云原生安全趋势洞察暨CNAPP标准解读

杜岚 中国信息通信研究院云计算与大数据研究所 01.《云原生安全趋势洞察》02.《云原生应用保护平台（CNAPP）能力要求》 发展现状-需求层面：企业高度关注云原生安全 容器和制品安全是企业最关心云原生安全问题在对企业用户最关心的云原生安全问题调研中，容器和制品相关安全问题占据了排名前四项。 安全性成企业云原生化转型的最大顾虑 在对云原生技术应用挑战的调研中，安全性连续三年成为企业用户的最大顾虑，2022年超七成用户担心在生产环境中大规模应用云原生技术时的安全性。 企业用户最关心的云原生安全问题 发展现状-技术层面：云原生安全技术创新爆发 发展现状-市场层面：云原生安全成为极具潜力的新赛道 趋势一：云原生安全需求从技术维度扩展至组织体系维度 趋势二、云原生安全防护对象从基础设施向服务交付上移 云原生技术落地从基础设施和编排系统层上移至服务应用层，业务模型向微服务、无服务化改造，DevOps日益普及。 超80%的用户已经或计划使用微服务架构和无服务器架构。 云原生安全防护对象同步上移，云原生应用安全和研发运营安全成为热点。 安全需要嵌入DevOps流程 API安全治理需求迫切 根据Gartner的调查统计，75%的信息安全攻击发生在应用层面而非网络层面。API数量呈指数级增长，API流量激增，5年时间，应用访问流量中API流量从46%增长到83%API管控不当导致数据泄露事件频发 需要将安全工具集成到生产过程中，建设高自动化安全流水线，逐步减少人工干预。 API需要全生命周期的安全治理 趋势三：云原生应用安全防护手段从单点防护向全流程一体化防护演进 单点云原生安全产品频出 运维难、观测难、评价难 各阶段的多个独立的单点安全工具组合而成，给企业协同运维管理增加了难度。导致云内缺乏端到端的可观测性，给 云原生自身技术栈的延展突破了现有的安全产品的防护框架，在新的系统防护设计完成之前，安全产品往往选择云原生安全的一个维度切入。受限于资源投入和技术底蕴，选择云原生的一个领域或者场景重点投入，形成早期的可落地的产品，是事实上的最优解。 网络攻击提供了利用的盲点。 缺少明确的评价标准指导。 云原生应用安全需要一种从开发到运行时全流程的整体防护方案。 Gartner 2021年技术成熟度曲线中增加了一个新类别CNAPP（云原生应用保护平台）。CNAPP包含一组集成的安全性和合规性功能： •将安全防护覆盖云原生应用的全生命周期，从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维。•将安全防护工具集成到软件开发流程的工具链中，以便在创建代码并在持续集成时对代码进行自动或手动的安全测试。•全面扫描制品（容器镜像）和云配置，并与运行时的可观测性和配置安全相结合，以确定风险优先级，合理安排补救措施。 趋势四：云原生网络安全防护手段由原生安全机制向贴合云原生环境的专业安全工具发展 趋势五：云原生数据安全从存储数据保护向存在数据保护转变 云原生数据安全挑战 架构技术的挑战 相对传统应用一般都存储在固定的存储设备或数据库中，云原生数据广泛API化，数据的流动成网格化，对底层的安全形成挑战。 计算环境的挑战 云原生计算环境存在动态可变的资产，如：severless，容器，虚拟机和物理机，这些资产面临的攻击频度、暴露面以及持续对抗环境都会存在差异，数据生命周期的管理存在复杂性及多样性的特点。 管理机制的挑战 传统企业资产的所有权、控制权和管理权与组织架构是一致的，然而在云原生数据来源多样化，资产的控制权、所有权、管理权发生变化，对传统的管理模式形成挑战。 计算内容的挑战 云上海量数据的增长对一些安全机制形成制约，例如：大数据场景下，采用传统加密技术行全量加密，会存在加密耗时长，资源消耗大，成本非常高，对服务可用性造成相当大的影响。 