首页 > 其他分享 >Serverless 安全新杀器:云安全中心护航容器安全

Serverless 安全新杀器:云安全中心护航容器安全

时间:2024-09-13 14:47:17浏览次数:11  
标签:Serverless 容器 杀器 Agent 安全 能力 资源

作者:胡志广(独鳌)

云安全中心对于 Serverless 容器用户的价值

从云计算发展之初,各大云厂商及传统安全厂商就开始围绕云计算的形态来做安全解决方案。传统安全与云计算安全的形态与做法开始发生变化,同时随着这 10 多年的发展,安全越来越被国家、企业重视,安全本身也在不断的发生变化。

面向 Serverless 用户的安全需求的重要场景:

图 1

为了解决这些安全场景的问题,Serverless 和云安全中心基于容器安全的场景进行了合作支持构建了一套面向 Serverless 的云上安全架构体系实现纵深防御能力。

云安全中心对于容器服务的安全能力

  • 漏洞扫描: 通过云安全中心检测您的应用中是否存在漏洞,云安全中心客户端 AliSecureCheckAdvanced 进程可能会在本地执行 POC 验证,发出特定的请求(POC 请求)以检查是否存在应用漏洞。这些请求旨在测试应用漏洞的存在性和实际危害性,而不会进行实际的恶意攻击。具体信息,请参见什么是漏洞管理 [ 1]
  • 入侵检测: 为了发现任何形式的隐藏和混淆的 Rootkit,Rootkit 检测功能依据通用 Rootkit 的原理进行操作,即总是存在对内核态函数(系统调用、VFS 函数及底层功能函数)的挂钩、篡改和劫持。通过对系统内存镜像进行必要数据的采集检查,来确定 Rootkit 的存在和属性,以及判断被篡改劫持的系统功能,推断 Rootkit 本身的功能作用。通过以上操作,尽可能准确地判定 Rootkit,并向用户告警传递相关信息。具体信息,请参见检测 Linux Rootkit 入侵威胁 [ 2]
  • 基线检测: 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器,盗取数据或植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮助您加固系统安全,降低入侵风险并满足安全合规要求。具体信息,请参见基线检查 [ 3]

云安全中心同时也覆盖了主机、容器服务等资源,更多详细的内容也可以见:云安全中心 [ 4] 具体进行了解。

Serverless 对接云安全中心的架构和挑战

1. Serverless 对接云安全中心流程和架构

a. Serverless 容器安全架构

图 2

  • Serverless 应用能力:应用管理、流量、运维、部署等基本能力,基于容器安全沙箱建设弹性 Serverless 能力。
  • Serverless 安全能力:主要针对基于云安全中心作为技术底座,支持几大安全能力,包括:漏洞风险扫描、恶意文件检测、安全审计、配置风险检测等。

基于云安全中心为底座支持了 Serverless 容器安全能力结合 Serverless 应用管理能力后让 Serverless 架构更加完善和稳固。

b. Serverless 容器对接安全中心流程

图 3

  • 容器资产上报到 sae 管控。
  • sae 管控将容器资产同步到云安全中心。
  • 云安全同步到容器资产信息后与云安全 Agent 配合后可以检测应用的基线检测、入侵检测、漏洞扫描等能力,最终完成 Serverless 的容器安全闭环。

2. 重点挑战

面向 Serverless 对接云安全中心的挑战主要有三个部分:

