云原生应用交付

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 【10月更文挑战第26天】云原生环境下的安全问题易被忽视,导致潜在风险。应用层渗透测试和漏洞扫描是检测安全的关键,尤其是对于CVE漏洞的修复。然而,常见误解认为安全由外部防护处理且不易引入问题。

应用层的渗透测试和漏洞扫描相当于对应用整体安全的一个检测机制,在安全问题引入之后,通过安全测试和漏洞扫描发现这些问题,推进修改。在安全管理维护方面,最经常处理的是CVE漏洞,CVE漏洞通常是一些隐藏较深、有一定修复难度的问题。对负责业务开发和业务运维的工程师来说,由于接触应用层安全问题的机会不多,仅有的几次机会也是对CVE漏洞的修复,修复的方案往往也是通过版本及第三方库的升级来完成的。长时间的操作过程造成了对应用安全处理机制的两个错误理解,一是认为安全问题是由外部安全防护机制来处理的,二是认为安全问题不太容易引入。


对安全问题的这两个印象实际上是不对的,特别是在云原生环境下,由于疏忽很容易引入安全漏洞。拿一个例子来看,一个容器中的进程如果以root身份运行,那么这个进程在主机操作系统内部也是root身份的,这个程序容易被利用并通过SUID扩大攻击范围;或者有些时候,由于错误地配置了网络策略,业务接口向平台中的所有业务应用开放,破坏了业务的隔离性。这些问题在实际应用中经常发生。


由于云原生业务应用的运行环境已经不同于传统业务应用场景,在传统业务应用场景下,安全管控主要依赖网络边界设备,比如防火墙、IDS/IPS、WAF等。云原生业务系统运行在云化的环境中,网络边界普遍已经虚拟化和模糊化。另外,云原生环境有大量的多租户共享以及多业务应用共用的情况,各业务系统需要在代码、配置和技术选型使用上注意安全问题。如果不遵守一个好的安全规范,日积月累的小安全问题会让业务系统漏洞百出。在常规情况下也许业务系统能够稳定运行,在扩展性和性能等方面表现良好,但是一旦遇到攻击,很容易就会出现严重的安全事故,比如数据泄露、资源泄露或者遭受网络欺诈,造成严重后果。所以云原生应用在开发流程执行过程中就需要确立好安全规范,并把安全规范的执行检查嵌入到DevOps流程中。


安全规范需要考虑平台安全使用规范、容器镜像安全规范、云原生应用安全规范、安全审计规范这四个领域。这四个领域中安全规范的作用和目的如下。


1)平台安全使用规范:规定平台层(包括主机、Kubernetes集群)的配置和使用规则

云原生平台是应用运行的基础,安全工程师的一个重要职责是维护平台的安全。平台安全建设的约束和规范在应用开发流程中可以体现的点并不多,主要是在用户和文件权限及Kubernetes平台配置。


2)容器镜像安全规范:规定应用镜像打包规范,约束使用的基础镜像以及基础镜像的使用方法

  • 只能使用指定的容器基础镜像(如alpine的固定版本)。
  • Dockerfile中不能包含敏感信息(比如密码等)。
  • 需通过USER命令指定容器进程的启动用户,不能以默认的root身份启动。
  • 镜像不能挂载包括/etc、/bin、/root等路径在内的系统关键路径。
  • 发布的镜像需通过镜像扫描平台进行安全扫描。
  • 非特殊情况,不允许在基础镜像的基础上再下载扩展软件包。
  • 某些情况下,安装扩展软件包时,需通过安全工程师来操作,安全的软件包需精简,去除无用的附属文件(如debug工具、帮助文件等)。


3)云原生应用安全规范:规定Pod的定义规则、namespace的隔离规则以及各应用之间的访问规则;还包括应用在架构上的安全定义规则

云原生应用安全规范的内容较多,包括应用中间件的选型和使用、应用Pod声明文件包含的必要配置、应用Pod之间的隔离策略、Security Context和Pod Security Policy的使用规范以及平台服务账号及其角色绑定的配置规范等。


