云原生安全可观测性探索与实践
云原生架构下安全面临的挑战
云原生架构颠覆了传统IT生命周期与治理模式,容器服务生命周期短(近50%小于5分钟,近70%小于1小时),导致安全运营面临三大挑战:
- 云原生颠覆IT治理模式:容器生命周期短,安全配置易失效。
- 主机行为复杂:工作负载密度大、变化频率高、调用关系复杂。
- 现有安全能力不足:容器、服务网格等新技术带来新的风险,传统安全产品难以覆盖东向流量等场景。
合规标准(如等保2.0)也提出安全可观测性要求,需通过可观测性实现工作负载可观测和业务安全可度量。
云原生安全可观测性的定义与架构
云原生安全可观测性基于经典可观测性三大支柱(监控、日志、追踪),通过系统可观测性(风险/行为、网络、应用)、云原生架构特性(容器、微服务、DevOps、不可变基础设施)实现安全风险和威胁的可观测。
安全可观测性三大支柱
- 系统可观测性:通过监控、日志、追踪实现风险/行为可观测(如逃逸检测、越权检测)。
- 网络可观测性:监测网络连接、通信,实现挖矿检测、异常连接检测。
- 应用可观测性:API资产管理、调用异常检测、业务安全监控。
实现路径
数据采集(云原生数据、安全探针)、安全能力(集群安全、运行时安全)、安全治理(漏洞管理、威胁管理)形成闭环,实现风险可观测和威胁可观测。
腾讯云容器安全体系实践
设计原则
- 原生基础设施安全:从底层内核加固到安全能力云原生化。
- 安全左移:DevSecOps体系贯穿开发到运营全流程。
- 零信任安全架构:全面身份权限管理、持续检测与响应。
技术架构
- 数据采集:通过sidecar、agent部署安全探针,基于eBPF采集进程创建、网络连接等高危数据。
- 安全能力中台:涵盖资产感知、集群安全、镜像安全、运行时安全、网络安全、API安全、FaaS安全等。
- 数据中台:整合资产、情报、配置、日志、监控、应用数据,支持态势感知、XDR、SOAR等。
容器镜像安全风险可观测
- 依赖关系分析:47万镜像依赖2.6万基础镜像,50%依赖13个,90%依赖637个,形成风险收敛效应。
- 风险分层与修复:通过漏洞紧急度、影响面、修复效果验证,实现镜像扫描风险防御TOP5漏洞过滤,提供修复方案和应急响应能力。
云原生安全测试平台
- 能力覆盖:全面覆盖“云原生安全能力体系”五大安全能力域,实现安全风险可观测。
- 运行时威胁可观测:检测容器提权、逃逸、文件篡改等威胁,提供上下文、资产映射、攻击阶段等多维度数据支持。
行业认可
- TKE通过“可信云容器平台安全能力”先进级认证(2020)。
- TKE Edge通过“基于云边协同的边缘容器技术能力要求”标准认证(2021)。
- TKE通过“云原生安全成熟度模型”L4先进级认证(2022)。
总结
云原生架构在安全防护和运营上存在挑战,云原生可观测性通过系统、网络、应用三大维度赋能安全能力构建。安全可观测性包含事前风险可观测(如镜像依赖分析)和事中威胁可观测(如运行时检测),可有效支撑安全治理和运营,助力企业实现DevSecOps和零信任安全架构。