  • 多租隔离: Serverless 设计了多租户隔离提供安全隔离方案,多租隔离包括:网络、安全容器、资产上报等。
  • 资源消耗影响: 新增云安全 Agent 后资源消耗是否影响存量用户,需要通过资源限制和压测保障不影响存量资源。(之前没有这个组件,采集和检测是否会影响到用户,尤其针对小规格容器)
  • 爆炸半径控制: Serverless 多种资源池的形态(固定资源池和弹性资源池),保障容器节点组件版本支持安全能力和云安全 Agent 的组件的同时推平;推平后保障存量容器不影响,需要安全中心的容器则采用新版本容器启动,这样可以既保证安全能力支持又兼容存量容器稳定性不受影响,从而保障爆炸半径的可控。

a. 多租隔离

图 4

  • 安全容器:基于安全容器隔离保障数据安全。
  • 网络多租:每个容器可以有自己的网卡,vpc 内可以互相访问。
  • 资产上报多粗隔离:容器资源上报安全中心根据用户资产进行隔离。

b. 资源消耗压测

SAE 目前有两种资源池的形式:

  • 固定资源池: 固定资源池是云安全 Agent 在宿主机上,然后与容器进行 socket 通信上报安全检测信息。
  • 弹性资源池: 弹性资源池的云安全 Agent 需要与业务容器和管控资源共享资源。

资源架构详见图 3。

两种模式分别都需要进行压测云安全 Agent 的极限来验证是否不影响业务容器的资源;

  • 多种资源规格的压测,包括 1c、2c、4c、8c。
  • 考虑 cpu 干扰和 rt 的影响。

重点面向的小规格容器压测的效果,因为小规格容器资源更容易被打满,资源的负载和 rt 影响会比较大。

压测结果:

主容器运行 CPU 密集型程序,将 CPU 打到 60%-90% 左右。

图 5

验证业务容器的 RT 不会因为拉起云安全 Agent 导致明显波动和资源争抢。

图 6

综上结论: 整体安全中心对接后对于存量容器的资源影响几乎可以忽略不计。

c. 爆炸半径控制

ⅰ. 挑战:

  • 容器节点组件和云安全 Agent 组件版本依赖同时推平
  • 如何保障容器组件和云安全 Agent 节点 Agent 发布后不影响存量容器按需开启,保障爆炸半径

ⅱ. 推平和生效规则:

  • 容器节点组件版本和云安全 Agent 按照地域从小地域到大地域逐步推平,实现 1:1 匹配推平。(固定资源池节点推平管控和云安全 Agent,弹性资源池根据新建容器支持安全能力)
  • 生效规则:管控侧、节点侧可根据开启云安全能力的用户 UID 生效,开启云安全的用户新创建的容器通过新版本创建容器,存量版本不影响,从而保障一个节点可以同时支持开启安全能力容器和老容器两个容器版本,并且可以快速回滚和开启,从而保障爆炸半径可控。(回滚:如果出现不兼容场景则将 uid 进行回滚到旧版本容器,临时关闭安全中心能力)

ⅲ. 生效流程:

图 7

用户侧流程:

  • 灰度控制:根据用户 UID 开启安全能力支持容器和管控侧同时开启。
  • 新建应用:固定资源池和弹性资源池创建支持云安全 Agent 的容器。
  • 存量应用:非开启安全的用户和存量应用保持存量容器版本保障稳定性,开启安全能力的通过重新部署支持安全能力的支持。

如果出现异常支持瞬时关闭安全能力回滚存量容器保障业务运行稳定性。

推平流程:

  • 先推平底层组件:节点管控组件和云安全 Agent 组件。
  • 开启安全能力:管控侧开启 UID 和容器组件开启 UID 支持。

Serverless 针对安全未来的展望

Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。

“我们希望让用户做的更少而收获更多,通过 Serverless 化,深度用云就像用水电煤一样简单” ,这也是 SAE 产品五年以来一直坚持的产品理念:让客户不用修改任何代码,不改变原有应用部署方式,零改造平滑迁移企业在线应用,零门槛容器化和 Serverless 化,免运维,开箱即用。

未来我们将继续砥砺前行,让更多的客户上云和深度用云时都践行 SAE First!相关链接:

[1] 什么是漏洞管理

https://help.aliyun.com/zh/security-center/user-guide/overview-4

[2] 检测 Linux Rootkit 入侵威胁

https://help.aliyun.com/zh/security-center/user-guide/detect-linux-rootkit-intrusions

