警惕云原生應用帶來的安全風險

闞哲

云原生技術蓬勃發展，已成為賦能企業業務創新的重要推動力。Gartner的一份報告指出，2022年將有75 %的全球化企業會在生產中使用云原生的容器化應用。到2025年，會有超過95 %的新云工作負載將部署在云原生平臺上，但不可忽視的是，云原生在創造效益的同時，也在重塑整個應用生命周期，由此帶來了新的應用安全隱患。

云原生應用變革帶來安全風險

隨著以容器、微服務、服務網格為代表的云原生技術被廣泛使用，企業從由虛擬機驅動的基本云環境轉變為分布式、基于微服務的云原生環境。

在瑞數信息技術總監吳劍剛看來，云原生技術帶來了應用形態的變化：一方面，云原生為應用帶來了更好的韌性、適用性和故障自愈率；另一方面，云原生應用遵循面向微服務化的設計方式，導致應用數量快速增長，應用更加分散、配置更加復雜，同時應用間交互也帶來了API數量的指數級增長，進而為云原生應用和業務帶來了新的風險。吳劍剛表示，云原生環境帶來的應用風險大致可分為3類。

傳統應用安全風險

云原生應用源于傳統應用，因而云原生應用風險也繼承了傳統應用的風險，例如：失效的對象級授權、失效的用戶身份認證、注入攻擊、過度的數據暴露、使用含有已知漏洞的組件、不足的日志記錄和監控等風險。

其中，開源組件代碼漏洞正在成為云原生環境中常見的風險。云原生技術大量使用開源代碼，企業很難規避開源代碼庫漏洞，由此為云原生應用的安全帶來了更多不確定性。

API安全風險

API大量出現是云原生環境的一大特點，目前針對API的攻擊已成為一個重要方向。針對API的常見網絡攻擊包括：重放攻擊、DDoS攻擊、注入攻擊、中間人攻擊、內容篡改和參數篡改等。這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化和自動化。

同時，由于API接口被大量調用，很多企業API資產不清、責任不清，API濫用正在成為黑客攻擊的主要入口，為企業帶來巨大的數據泄露風險。

業務安全風險

隨著數字化業務快速增長，App、微信、小程序和H5等多種業務接入渠道產生，API接口大量被調用，帶來了相應的業務安全風險。

一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，逆向成功后，直接調用API接口就可以獲取用戶信息、敏感數據和辦理業務等實施業務欺詐。另一方面，API接口承載著敏感數據，經常面臨接口越權、未授權訪問等安全威脅，攻擊者通過各類Bots模擬真實用戶、批量化業務操作，很容易實現業務攻擊。

云原生呼喚新型應用安全技術

隨著云原生技術應用的普及，在未來數年內，云原生架構帶來的風險將成為攻擊者關注和利用的重點，傳統基于邊界的防護模型已不能滿足云原生的安全需求。

在云原生環境下，邊界變得模糊而且更細粒，安全防護無法再依賴傳統的邊界，再加上云原生架構的多租戶、虛擬化和快速彈性伸縮等特點，都對傳統邊界安全防護技術提出了新的挑戰。

吳劍剛表示，為了探索一條更適合云原生時代的持續安全之路，瑞數信息從2018年就開啟了云原生應用安全技術的研究，成為業內最早一批基于云原生技術推出WAAP（集Web應用防護、Bot防護、DDoS防御和API保護于一體）產品的安全廠商。在整體架構上，瑞數信息全線產品實現了云原生架構重構，既可以提供本地化部署，也可以部署在容器上。同時，為了保持云原生應用的運行效率，瑞數信息的產品采用了云原生輕量架構，將檢測流量和業務流量分離，通過對檢測流量的旁路式輕量校驗，將客戶的業務流量時延增加壓縮在5 ms以內，滿足互聯網業務高性能、高敏捷的需求。

在防護維度上，瑞數信息針對云原生架構增加了流量采集層級，從node、pod、agent三個層面對流量進行全方位監測，將南北向、東西向流量管控起來，實現更細顆粒度的安全隔離機制，有效防止網絡威脅在云平臺內部肆意蔓延。

面對云原生架構帶來的三類安全風險，吳劍剛表示WAAP動態安全平臺在提供傳統Web安全防御能力的同時，也能輕松應對新興和快速變化的Bots攻擊、0day攻擊和應用DDoS攻擊，助力用戶打造覆蓋Web、App、云原生應用和API資產的主動防護體系。

Web安全防護能力：基于“動態安全引擎”“智能威脅檢測引擎”“規則引擎”協同工作，WAAP動態安全平臺采用輕量級簽名和特征規則，即可對手動攻擊、自動化攻擊提供更為高效全面的Web應用防護能力，實現縱深防御。

API安全防護能力：WAAP動態安全平臺采用智能威脅檢測技術、行為分析技術，通過API感知、發現、監控分析和保護四大模塊，實現對API全生命周期的安全防護管理。

惡意機器人（Bot）保護能力：針對Bot自動化工具的識別與防御是瑞數信息產品最突出的能力之一。WAAP動態安全平臺通過“動態混淆技術”，對服務器網頁底層代碼的進行持續動態變換，讓攻擊者無從下手。通過“人機識別技術”，實現對訪問客戶端真實性的識別，實現從用戶端到服務器端的全方位“主動防護”，有效打擊模擬真實用戶的各種自動化攻擊和業務欺詐行為。

應用層DDoS防護能力：區別于傳統限頻的防護技術，WAAP動態安全平臺基于獨特的Bot防護能力，抓住CC攻擊都是工具發起的特點，通過工具防護，實現對業務/應用層的CC攻擊的防護。

以API安全防護為例，傳統API安全網關產品主要是在API請求的身份認證、權限管控、請求內容校驗與過濾以及API流量限速等方面進行防護，但是這些防護功能都與應用開發高度相關，應用程序修改后往往也需要修改API安全網關的配置，造成的部署與維護成本都極為高昂。

實際上云原生環境下的API功能在不斷擴充與加強，貫穿了整個產品交付的流程，需要結合云原生架構對API全生命周期進行監測和管控。這也是為什么瑞數信息會推出API安全管控平臺（API BotDefender）的原因，從API接入客戶端覆蓋到API服務器端，包括API資產管理、攻擊防護、敏感數據管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

基于瑞數信息全程式API安全威脅防護，企業可以實現自動化的API資產發現、API資產全生命周期管理、精準API畫像構建、全渠道感知API、API敏感數據管控、API攻擊防護、API濫用防護、API訪問行為管控、動態響應防護等。

吳劍剛表示，在云原生環境下，企業面臨的攻擊面更廣，因此更應該定義自己的核心資產，從應用視角梳理核心資產、業務和場景來進行防護。瑞數云原生安全產品正是順應了安全視角轉變的趨勢，對核心資產進行挖掘和保護，并通過輕量級架構和檢測方式為云原生應用降本增效。

目前，瑞數信息是國內首批通過中國信通院“云原生API安全能力”和“WAAP能力”評估認證的安全廠商，其中，瑞數WAAP動態安全平臺還榮獲了中國信通院“云原生安全技術創新優秀案例”獎項。這充分彰顯了瑞數信息在云原生應用安全領域的領導地位，在安全能力、功能全面性、產品穩定性、性能等各個方面為企業客戶提供了信心。

云原生給業務帶來敏捷積極影響的同時，也帶來了全新的安全挑戰，企業需要不斷更新安全理念、采用多維度和多技術提高安全的包容性，并將安全策略和業務結合起來優化，才能真正將云原生安全落地。