案例分享｜金融行业云原生安全落地规划

发布时间：

2023-12-08 09:48

01 背景

业务上云已成为金融企业数字化转型的必经之路。云原生作为下一代云计算的核心技术，相关的技术、产品、标准和解决方案以及生态系统都已在同步扩张之中。云原生技术应用的不断增加也带来了新的云安全需求和挑战，如何在云原生环境中确保业务安全，是金融企业当前面临的极大挑战。

本文从实践出发，分享金融行业云原生安全落地的步骤规划，旨在提供金融行业云原生安全的建设思路，打造一个安全可控、灵活创新的金融云原生安全解决方案，推动金融行业在数字化转型中走得更远、更稳健。

02 建设思路

云原生环境下产生的资产贯穿应用的全生命周期，只对单一的某一个阶段进行安全能力的建设不足以应对云原生环境下的安全风险。为此，Gartner 在2021年技术成熟度曲线中增加了一个全新类别CNAPP，中文全称“云原生应用保护平台”。CNAPP包含一组集成的安全性和合规性功能，旨在全生命周期过程中保护云原生应用。

本文建设思路以CNAPP作为指导思想，通过建设一个安全平台解决云原生应用全生命周期的安全问题，安全平台需将安全能力和云原生更好的融合，支持全部安全组件云原生部署，以具备云原生弹性扩容和多租户管理的能力。安全平台分阶段地在业务访问的每一个层级提供安全能力，践行纵深防御理念。

03 建设路径规划

通过对金融行业云原生安全案例的研究，提炼其建设思路和内容，将云原生安全的落地总结为如下3个级别：L1、L2、L3。

L1阶段建设的要点是实现云原生安全的基础防护能力，通过建设镜像和容器运行时的安全能力，弥补云原生安全的空白，从0到1建立云原生安全平台的闭环运营。

建设内部基础镜像仓库，基于安全的基础镜像构建业务镜像
对制作的镜像文件进行自动扫描，以发现镜像文件中的安全风险，从而保证进入生产环境的镜像是安全的，还需对镜像的来源和历史操作行为进行分析，对非法来源和有安全问题的镜像禁止运行。
对容器运行过程进行全程的安全监控，对容器内进程、文件、网络访问等行为进行检测并提供手动和自动的拦截方式，防止有风险事件破坏容器隔离性的行为。

L2阶段建设的要点是实现云原生安全的增强能力：通过建设镜像签名和加密存储、云原生WAF、容器网络安全的增强性检测能力，提高容器镜像的机密性及运行时的主动防御能力，提高云原生业务的稳定性和可靠性。

在镜像的传输过程中，建设对镜像进行签名和加密的能力，确保镜像在传输过程中的安全。
为确保集群内外的应用安全，需建设云原生waf的安全能力，为集群内外的微服务提供自动发现，自动扫描能力、网络威胁检测与阻断的能力，从而保证集群内应用的安全。
通过网络拓扑图，对容器环境中网络流量进行绘图，从网络层面判断入侵影响范围，打破网络黑洞。同时支持对容器网络设置访问策略，实现业务之间隔离，来减小被入侵之后的影响范围；通过网络拓扑图，从网络层面判断入侵影响范围。

L3阶段建设的要点是实现业务运行环境的检测和风险态势统一管理能力：通过新增集群安全管理能力，补充集群风险检测、集群审计及高权高风险用户检测能力，整合前两个阶段的安全能力并实现风险联动，实现云原生应用全生命周期的风险把控，同时满足法律法规的标准要求。

K8S是云原生业务运行的基础，需建设集群安全能力解决K8S集群自身的安全问题，定期对集群进行合规扫描。在K8S集群中各类资源均需要通过编排文件构建，故需建设IAC安全能力，对编排文件进行自动接入和扫描，保障资源合规且安全的创建。
一旦攻击者攻陷了容器集群，损失将是巨大的，需对集群活动进行安全风险检测和操作日志审计。同时需具备对集群账号权限管理的能力，以防止未经授权的用户访问集群。
通过3个阶段的安全能力建设，可实现云原生安全风险的态势分析，如漏洞影响的镜像范围、容器范围、主机范围、集群范围等，有害镜像影响的业务范围等，可通过风险态势统一分析云原生安全风险快速锁定需要重点关注和修复的资产。