對(duì)話｜企業(yè)如何構(gòu)建更完善的容器供應(yīng)鏈安全防護(hù)體系

摘要： 阿里云與企業(yè)共筑容器供應(yīng)鏈安全

隨著云計(jì)算和DevOps的興起，容器技術(shù)和自動(dòng)化成為軟件開發(fā)中的必要手段，軟件供應(yīng)鏈也進(jìn)入了自動(dòng)化及CI/CD階段。然而，容器技術(shù)和自動(dòng)化雖然提升了軟件的更新速度，但也帶來(lái)了新的安全挑戰(zhàn)。由于更新速度快，供應(yīng)鏈一旦遭遇攻擊，惡意代碼可能會(huì)迅速傳播到各個(gè)開發(fā)系統(tǒng)。在這一階段，安全左移成為實(shí)現(xiàn)軟件供應(yīng)鏈安全的指導(dǎo)性思想，安全的價(jià)值體現(xiàn)在軟件開發(fā)過(guò)程中的各個(gè)環(huán)節(jié)。
 
在此背景下，阿里云策劃了一場(chǎng)關(guān)于云上安全的深度訪談欄目，匯聚阿里云內(nèi)部眾多產(chǎn)品技術(shù)專家，攜手安全領(lǐng)域從業(yè)者，旨在通過(guò)全方位、多角度交流碰撞，分析容器安全與軟件供應(yīng)鏈安全之間的關(guān)系，揭示軟件開發(fā)過(guò)程中存在的安全隱患與應(yīng)對(duì)之道，幫助用戶更好地建設(shè)和落地軟件供應(yīng)鏈安全及容器安全體系。
 
本期節(jié)目邀請(qǐng)到的是阿里云產(chǎn)品專家穆寰、阿里云容器服務(wù)高級(jí)技術(shù)專家匡大虎、阿里云容器服務(wù)技術(shù)專家黃竹剛，圍繞軟件供應(yīng)鏈安全、容器安全的主要挑戰(zhàn)以及阿里云如何幫助用戶等維度展開了深入的討論。

 
 

 企業(yè)應(yīng)用云原生化進(jìn)入深水區(qū) 
踐行DevSecOps離不開容器安全

 
2024年7月，微軟藍(lán)屏席卷了全球，至少20多個(gè)國(guó)家的交通、金融、醫(yī)療、零售等行業(yè)或公共服務(wù)的業(yè)務(wù)系統(tǒng)受到影響。這一事件的發(fā)生再度引發(fā)了業(yè)界對(duì)軟件供應(yīng)鏈安全的擔(dān)憂。
 
近年來(lái)，針對(duì)軟件供應(yīng)鏈的攻擊事件愈演愈烈。2023年9月，某黑客組織使用域名仿冒和星標(biāo)劫持技術(shù)向開源包管理器PyPi植入一系列惡意包，攻擊者可借此攻陷用戶設(shè)備，竊取金融和個(gè)人信息，登錄憑據(jù)等敏感數(shù)據(jù)。2024年3月又爆出了一個(gè)威脅評(píng)分為滿分10分的供應(yīng)鏈漏洞，攻擊者“臥薪嘗膽”3年時(shí)間，通過(guò)一系列復(fù)雜的混淆和替換技術(shù)在一款開源軟件XZ中植入了后門。幸運(yùn)的是，由于發(fā)現(xiàn)及時(shí)，該漏洞并沒(méi)有造成大范圍的嚴(yán)重后果。
 
這些安全事件進(jìn)一步反映出當(dāng)下供應(yīng)鏈安全的嚴(yán)峻形勢(shì)。2024年某海外安全廠商發(fā)布的《2024軟件供應(yīng)鏈攻擊演化》報(bào)告中，自2019年以來(lái)，軟件供應(yīng)鏈攻擊平均每年以742%的速度增加。同時(shí)某安全廠商的開源安全風(fēng)險(xiǎn)分析報(bào)告中對(duì)17個(gè)行業(yè)一千多個(gè)商業(yè)代碼庫(kù)進(jìn)行了匿名分析，在分析結(jié)果中顯示，其中84%的代碼庫(kù)中包含安全漏洞，更有74%的代碼庫(kù)包含高危安全漏洞。
 
