云原生安全模型与实践
在传统的研发中,我们最常关注的安全有数据安全、代码安全、机器(运行环境)安全、网络运维安全,伴随着云原生时代的到来,倘若还是按几个维度切分的话,显然很容易忽略很多云原生环境引入的新的挑战,我们需要基于网络安全最佳实践——纵深防御原则,来逐步剖析云原生的安全,并且对不同层次的防御手段有相关的了解,最重要的是定位自己云原生安全的理念,真正搭建一个内核安全的云原生系统。
纵深防御是指在计算机系统中的多个层面使用多种网络安全技术,进而减少攻击者利用主要业务资源或信息泄露到系统外部的总体可能性。在消息传递和协作环境中,纵深防御体系可以保证恶意攻击活动被阻止在基础结构内的多个检查点,减低了威胁进入内部网络的可能性。
这里以IDaaS系统举例,可以把一个云原生系统安全模型分为4个层面和3条规则(身份认证/访问控制/审计),由外至内层层布防:
针对这里安全模型的每一层,均是单向依附于外层的。即,外层的云、集群、容器安全做得好,代码层的安全就能明显的受益,相反,我们是没有办法通过提高代码层的安全性来弥补外层中存在的安全漏洞或问题。
在这一原理的基础上,我们的纵深防御策略是「自外而内」地进行“设防”。
一、云/数据中心/网络层安全
这一层也可以称之为基础设施安全,不论从哪个角度分析,公有或私有云或企业数据中心以及对应的网络安全,是K8s集群最根本的安全基础,倘若这一层存在安全漏洞或者过于脆弱,那么组件的安全在整个系统的基础上很那保证。除去需要防御传统的攻击-ARP伪装、DDOS、网络层各类报文等攻击,应该针对Kubernetes集群采取以下保护措施:
1.不公开 Internet 上对 Kubernetes 管理平台(Control Plane)的所有访问,只部分可信 IP 能正常访问 Kubernetes 管理 API;
2.依据 Rule-BAC(基于规则访问控制),仅暴露指定的端口,包括对管理平台的内部端口和来自 NodePort 和 LoadBalancer 类型的 Kubernetes 服务的连接,并且不暴露到 Internet;
3.所有计算节点选用网络分层规则,通过云提供商或机房的网络层安全组(例如 AWS 的 Security Group)对管理平台以及节点授予最小权限控制,能够在最大程度上,减少黑客产生的危害,也就保护了数据的安全性。
4. 对 etcd(Kubernetes的基础存储)的访问进行严格控制(只允许来自集群管理平台的访问),并强制所有连接都使用TLS,以保证所有信息都能在持久化层被加密(Encryption at rest);
5. 审计报警系统针对每个平台的访问信息都需要过滤分析,一旦发现非授权访问,会迅速告知安全管理人员,并跟踪处理。例如:当黑客进入内网后,往往会进行数据“挖掘“,这些非常规操作区别于常规员工操作。
6. 堡垒机主要针对 Linux 服务器访问控制,开启密码策略,同时收集并分析访问、事件、进程等日志,使用堡垒机进行访问控制。
7. 办公网络接入和机房网络接入仅需要增加身份认证。如:Wi-Fi 接入,VPN 接入绑定 OIDC 认证。
二、集群层
保护 Kubernetes 集群主要有几下几个需要关注:
集群与组件
运行的服务或应用
针对这两个主体的保护,采用最小权限管理原则.由专门安全工程师进行权限管理.我们的保护可以分为 4 大块:管理API的访问控制、Kubelet 的访问控制、Runtime(运行时)工作负载或用户功能的访问控制、集群组件的安全漏洞防护。
1. 管理 API 的访问控制
a. 强制 TLS 保护传输层
b. 强制 API 认证
c 强制API授权机制(RBAC)
d. 限制API访问源(PBAC)
2. Kubelet 的访问控制
a. 生产环境启用身份验证
b. 身份授权(RBAC)
c. 强制 TLS 保护传输层
3. Runtime(运行时)工作负载或用户功能的访问控制
a. 限制使用特权容器
b. 合理限制资源负载
c. 防止加载非必要内核模块
d. 限制 Pod 越权访问其他节点
e. 基础数据凭证的访问控制
4. 集群组件的安全漏洞防护
a. 禁止未授权访问 etcd
b. 启用审核日志记录
c. 定期轮换基础架构凭证
d. 定期升级修复漏洞
三、容器层
到了这一层,因为和 Kubernetes 特性不是强相关,我们能提供一些通用的安全措施和建议:
四、代码层
程序代码层是目前最容易受攻击的,但也是很容易控制的一部分。虽然通常情况下负责这块安全的人员不一定是运维开发(DevOps),而是专门的安全工程师(Sec Eng),但有一些基本共性理念和建议是能互相借鉴的。
综上所述,安全的本质是数据可以被合理运用. 云原生时代的这四层架构:云/数据中心/网络层、集群层、容器层、代码层,与传统架构修相比更加细化和更易受攻击,自外而内地践行每一层的安全最佳实践,我们的纵深防御才能算是成功的,每个在云原生技术上要想长期获益的团队需要对此有共识。
安全体系的简介可以参考主流安全框架如 ISO27001 或国家等级保护三级等相关文件.所有的安全措施都不敢确保100%安全,但是1%的安全故障会造成100%的危害是肯定的。因此安全体系建立是一个长期坚持的过程,持续更新改进的过程,要求公司从上至下的进行管理和推动。
这里给大家在搭建安全体系的意见是:先快再好。最先选择最容易部署和实施的安全模块,如WAF、防火墙、身份认证等安全工具,再继续深入、逐步完善。
