2-李胤霖-传统运维尚未触及的云原生安全探索

核心观点与关键数据

• 容器在中国生产中的使用情况：68%的企业在生产中使用容器，94%的企业至少在一个阶段使用容器（数据来源：CNCF云原生调查中国2020）。
• 传统运维与云原生安全的不同：传统运维依赖物理分段和传统防火墙实现网络隔离，而云原生环境（如Kubernetes）使用Overlay网络，默认无网络隔离，增加了安全风险。
• 云原生安全威胁：Garner报告指出容器面临11种安全威胁，包括容器镜像漏洞、微服务通信隔离、开发系统安全等。

常见的云原生安全攻击面

• CyberKillChain 与 MITRE ATT&CK 框架：云原生安全威胁可参考传统安全框架，如MITRE ATT&CK，其中新增了容器的威胁矩阵框架。
• Kubernetes威胁矩阵：涵盖初始访问、执行、持久性、权限提升等阶段，涉及多种攻击路径，如云凭证泄露、恶意镜像植入、容器间横向移动等。
• 安全问题实例：特斯拉Kubernetes集群被入侵事件，黑客通过未保护的控制台获取凭证，进行数据窃取和挖矿活动，展示了云原生环境的安全漏洞。

常见的云原生安全手段

• 云原生安全初级阶段：以工具自带安全能力为主，人为制定安全规范为辅，重点在于减小攻击面，如镜像漏洞扫描。
• 云原生安全中级阶段：以云原生安全平台能力为主，贯穿应用生命周期，重点在于全方位保护，如镜像构建扫描、准入控制、东西向微隔离、七层数据泄露防护。
• 云原生安全高级阶段：涉及SASE、CNAPP、DevSecOps、安全左移、软件供应链安全、安全即代码等先进理念和技术。

研究结论

• 云原生环境的安全防护需从初级阶段逐步提升，通过工具和策略的结合，实现全生命周期的安全管理。
• 针对新兴威胁（如Log4j2漏洞），需结合扫描、补丁修复、零信任访问控制、实时检测等措施进行综合防护。
• 未来云原生安全需向高级阶段发展，整合多种安全技术和理念，构建更完善的防护体系。