4)安全审计规范:规定应用的操作日志、与安全相关的应用运行日志的打印规范

安全审计规范中定义了应用操作日志、与安全相关的运行日志及运行事件的输出规范,主要包括以下内容。

  • 用户对资源的操作和管理需记录操作日志,操作日志的信息字段需记录操作源IP等关键字段。
  • Web层接口的调用入口及出口需记录调用日志,调用日志的级别需为WARN。调用日志需标记出调用时间、输入参数和能够标记调用用户的字段信息。
  • 应用日志中不能输出用户的隐私信息(比如用户密码等)。
  • 应用日志需对应用异常情况进行捕获,并输出应用运行的整体情况日志,如在线程池满的时候,输出线程总数及请求队列的统计信息。
  • 需开启kube-apiserver审计,记录平台的事件信息。


平台以及应用层规范的制定主体是安全工程师。安全工程师除了提出和制定安全流程规范外,还负责在DevSecOps流水线中配置自动化的安全规范检查机制,将安全的检查工作融入日常的开发流程中,利用云平台的自动化机制来实现自动化的持续安全。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
3月前
|
弹性计算 运维 Cloud Native
云原生时代的运维转型之路
在云计算飞速发展的今天,传统的运维模式已难以满足现代企业的需求。本文旨在探讨如何在云原生时代下进行有效的运维转型,从传统运维到云运维的转变不仅仅是技术的升级,更是思维和方法论的革新。通过实际案例分析,我们将深入了解这一转型过程中可能遇到的挑战与解决策略,以及如何利用云原生技术提高运维效率,保障系统稳定性和安全性,从而为企业带来持续的业务创新和价值增长。
45 6
|
4月前
|
运维 监控 Cloud Native
云原生时代的运维革新
【8月更文挑战第20天】随着云计算技术的不断成熟,运维领域迎来了一场革命性的变革。本文将从多个维度深入探讨云原生时代运维的转型之路,分析其对传统IT运维模式的冲击与重塑,并展望运维的未来发展趋势。
|
4月前
|
运维 监控 Cloud Native
云原生时代的运维转型
在数字化转型的大潮中,云原生技术正成为企业IT架构的新常态。本文将深入探讨云原生环境下运维工作的转变与挑战,并分享一系列应对策略。从传统的运维模式到现代的DevOps实践,文章旨在为读者提供一条清晰的转型路径和行动指南。
|
5月前
|
安全 Cloud Native 网络安全
云原生应用交付
【10月更文挑战第26天】云原生环境下的安全问题易被忽视,导致潜在风险。应用层渗透测试和漏洞扫描是检测安全的关键,尤其是对于CVE漏洞的修复。然而,常见误解认为安全由外部防护处理且不易引入问题。
|
5月前
|
运维 Kubernetes Cloud Native
云原生时代下的运维转型之路
在数字化浪潮的推动下,企业IT架构正经历着一场深刻的变革。云原生技术以其独特的优势成为推动这一变革的重要力量。本文将深入探讨云原生技术如何影响运维领域,分析运维人员面临的挑战与机遇,并指出运维转型的必要性和可能路径。通过具体案例和数据分析,文章旨在为运维专业人士提供一条清晰的转型蓝图,帮助他们在云原生时代中把握先机,实现职业生涯的新跃迁。
59 1
|
4月前
|
运维 监控 Cloud Native
云原生时代的运维革新之路
在数字化转型的浪潮中,云原生技术已成为推动企业IT架构现代化的核心力量。本文将深入探讨云原生技术如何重塑传统运维模式,提升系统可靠性与敏捷性,并分享实现高效运维的策略和实践案例。
|
Cloud Native 数据可视化 Devops
阿里云云原生 DevOps - 云原生时代企业 DevOps 诉求
阿里云云原生 DevOps - 云原生时代企业 DevOps 诉求
阿里云云原生 DevOps - 云原生时代企业 DevOps 诉求
|
7月前
|
Kubernetes 监控 安全
云原生安全DevSecOps思考
关于云原生安全DevSecOps思考,本文的目的是深入探讨云原生环境下的安全脆弱性,并介绍配套的工具和方法,帮助企业在步入云原生大门时关好每扇安全窗。
212 1
云原生安全DevSecOps思考