趋势六：安全与基础设施融合催生新形态的安全能力和交付模式 边缘、多云、混合云等异构基础设施下的云安全成为新的挑战。充分利用云原生技术优势的安全运营和云安全托管服务成为新思路。 云安全托管服务（CMSS） 传统以产品交付为主的方案很难处理基础设施异构下的安全问题 统一安全管理 安全产品部署 应急响应时效性 安全防护水位对齐 趋势七：云原生安全防护模式向内生安全与主动防御演进 零信任和主动防御理念在云原生场景深化落地，微隔离、威胁狩猎、欺骗防御等技术在云原生安全防护体系中发挥重要作用，并在攻防对抗演练中初见成效。 从攻击者视角出发构造陷阱、捕获攻击保护真实资产，实现攻击追踪溯源以及反制 微隔离技术与零信任架构相结合，解决网络威胁横向移动问题。 基于ATT&CK框架和数据分析，识别潜在威胁和攻击路径通过沙箱、伪装代理、诱饵等组件形成欺骗场景分析行为特征，完成攻击溯源，采取反制措施 进程级别访问控制与隔离基于流量行为自动生成隔离策略异常流量告警与阻断 在云原生场景中应用，发挥云原生不可变基础设施、可编排以及精细化流量控制的优势，在攻防演练中发挥作用。 成为云原生网络安全防护的重要手段，在金融和电信行业进行规模化落地实践。 NIST基于微隔离的零信任架构 Docker&K8SAtt&ckMatrix 趋势八：云原生安全治理将成为企业安全上云的重要保障措施 云安全防护进入深水区，云安全不仅仅是安全工具的搭建，还需要正确的安全配置和持续的安全运营。CIEM、CSPM和CNBAS等云原生安全治理工具关注度攀升。 云原生入侵与攻击模拟（CNBAS）预先发现安全风险、验证安全能力有效性 01.《云原生安全趋势洞察》02.《云原生应用保护平台（CNAPP）能力要求》 《云原生应用保护平台（CNAPP）能力要求》标准框架 中国信通院于今年3月启动《云原生应用保护平台（CNAPP）能力要求》标准制定工作，组织多家云服务商、安全企业、用云单位先后召开六次专家研讨会，完成了标准文稿的编制，并完成了首批试评估工作。 一、制品安全 制品安全指云原生应用在上线前的安全风险防护，包括代码安全、镜像安全、制品环境安全、交互式应用安全检测、动态应用安全检测。 镜像安全 代码安全 制品环境安全代码库安全 镜像仓库安全持续集成持续交付环境安全 镜像安全扫描可信镜像管理 静态安全测试软件成分分析 在开发阶段对代码的安全性进行全面检测，从而发现安全漏洞，确定应用程序是否易受攻击。 通过镜像安全扫描，可帮助用户提前发现容器镜像中存在的漏洞、恶意代码、敏感文件等所面临的威胁，采取有效方式降低生产环境的安全风险。通过名单管理、签名以及镜像准入等可信镜像管理的技术手段，可帮助用户保障镜像在发布、传输以及实例化等环节的安全性。 制品环境安全对于制品安全意义重大，镜像仓库、代码库以及持续集成持续交付环境等环境均可能成为攻击来源。因而需要对这些制品环境进行安全的管理与控制。 分析非运行时应用程序的源代码、字节码、二进制码，查找编码和设计中安全漏洞的分析测试技术。分析开源软件以及第三方商业软件涉及的各种源码、模块、框架和库等，全面管理软件供应链中组件的安全。 基于开发语言的插桩技术，在应用系统运行过程中采用污点传播技术跟踪数据（污点）的执行过程，从而发现安全漏洞，确定应用程序是否易受攻击。 通过模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，检查运行结果与预期结果的差异，从而发现安全漏洞，确定应用程序是否易受攻击。 交互式应用安全检测 动态应用安全检测 检测分析能力测试管理能力开放性 检测分析能力测试管理能力开放性 二、运行时安全 应用运行状态的安全防护，包括Web应用和API保护(WAAP)、网络微隔离、云上工作负载保护(CWPP)。 