現(xiàn)階段，越來(lái)越多的企業(yè)將DevSecOps視為保障軟件供應(yīng)鏈安全的有力手段。DevSecOps 是一種將安全深度融入軟件開發(fā)生命周期的新型軟件開發(fā)實(shí)踐方法。與傳統(tǒng)開發(fā)流程不同的是，DevSecOps主張?jiān)谲浖_發(fā)的每個(gè)階段都主動(dòng)考慮和集成安全性，而不是將安全性視為事后的補(bǔ)充。
 
與此同時(shí)，容器安全在現(xiàn)代軟件開發(fā)和部署中，與DevSecOps一起成為兩個(gè)密切相關(guān)的概念。
 
在DevSecOps流程中，容器安全被視作整體安全策略的一個(gè)重要組成部分。這意味著企業(yè)在應(yīng)用云原生化進(jìn)程中需要在開發(fā)、CI/CD、部署和運(yùn)行階段都以自動(dòng)化和持續(xù)監(jiān)控的方式集成容器安全。同時(shí)DevSecOps流程中強(qiáng)調(diào)的協(xié)作和循環(huán)反饋的文化理念也能夠保證企業(yè)容器化應(yīng)用持續(xù)的安全水位。
 

 

 

 容器安全面臨的三個(gè)挑戰(zhàn) 

 
容器安全指的是基于容器技術(shù)的應(yīng)用云原生化改造后的安全防護(hù)，主要針對(duì)應(yīng)用容器化改造帶來(lái)的重點(diǎn)安全風(fēng)險(xiǎn)和挑戰(zhàn)。相較傳統(tǒng)的架構(gòu)，企業(yè)應(yīng)用在進(jìn)行容器化轉(zhuǎn)型過(guò)程中的安全挑戰(zhàn)來(lái)自以下三個(gè)方面：
 
首先是云原生平臺(tái)基礎(chǔ)設(shè)施。云原生平臺(tái)層組件相較于傳統(tǒng)架構(gòu)引入了更多的配置項(xiàng)和隔離層，這就給企業(yè)安全管理運(yùn)維人員提出了更高的運(yùn)維要求。如何保證平臺(tái)基礎(chǔ)設(shè)施層的默認(rèn)安全性，如何在遵循最小化權(quán)限原則基礎(chǔ)上進(jìn)行授權(quán)操作，如何建立云原生應(yīng)用系統(tǒng)的安全審計(jì)和監(jiān)控能力，這些新的挑戰(zhàn)都需要云服務(wù)商和企業(yè)安全管理運(yùn)維人員協(xié)同構(gòu)建并最終實(shí)施到企業(yè)云原生化轉(zhuǎn)型后的系統(tǒng)應(yīng)用架構(gòu)中。
 
其次是DevOps軟件供應(yīng)鏈。云原生彈性、敏捷和動(dòng)態(tài)可擴(kuò)展的特征極大地改變了傳統(tǒng)應(yīng)用部署模式，應(yīng)用自身的生命周期被大幅縮短，而企業(yè)應(yīng)用的迭代效率則大幅提升，在企業(yè)供應(yīng)鏈架構(gòu)變革的同時(shí)需要構(gòu)建和實(shí)施適配供應(yīng)鏈各階段的安全防護(hù)能力。
 
最后是應(yīng)用范式上的改變。隨著微服務(wù)架構(gòu)在企業(yè)中的廣泛應(yīng)用，傳統(tǒng)的基于南北向流量的安全邊界模式已經(jīng)變得不適用，企業(yè)需要更加細(xì)粒度的身份認(rèn)證和訪問(wèn)控制；同時(shí)Serverless和函數(shù)計(jì)算等新技術(shù)開始流行，對(duì)于云服務(wù)商在基礎(chǔ)設(shè)施層的安全隔離性和監(jiān)控能力提出了更高要求，而應(yīng)用的容器形態(tài)則需要新的運(yùn)行時(shí)安全監(jiān)控告警和資產(chǎn)管理模式與之對(duì)應(yīng)。
 

 

 實(shí)現(xiàn)容器安全的改進(jìn)策略建議 

 
針對(duì)上述挑戰(zhàn)，阿里云表示，絕大多數(shù)的企業(yè)云原生安全的發(fā)展都落后于應(yīng)用的云原生化進(jìn)程，而想要改進(jìn)則需要集中在以下三個(gè)方向：
 
