黑客環(huán)境中的權(quán)限,目的是連接一個(gè)“命令和控制” 遠(yuǎn)程控制被攻擊的機(jī)器,并繼續(xù)探索漏洞。這將為企業(yè)造成很多問(wèn)題。
云原生的網(wǎng)絡(luò)安全是不同的
現(xiàn)在是挑戰(zhàn)傳統(tǒng)智慧的時(shí)候了,當(dāng)談到傳統(tǒng)的虛擬機(jī)環(huán)境和被動(dòng)策略時(shí),虛擬機(jī)上的任何東西都需要關(guān)注,無(wú)論是機(jī)器瀏覽還是攻擊應(yīng)用程序的人。云原生網(wǎng)絡(luò)安全采取不同的方法。一方面通過(guò)使應(yīng)用程序本身歸零,另一方面將其回溯到應(yīng)用程序的創(chuàng)建過(guò)程,其安全性開(kāi)始實(shí)施的時(shí)間更早一些。
按照上述威脅情形,將討論容器和云端網(wǎng)絡(luò)安全與虛擬機(jī)安全性不同的三種方式,以及為什么它更適合于當(dāng)今的威脅。
(1)防范漏洞
在上面的攻擊中,采用腳本進(jìn)行攻擊的居心不良的人能夠發(fā)現(xiàn)已知的漏洞并進(jìn)行破壞。在云原生環(huán)境中,企業(yè)可以在易受攻擊的軟件產(chǎn)生前阻止它們。當(dāng)開(kāi)發(fā)人員意外將已知漏洞或甚至不符合規(guī)定的漏洞投入生產(chǎn)時(shí),需要立即被標(biāo)記,而不會(huì)影響生產(chǎn)環(huán)境。
工作負(fù)載的不變性以及將某些產(chǎn)品推向生產(chǎn)的情況證明,工作負(fù)載需要隨著時(shí)間的推移保持合規(guī)性。當(dāng)發(fā)現(xiàn)新的漏洞時(shí),它可以讓安全小組能夠準(zhǔn)確了解哪些工作負(fù)載受到影響,并在解決問(wèn)題上做出策略。
當(dāng)涉及到更復(fù)雜的攻擊者時(shí),他們的攻擊關(guān)鍵是映射一個(gè)環(huán)境。使用自動(dòng)編排的云原生工作負(fù)載,企業(yè)的微服務(wù)會(huì)在群集周圍應(yīng)用,并且隨著時(shí)間的推移更難跟蹤。云原生安全性還允許企業(yè)輕松檢測(cè)掃描嘗試,或者在多臺(tái)機(jī)器上檢測(cè)服務(wù)異常。
對(duì)于傳統(tǒng)的虛擬機(jī)來(lái)說(shuō),幾乎不可能保持純凈環(huán)境,并且在一個(gè)編排的場(chǎng)景中,它將永遠(yuǎn)不會(huì)具有與“應(yīng)用程序”相同的可見(jiàn)性。
(2)預(yù)防Shellcode注入
如上所述,攻擊者嘗試并注入shellcode,而企業(yè)總是試圖進(jìn)行阻止。對(duì)于未知的漏洞來(lái)說(shuō),很難做到這一點(diǎn),甚至對(duì)于已知的漏洞也是如此。大多數(shù)漏洞在于應(yīng)用程序?qū)用?,破解具體的應(yīng)用程序來(lái)防范相關(guān)的威脅是很難持續(xù)進(jìn)行的。
云原生安全性解決了白名單和防范已知威脅的問(wèn)題。企業(yè)可以自動(dòng)將那些流量列入白名單,并自動(dòng)將其應(yīng)用于應(yīng)用程序。虛擬機(jī)安全性完全忽略應(yīng)用程序特定元素或應(yīng)用程序的更大背景,特別是在應(yīng)用程序的IP可能按小時(shí)更改的協(xié)調(diào)系統(tǒng)中。
關(guān)于防范已知威脅,現(xiàn)有網(wǎng)絡(luò)應(yīng)用程序防火墻(WAF)的主要問(wèn)題之一是,為每個(gè)暴露的服務(wù)正確配置是非常困難的。云原生安全性也可以提供幫助,因?yàn)樗梢宰詣?dòng)配置WAF以插入特定應(yīng)用程序,包括在需要時(shí)對(duì)其進(jìn)行解密。
(3)提升特權(quán)
通常情況下,攻擊者首先要做的是獲取一個(gè)允許他們運(yùn)行任意代碼的shell。如果他們想用在不同的機(jī)器,他們可以跳過(guò)權(quán)限,但是如果他們想要做任何事情,他們必須“脫離”應(yīng)用程序流。
在這里,云原生安全性再次徹底改變了企業(yè)的能力。在過(guò)去,它是關(guān)于猜測(cè)攻擊模式的猜測(cè)。如今企業(yè)可以輕松地在主機(jī)或微型服務(wù)級(jí)別部署白名單,并且開(kāi)發(fā)人員可以向用戶顯示應(yīng)該發(fā)生的事情。例如,企業(yè)可以阻止行為或?qū)ζ溥M(jìn)行警戒,從而保護(hù)最初感染點(diǎn)處的環(huán)境。
為什么它工作
有效的企業(yè)安全是云原生的網(wǎng)絡(luò)安全。這是減輕企業(yè)風(fēng)險(xiǎn)的一種更加快速的變革方式,抵御攻擊與反應(yīng)癥狀的根源。它可以幫助企業(yè)創(chuàng)建一個(gè)更好的安全環(huán)境,而不是使用傳統(tǒng)人工與開(kāi)發(fā)人員無(wú)關(guān)的虛擬機(jī)安全。
京公網(wǎng)安備 11010502049343號(hào)