7月23日晚，由北京金融科技產(chǎn)業(yè)聯(lián)盟、移動(dòng)支付網(wǎng)聯(lián)合舉辦的《金融科技大講堂》第十期開播?！?a href="http://m.xfjyyzc.com/gegu/300369/" target="_blank" title="綠盟科技(300369)股票分析,新聞,資金流向,財(cái)務(wù)數(shù)據(jù)" >綠盟科技(300369)、股吧】星云實(shí)驗(yàn)室江國龍從云原生技術(shù)簡介、云原生安全威脅、云原生安全防護(hù)以及云原生安全實(shí)踐等方面分享了云原生安全相關(guān)的問題及應(yīng)對思路。

　　云原生的“三駕馬車”

　　過去數(shù)十年，企業(yè)IT架構(gòu)經(jīng)歷了多個(gè)階段的技術(shù)演進(jìn)，云計(jì)算成為了現(xiàn)在IT架構(gòu)的主流。云原生則是一套全新的理念，背后涵蓋了一系列全新的技術(shù)。

　　云原生技術(shù)的“三駕馬車”分別是：微服務(wù)、容器化和DevOps。

　　容器化是指基礎(chǔ)設(shè)施容器化，容器和主機(jī)共享硬件資源及操作系統(tǒng)，通過對CPU、內(nèi)存等資源的隔離、劃分和控制，實(shí)現(xiàn)進(jìn)程之間透明的資源使用。

　　微服務(wù)架構(gòu)是隨著云計(jì)算的發(fā)展而產(chǎn)生的一種軟件架構(gòu)風(fēng)格，采用多個(gè)松耦合的服務(wù)(微服務(wù))構(gòu)建一個(gè)應(yīng)用系統(tǒng)，每個(gè)微服務(wù)可采用任何語言實(shí)現(xiàn)，可獨(dú)立存在，不同微服務(wù)之間通過輕量級的交互機(jī)制實(shí)現(xiàn)通信。

　　編排平臺(tái)提供了應(yīng)用編排管理功能，與DevOps工具鏈聯(lián)動(dòng)，實(shí)現(xiàn)持續(xù)集成持續(xù)部署的快速迭代。通過編排平臺(tái)，容器被有機(jī)的組合成微服務(wù)應(yīng)用，實(shí)現(xiàn)應(yīng)用系統(tǒng)的業(yè)務(wù)需求。

　　江國龍表示，云原生技術(shù)帶來應(yīng)用快速迭代和高效運(yùn)維能力，成為金融行業(yè)向“互聯(lián)網(wǎng)+”轉(zhuǎn)型的利器。目前超過三成已使用云計(jì)算技術(shù)的金融機(jī)構(gòu)，已將容器技術(shù)用于生產(chǎn)環(huán)境或測試環(huán)境。

　　Docker是金融機(jī)構(gòu)主要選擇的容器運(yùn)行技術(shù)，Kubernetes和Mesos/DCOS是目前金融機(jī)構(gòu)首選的容器編排技術(shù)。

　　云原生安全威脅與挑戰(zhàn)

　　江國龍認(rèn)為，容器化基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)和威脅不會(huì)更少，局域網(wǎng)攻擊、拒絕服務(wù)攻擊、漏洞利用、服務(wù)暴露等安全威脅依舊存在。

　　他表示，逃逸問題依然是重要的安全威脅。可能造成逃逸的原因有很多，有可能是危險(xiǎn)配置導(dǎo)致的容器逃逸、危險(xiǎn)掛載導(dǎo)致的容器逃逸，也有可能是漏洞導(dǎo)致的容器逃逸或者內(nèi)核漏洞導(dǎo)致的容器逃逸。容器逃逸后可以獲取更大的權(quán)限，威脅其他容器，甚至是宿主機(jī)。