[3] 基线检查

https://help.aliyun.com/zh/security-center/user-guide/baseline-check

[4] 云安全中心

https://www.aliyun.com/product/sas

标签:Serverless,容器,杀器,Agent,安全,能力,资源
From: https://www.cnblogs.com/alisystemsoftware/p/18412177

相关文章

  • 为何越来越多的程序员纷纷转行网络安全?_软件工程师有必要转安全岗位吗
    为何越来越多的程序员纷纷转行网络安全?其实黑客都是程序员,但是并不是所有的程序员都是黑客.从企业和社会需求来看,现在真不缺程序猿,反而大量的缺安全工程师,同样8000块月薪,程序猿一大把,安全工程师却很难招到,最重要的是程序猿还要加班,大部分人对程序员的第一映象就是“地......
  • 2024年入职/转行网络安全,该如何规划?_网络安全职业规划
    前言前段时间,知名机构麦可思研究院发布了《2022年中国本科生就业报告》,其中详细列出近五年的本科绿牌专业,其中,信息安全位列第一。网络安全前景对于网络安全的发展与就业前景,想必无需我多言,作为当下应届生收入较高的专业之一,网络安全同样也在转行领域中占据热门位置,主要......
  • 2024自学手册——网络安全(黑客技术)
    前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答......
  • 2024网络安全学习路线 非常详细 推荐学习_网络安全教程谁的好
    关键词:网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊,学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间,光语言都有几门,有些人会倒在学习linux系统及命令的路上,更多的人会倒在学习语言上;2、知识点掌握程度不清楚对于......
  • 自动驾驶系列—掌握速度,驾驭安全,限速信息提醒功能(SLIF)介绍
    ......
  • C++17新特性探索:拥抱std::optional,让代码更优雅、更安全
    std::optional背景在编程时,我们经常会遇到可能会返回/传递/使用一个确定类型对象的场景。也就是说,这个对象可能有一个确定类型的值也可能没有任何值。因此,我们需要一种方法来模拟类似指针的语义:指针可以通过nullptr来表示没有值。解决方法是定义该对象的同时再定义一个附加的......
  • NVG040W语音芯片为制氧机带来人性化、便捷和安全
    在当今社会,家庭医疗设备和健康保健产品越来越受到人们的关注。制氧机作为其中的一种,为许多需要氧气治疗的人们提供了重要的帮助。然而,对于许多用户来说,如何正确操作和维护这些设备仍然是一个挑战。为此,NVG040W语音芯片为制氧机带来了人性化的语音提示和报警功能,使设备使用更加便捷......
  • IP地址提示不安全怎么解决
    当您在访问某个网站时遇到IP地址提示“不安全”的情况,这通常意味着该网站或其使用的通信协议未能充分保护您的数据安全。为了增强安全性并解决这一问题,以下是解决策略:验证并启用HTTPS首要步骤是确认网站是否支持HTTPS。HTTPS是HTTP的加密版本,它通过SSL/TLS协议来加密客户端与......
  • 全球网安行业缺少350万安全专家? 志愿你别乱填,缺的是专家,不是0经验的牛马
    0x00首先是这个所谓的“高需求”。企业们天天喊着缺人,但当你打开招聘网站,看到的全是“三年经验起步”、“高级专家”。黑人问号?这是在逗我吗?都只想要高级专家,拒绝新手及应届生,没有新手,哪来的专家?难道专家都是(只能)自学成才的?然后各个公司,更愿意把钱花在招聘广告上,而不是员......
  • PbootCMS模板安全设置与加固方法
    为了确保PbootCMS模板的安全性和稳定性,可以采取一系列的安全设置与加固措施。下面是一些具体的步骤和建议:1.权限设置目录权限:调整关键目录的权限,防止未经授权的写入操作。/apps:禁止写入权限(chmod0555)/config:允许读写权限(chmod0777)/core:禁止写入权限(chmod0555)......