电信行业云原生安全建设实践

发布时间：

2025-02-21 09:00

一、当前云原生现状

随着云计算的不断推进，面对多样化、差异化、不断增长的网络需求，电信行业需要新的解决方案提供高效、敏捷、可扩展的网络管理。特别是随着5G的成熟落地，2B行业应用、切片、边缘计算等场景的不断深化，对业务的灵活性、平台的高效性、和运营的敏捷性都提出了更高的要求。而容器技术之于云计算的发展，已经成为目前主流的虚拟化技术，成为敏捷开发项目的首选，以Docker、Containerd技术为代表的容器技术，重点解决了容器技术使用和维护上的复杂度问题，通过对容器管理引擎以及容器镜像的标准化，降低了容器技术使用的复杂度，同时围绕容器技术构建应用生态圈，丰富容器技术在行业内的应用和推广，以容器、Kubernetes和微服务应用模式作为数智化转型的驱动力。最终电信行业基于云原生相关技术，达成了业务灵活、平台高效、开发敏捷的基础架构。电信行业从虚拟化向容器化过渡后，不只基础架构在快速变革，应用架构和交付也在升级，例如把大型复杂软件应用拆分成多个简单应用，各应用之间松耦合，从而降低系统复杂度，还做到了独立发布部署、独立扩展和跨语言编程等，这一切的变化也驱动研发、运维、安全工作模式的转变。

二、云原生带来的安全变化

云原生技术架构充分利用了云计算弹性、敏捷、资源池化和服务化等特性，在改变应用的设计、开发、部署和运行模式的同时，也带来了新的安全要求和挑战。例如以容器为载体的云原生应用实例极大地缩短了应用生命周期；微服务化拆分带来应用间交互式端口的指数级增长；多服务实例共享操作系统带来了单个漏洞的集群化扩散；研发运营流程增加了软件全生命周期各个环节的潜在风险；云原生的特有属性对架构防护、访问控制、研发运营等领域带来了潜在的安全隐患。随着云原生技术的应用，其特性确实带来了诸多便利，例如快速迭代、实例共享、动态调度等，但这些特性也带来了一些安全问题，例如在开发编码阶段，完美的应用程序是不存在的，代码漏洞不可避免，因此开发人员应该将注意力集中在最高严重性、最高可信度和最高风险漏洞上，以避免浪费开发时间；例如业务运行阶段，容器在运行过程中，由于恶意软件运行带来的风险，可能导致东西向或南北向攻击。例如针对基础设施，云原生环境中所有资源对象都基于IAC构建，镜像和容器的运行用户、资源限制、宿主机权限申请等都在编排文件中，大量的配置可能存在敏感目录挂载、未添加资源限制、高权限使用等风险，此些问题都可能造成基础设施被攻击、负载增大引发业务崩溃等问题。

综上所述，采用云原生架构后，其安全技术的诉求也随着而来，包括企业应用架构的安全性、合规性、管理效率等多个方面。

三、最佳安全实践

8590am发现海洋之神科技当前安全产品矩阵可将安全防护覆盖云原生应用的整个生命周期，从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维。同时将安全防护工具集成到软件开发流程的工具链中，以便在创建代码并在持续集成时对制品进行自动或手动的安全测试，对制品和云配置等进行全面扫描，并与运行时的可观测性和配置安全相结合，以确定风险优先级，合理安排补救措施。最终建立起针对开发侧的制品安全体系、针对业务运行的运行时安全体系、针对基础环境的基础设施安全体系。形成统一的CNAPP应用保护平台，覆盖到云原生业务应用从开发编码--编译构建--测试发布--线上运行--运维管理的各个阶段。具体解决方案如下：

四、制品安全

制品安全侧重在研发侧，实现了安全风险的前置发现，能力包括凭证管理、安全IDE、代码安全、镜像安全、安全测试等，主要能力如下：

1、代码安全：代码安全能力主要包括静态安全检测、软件成分分析。其中静态安全检测针对非运行时应用程序的源代码、字节码、二进制码进行分析检测，发现编码、编码规范、设计中存在的安全漏洞，并提出对应的修复手段和解决方案。软件成分分析完成源码和制品的的成分分析，发现对象存在的漏洞风险、许可证风险，并且最好建立高级的分析能力，例如开源组件依赖分析，实际引用检测分析，代码相似度检测等。