　　鏡像安全是云原生應(yīng)用安全的源頭，在生產(chǎn)環(huán)境中，40%的鏡像來源于公開倉庫，連續(xù)5天對應(yīng)用到生產(chǎn)環(huán)境中的鏡像進(jìn)行漏洞掃描，通過率僅為48%。Docker Hub中超過30%的官方鏡像包含高危漏洞，接近70%的鏡像有著高?；蛑形Ｂ┒矗┒寸R像主要集中在應(yīng)用程序的鏡像中。

　　江國龍表示，云原生安全的核心問題有四個(gè)：基礎(chǔ)設(shè)施安全、鏡像安全、運(yùn)行時(shí)安全和生態(tài)安全。

　　云原生安全防護(hù)

　　面對種種安全威脅與挑戰(zhàn)有什么防護(hù)機(jī)制呢？江國龍進(jìn)行了一一介紹。

　　他介紹說，很多平臺(tái)都會(huì)提供安全防護(hù)機(jī)制，比如Kubernetes就提供了包括TLS、SecretsManagement、Admission Control在內(nèi)的多個(gè)安全機(jī)制。

　　想要保護(hù)安全，首先要進(jìn)行安全的配置。Docker公司與美國互聯(lián)網(wǎng)安全中心（CIS）合作，制定了docker的最佳安全實(shí)踐，包括主機(jī)安全配置、docker守護(hù)進(jìn)程配置、docker守護(hù)程序配置文件、容器鏡像和構(gòu)建、容器運(yùn)行安全、docker安全操作六大項(xiàng)，99個(gè)控制點(diǎn)。

　　其次，云原生系統(tǒng)的行為可視化也非常重要，知道系統(tǒng)里現(xiàn)在都在做什么，包括監(jiān)控進(jìn)程行為、監(jiān)控網(wǎng)絡(luò)行為等等。只有知道了在發(fā)生什么，才可以判斷哪些行為是安全，哪些是不安全的。

　　云原生系統(tǒng)的異常行為檢測則可以知道發(fā)現(xiàn)系統(tǒng)里現(xiàn)在有什么異常的行為，根據(jù)容器環(huán)境的攻擊模型，確定異常檢測規(guī)則，基于內(nèi)核行為數(shù)據(jù)確定異常。

　　云原生網(wǎng)絡(luò)安全則要實(shí)現(xiàn)微服務(wù)間的網(wǎng)絡(luò)隔離與網(wǎng)絡(luò)入侵檢測。他強(qiáng)調(diào)，API安全在微服務(wù)架構(gòu)中尤為重要，包括身份管理、訪問控制、通信安全、消息限制等等。

　　最后江國龍介紹了容器安全方案。他認(rèn)為，容器安全需要做全生命周期安全防護(hù)，要進(jìn)行安全建設(shè)規(guī)劃，包括基礎(chǔ)設(shè)施安全、軟件供應(yīng)鏈安全、運(yùn)行時(shí)安全等等。

　　首先保證整個(gè)容器運(yùn)行環(huán)境，以及SoftwareChain的安全，實(shí)現(xiàn)總體的脆弱性檢測、修復(fù)和管理；然后實(shí)現(xiàn)運(yùn)行時(shí)的安全監(jiān)控、檢測、防護(hù)；最后實(shí)現(xiàn)“云-地-人-機(jī)”一體化安全運(yùn)營。

　　在演講的最后，嘉賓與觀眾對云原生技術(shù)相關(guān)問題進(jìn)行了深入的交流，比如目前云原生技術(shù)的發(fā)展情況、以及采用云原生對等保合規(guī)的影響等等。

　　江國龍表示，目前云原生技術(shù)正處于蓬勃發(fā)展當(dāng)中，在互聯(lián)網(wǎng)、金融領(lǐng)域已經(jīng)開始逐漸推廣。而等保合規(guī)等問題需要具體情況具體分析，目前在該領(lǐng)域沒有相應(yīng)規(guī)范。