首先是身份和訪問(wèn)管理。線上授予的權(quán)限與實(shí)際需要的權(quán)限之間存在巨大差異，無(wú)疑會(huì)給攻擊者可乘之機(jī)。
 
其次是漏洞和配置管理。大多數(shù)的企業(yè)生產(chǎn)鏡像都沒(méi)有經(jīng)過(guò)安全加固和最小化的裁剪收斂，另外很多線上應(yīng)用因?yàn)殚_發(fā)調(diào)試的一時(shí)方便而在容器層配置了過(guò)高的特權(quán)。
 
在云原生Kubernetes集群的典型攻擊路徑中，由于云原生技術(shù)架構(gòu)的復(fù)雜性，容器應(yīng)用、運(yùn)行時(shí)、Kubernetes編排引擎、鏡像倉(cāng)庫(kù)以及內(nèi)核層都可能給整個(gè)應(yīng)用系統(tǒng)引入新的風(fēng)險(xiǎn)，而近年來(lái)不斷爆出云原生社區(qū)相關(guān)的CVE漏洞中，攻擊者可以利用的攻擊方式也是多種多樣，像一般的提權(quán)、仿冒、篡改、抵賴、拒絕服務(wù)等典型攻擊手段都出現(xiàn)在了近兩年公開披露的漏洞利用方式中。
 
最后是監(jiān)控和響應(yīng)。由于大多數(shù)用戶缺少針對(duì)容器資產(chǎn)的運(yùn)行時(shí)監(jiān)控和防護(hù)手段，在針對(duì)突發(fā)的攻擊事件時(shí)無(wú)法有效完成定位和溯源。
 

因此，阿里云建議必須針對(duì)容器場(chǎng)景采取對(duì)應(yīng)的安全防護(hù)手段。例如，默認(rèn)安全和最小化授權(quán)，基于安全左移原則的漏洞和風(fēng)險(xiǎn)分級(jí)管理機(jī)制，建立容器部署的安全準(zhǔn)入機(jī)制，針對(duì)容器的運(yùn)行時(shí)監(jiān)控告警以及云原生安全資產(chǎn)管理。

 
 

 針對(duì)容器安全 
阿里云的解決方案
 

在實(shí)踐層面，圍繞容器構(gòu)建、部署及應(yīng)用運(yùn)行這三個(gè)階段，阿里云推出了針對(duì)性的產(chǎn)品和服務(wù)。
 
針對(duì)容器構(gòu)建階段的安全需求，阿里云容器鏡像服務(wù) ACR 提供了隔離的鏡像構(gòu)建環(huán)境、智能化的鏡像構(gòu)建診斷、鏡像漏洞掃描、鏡像加簽、SBOM 軟件物料清單分析以及制品漏洞信息反查等多個(gè)安全特性，助力企業(yè)構(gòu)建安全的容器制品。
 
針對(duì)容器部署階段的安全需求，阿里云容器服務(wù) ACK 提供了精細(xì)化的集群訪問(wèn)控制、完備的集群操作審計(jì)、與應(yīng)用相結(jié)合的鏡像驗(yàn)簽、工作負(fù)載安全策略等安全特性。
 
針對(duì)應(yīng)用運(yùn)行階段的安全需求，阿里云容器服務(wù) ACK 提供了應(yīng)用維度的最小化授權(quán)方案 RRSA、節(jié)點(diǎn)池和 Pod 維度的網(wǎng)絡(luò)安全組和安全策略以及容器內(nèi)操作審計(jì)、安全沙箱容器和機(jī)密容器等多個(gè)安全方案。
 

阿里云表示，針對(duì)容器軟件供應(yīng)鏈日益嚴(yán)峻的安全形勢(shì)，容器服務(wù)ACK、ACR、ASM通過(guò)一系列安全產(chǎn)品能力，實(shí)現(xiàn)了“連點(diǎn)成線”的供應(yīng)鏈風(fēng)險(xiǎn)分析和防御機(jī)制，同時(shí)面向企業(yè)安全管理員提供了開箱即用的產(chǎn)品能力。
 