2、镜像安全：开发侧镜像安全能力，主要针对镜像自身的安全风险进行检测，并进行关联性分析、修复建议、评分等运营手段能力，同时对镜像来源做可信管理，并进行加固修复相关动作。基于相关能力，实现云原生制品的前置检测及风险阻断。

3、安全测试：安全测试相关能力旨在业务上线前进行最终的安全确认，包括凭证管理，IAST灰盒安全测试、应用运行时自我防护（RASP）、APP隐私合规、APP安全监测等能力。同时将相关能力与磐舟深度融合，形成了自动化的检测机制，发现风险及时阻断并同步。

五、运行时安全

在业务经过静态及动态安全检测后，进入到运行阶段。运行时安全能力旨在保证业务应用运行过程中的安全。能力包括主机及容器运行时安全、网络微隔离、应用风险检测防护。主要能力如下：

1、容器运行时安全：对容器及其宿主机运行过程进行实时的跟踪检测，并建立防护能力，包括资源监控、文件完整性监控、实时入侵检测、恶意代码检测、可疑端口扫描行为等，并且建立了安全处置能力和溯源审计能力，并可针对特定场景进行威胁特征、威胁响应自定义等能力。

2、网络微隔离：网络微隔离能力针对传统基于IP的访问控制不适用云原生环境的情况，建设了细粒度的，动态的访问控制能力，支持租户级、命名空间级、节点级、最细粒度可以为pod级的访问控制策略，且基于容器的特性，支持基于label标签的隔离机制，动态跟进防护。

3、应用风险检测及防护：在业务运行对外提供服务后，可自动探测发现云原生环境下以已启动的微服务，并对此些Web应用及API安全漏洞进行识别、网络威胁进行检测，并建立新增自动检测，周期性检测能力，从而保证容器内应用的安全。

六、基础设施安全

基础设施安全实现了集群的安全闭环管理，能力包括集群内资产的识别整理、IAC风险检测、安全策略统一管理、集群安全态势管理、多云权限管理、集群审计等。主要能力如下。

1、集群IAC安全管理：其功能可对集群IAC配置，包括Dockerfile、YAML、Helm Chart包等进行安全性、效率性、可靠性等多方面进行检测，并定位到IaC风险的代码位置，自定义IaC文件风险检测规则；并支持对 Gitlab 内的编排文件进行自动发现、识别与扫描；并可对策略进行深度自定义。

2、集群账号权限安全管理：权限管理是指可对多云的权限统一管理能力，提供多云环境下统一可视化控制台；还支持自动获取不同云上的用户、角色、权限等信息；结合企业组织架构的云上身份权限统一管理能力；获取身份提供商的单点登录数据，查看其用户、角色、权限信息；基于用户操作审计的行为、安全、合规性分析等；其功能包括用户信息自动同步、多云权限统一管理、RBAC管理、风险操作识别等。

3、集群安全策略管理：策略管理功能可对接入集群，在多云环境中实现一致的安全策略管理，可以对安全能力策略进行集中展示、更改与批量下发；并可以对安全策略进行分组管理能力；同时通过对行为的学习，自动化生成安全控制策略，保障集群的安全；其功能包括准入策略管理、敏感信息管理、证书管理、网络策略管理等。

4、集群安全态势管理：安全态势管理可针对基础PaaS平台进行配置合规进行审查；同时对集群组件漏洞进行发现及管理，并基于无害化POC脚本发现集群信息泄露、特权升级、远程代码执行等多个方面高危风险；其功能包括资产及风险管理、组件漏洞扫描、配置极限检测、集群渗透测试等。同时对集群日志进行审计，发现针对集群的安全风险，例如用户提权、Kubernetes服务中间人攻击、伪装系统组件等。