网络微隔离 主机运行时安全 流量识别 Web安全防护 基础级：支持南北向和东西向攻击流量识别、HTTP异常检测、黑白名单的访问控制能力，具备SQL和命令注入、Webshell、WEB服务器、第三方组件、核心文件非授权访问。增强、先进级：支持自定义防护规则、多种安全响应模式、访问频率限制、流量学习技术及静态网页缓存配置。 基础级：应提供主机资源监控能力、系统关键文件完整性监控能力，实时入侵检测能力、实时和定时的病毒查杀能力、实时和定时的恶意代码检测能力，并提供告警和一键隔离、提供资产变更监控能力，及时发现可疑端口、进程、账号等。增强级：支持对失陷主机进行一键隔离、实时发现可疑端口扫描行为，并对恶意扫描IP进行一键封禁、提供系统操作审计能力，通过用户行为分析，动态发现可疑攻击行为、提供基于进程白名单的恶意进程实时检测能力，以发现异常的未知威胁、提供自定义威胁特征的检测能力。先进级：具备与其他安全产品防护联动能力、支持自动化威胁响应能力、具备攻击溯源能力。 基础级：应支持常用资源对象的出入站流量网络层识别、应能够识别流量的详细信息。增强级：应具备分组资源、角色间的流量识别能力。先进级：应具备应用层协议解析能力、流量行为模型学习、支持异常流量行为检测。 API安全防护 基础级：支持API的自动发现、API风险异常检测、敏感数据发现。API攻击防护、API访问控制、审计溯源能力。增强、先进级：支持自定义API资产分类和标识策略、定义API请求参数和调用顺序、监控分析API滥用及异常访问、识别管控敏感数据，以及业务调用拓扑可视化和自定义风险评级规则。 流量隔离 基础级：应具备对常用资源对象的出入站流量的隔离能力、基于IP和服务端口号的流量隔离能力、基于标签的流量隔离能力、具备多种安全响应手段、支持微隔离策略跟随工作负载自动漂移。增强级：支持分组、分角色设置隔离策略。先进级：具备基于应用层协议的流量隔离能力、基于身份的流量隔离能力、支持根据流量学习模型，自动生成隔离策略、具备微隔离策略的预发布能力、支持对预发布微隔离策略的自动优化。 容器运行时安全 恶意机器人保护 基础级：具备容器手动/自动扫描、特权容器检测、容器逃逸行为检测、容器内提权行为检测、容器内恶意网络行为检测、容器内恶意文件检测、容器内恶意进程检测、容器运行时安全处置、监控宿主机关键目录挂载、检测跟踪汇总和报告来自容器的系统调用等能力。增强级：具备自定义威胁检测、容器行为学习、对模型外异常行为的告警和阻断、容器内进程级别处置、检测无文件攻击的行为的能力、容器内文件管控、容器内行为审计、告警自动响应的处置能力。先进级：实现与其他安全产品进行关联分析和联动处置、支持容器安全事件和日志信息的统计与审计分析、具备容器环境的威胁溯源能力、实现容器实例对宿主机资源及内核调用的访问控制。 基础级：支持快速识别工具行为、各种搜索引擎爬虫、常见工具的bot攻击行为、bot攻击等。增强、先进级：支持工具管理、自定义防护规则、业务安全防护、自动学习业务系统特征，建立业务特征模型，提升防御能力。 统计分析 应用拒绝攻击保护 基础级：应支持微隔离策略日志统计、具备流量和威胁统计分析能力，支持生成分析报表、查看日志的基本信息。增强级：支持查看日志的业务和安全信息。先进级：支持网络流量拓扑可视化，动态展示容器间的访问关系、具备异常流量标记能力、具备与其他安全产品的关联分析和联动处置的能力。 基础级：支持对单一来源IP进行访问控制、智能决策生成防御策略、基于referer进行访问控制，快速识别恶意流量。增强、先进级：并建立威胁情报与可信访问分析模型、支持自定义应用拒绝攻击保护策略、实时查看应用拒绝攻击封堵状态IP。 三、基础设施安全 云基础设施容易受到配置漏洞、不同攻击面的风险攻击，可以通过基础设施即代码（IaC）安全、权限管理（CIEM）、云原生安全态势管理（KSPM）、云原生安全态势管理（CSPM）等方式保障云基础设施安全。 云安全态势管理 概述：针对IaC文件进行安全检测，从中发现不安全的配