今年，面向供應(yīng)鏈安全的典型客戶需求，ACR容器鏡像服務(wù)支持OCI社區(qū)1.1版本的鏡像和分發(fā)規(guī)范，標(biāo)志著客戶可以通過(guò)ACR管理和分發(fā)鏡像簽名以及SBOM這樣的非鏡像OCI制品，同時(shí)結(jié)合ACK的策略治理能力，幫助企業(yè)客戶實(shí)現(xiàn)通用的制品自動(dòng)化加簽和驗(yàn)證方案，保證部署到生產(chǎn)集群中的鏡像是完整可信的。
 
同時(shí)ACK容器服務(wù)還針對(duì)授權(quán)過(guò)大和容器逃逸后的節(jié)點(diǎn)內(nèi)橫向攻擊等風(fēng)險(xiǎn)，有針對(duì)性地提供了對(duì)應(yīng)的加固和防護(hù)能力。
 
阿里云網(wǎng)格服務(wù)ASM提供一個(gè)全托管式的服務(wù)網(wǎng)格平臺(tái)，兼容社區(qū)Istio開源服務(wù)網(wǎng)格，用于簡(jiǎn)化服務(wù)的治理，包括服務(wù)調(diào)用之間的流量路由與拆分管理、服務(wù)間通信的認(rèn)證安全以及網(wǎng)格可觀測(cè)性能力，幫助企業(yè)實(shí)現(xiàn)應(yīng)用無(wú)感的零信任安全。
 
基于此，用戶可以通過(guò)結(jié)合ACR、ACK、ASM 所提供的多種安全能力以及阿里云云安全中心所提供運(yùn)行時(shí)安全能力，構(gòu)建涵蓋整個(gè)軟件開發(fā)生命周期的端到端的企業(yè)安全運(yùn)營(yíng)和防護(hù)體系。

 
 

 結(jié)語(yǔ) 
阿里云攜手客戶共筑供應(yīng)鏈安全
 

實(shí)現(xiàn)軟件供應(yīng)鏈安全，不僅需要企業(yè)采用針對(duì)性的策略，還需要建立對(duì)應(yīng)的企業(yè)安全文化意識(shí)。除此之外，阿里云認(rèn)為，做好軟件供應(yīng)鏈安全還需要從多個(gè)方面入手：
 
首先，加強(qiáng)基礎(chǔ)設(shè)施的安全性。阿里云致力于提供高可靠性和高安全性的云計(jì)算基礎(chǔ)設(shè)施，為企業(yè)軟件供應(yīng)鏈提供一個(gè)穩(wěn)定可信的平臺(tái)基礎(chǔ)安全能力。
 
其次，技術(shù)創(chuàng)新是保障供應(yīng)鏈安全的重要手段。阿里云利用人工智能、機(jī)密計(jì)算等前沿技術(shù)，幫助企業(yè)監(jiān)測(cè)和預(yù)測(cè)潛在的安全威脅，提升供應(yīng)鏈的整體預(yù)警和響應(yīng)能力。
 
最后，阿里云倡導(dǎo)普惠和協(xié)同的安全理念。阿里云容器服務(wù)會(huì)同上下游合作伙伴的緊密合作，通過(guò)提供靈活可擴(kuò)展的安全解決方案，建立有關(guān)云原生和容器安全最佳實(shí)踐和安全威脅情報(bào)的信息共享和責(zé)任共擔(dān)的機(jī)制，在DevSecOps理念的指導(dǎo)下構(gòu)建更完善的供應(yīng)鏈安全防護(hù)體系。
 

在未來(lái)，阿里云容器服務(wù)會(huì)在內(nèi)部踐行DevSecOps流程的同時(shí)，還會(huì)通過(guò)ACK、ACR、ASM、云安全中心等服務(wù)提供涵蓋容器供應(yīng)鏈安全流程關(guān)鍵階段的核心安全產(chǎn)品能力，攜手客戶共筑供應(yīng)鏈安全。
 

 

 下期預(yù)告 

 
隨著企業(yè)上云的加速和數(shù)字化轉(zhuǎn)型，辦公安全面臨新的難題和考驗(yàn)。下期將為大家?guī)?lái)無(wú)影安全辦公專場(chǎng)，分享無(wú)影AI云電腦構(gòu)建的云、網(wǎng)、端一站式全面安全防護(hù)體系，如何助力千行百業(yè)安全辦公。