CNCF（Cloud Native Computing Foundation）定义的云原生技术为：在公有云、私有云和混合云中构建和运行可扩展的应用程序的能力。容器、服务网格、微服务、不可变基础设施和声明性 API 均是基于云原生技术的特征。采用云原生技术使松散耦合的系统具有弹性、可管理和可观测性。结合强大的自动化功能，能够以最少的工作量频繁且可预测地进行高影响力的更改。其中可观测性是保证云原生应用稳定性的基础。在云原生时代，应用规模不断扩大，复杂度愈来愈高，而其中潜藏的问题和风险也随之增多。这对支撑平台及业务自身的稳定性提出更高要求。能够支撑业务的快速迭代、故障快速响应能力、适应复杂的微服务拓扑、保证高效运维。

图3. 《云原生可观测性技术研究及应用》白皮书

绿盟科技作为参与方编写的《云原生可观测性技术研究及应用》报告获得了CSA GCR优秀项目奖，该报告介绍了可观测性在云原生场景的架构设计，阐述在云原生场景使用eBPF技术完成可观测性数据采集的技术实现及优势，以及云原生可观测性应用场景和优秀项目介绍。

除了合规驱动外，越来越多的云安全事件也在促进云安全防护能力的提升。攻击者是逐利的，随着越来越多企业选择云计算来开发、承载业务，云上业务的价值在飞速增长，也因此成为黑产团伙的重点关注对象。

近年来，随着云安全事件层出不穷，我们得知攻击者已经将战场从传统环境扩展到了云计算环境。在此背景下，未知攻焉知防，防守方必须跟进掌握最新的云安全攻防技术，不断迭代不断进化，实现云上攻防能力的持续运营和向云安全防御能力的持续转化，才能够实现云计算业务和环境的有效防御。

对于具体的攻防技术来说，归纳和分类是非常重要的，能够帮助我们降低复杂度，梳理已有攻击技术，制定防护能力发展规划，评估安全能力对攻防技术的覆盖度。目前Mitre归纳了云计算（含几大公有云）、容器的ATT&CK技战术。在此基础上，绿盟科技扩展了一个云原生ATT&CK矩阵，凭借此矩阵可构建云上整体的威胁视图：

图4. 云原生ATT&CK矩阵

随着合规性要求和攻防需求迅速增加，企业纷纷部署众多的安全产品以确保云环境和云上业务的安全性，但即使如此，也很难回答“云计算平台和应用是否安全”这一问题。因为错误配置与缺乏及时更新都可能会产生系统的风险。事实上，无论是真实的攻击，还是大型攻防对抗演练，都出现攻破云平台或云上应用的案例。考虑到云上业务变化频繁，云计算应用规模庞大，仅仅依靠人工手段去评估（如红蓝对抗、渗透测试等）很难达到完备。因而，云环境中的持续性安全评估，特别是云原生入侵和攻击模拟（Cloud Native Breach & Attack Simulation，CNBAS）应运而生，其可评估云环境是否安全，并可验证云上部署的安全能力是否有效。

从功能上来看，CNBAS既能对云计算平台本身安全性进行评估，又能可对第三方安全能力和策略进行评估。一方面可依托于针对云计算ATT&CK矩阵的攻击武器，对云环境进行自动、持续、无害化的攻击模拟；另一方面，参考国内外针对云原生系统的合规性要求和成熟度评估机制，评估系统整体的安全成熟度。

从架构上来看， CNBAS以云原生的方式部署和工作，既具备云计算的可靠、伸缩、易扩展等特性，也能利用云原生平台的接口、资源，减少对被评估环境依赖和侵入，提升整体运营的效率。

图5. 绿盟CNBAS

云计算技术栈已经被广泛使用。开发运营一体化（DevOps）、编排系统、微服务、声明性 API与无服务器等新技术的使用，使得对应用运营变得更加便捷方便，带也带来了极大的安全风险。因为：

• 云上服务需要对外暴露，但如果因不当配置、弱访问凭证、服务软件版本信息泄露，都可能造成攻击者发现并利用脆弱性，造成数据泄露等后果，在Gartner发布的2022年安全和风险管理的主要趋势中，将攻击面的暴露作为第一条纳入其中，可见对攻击面的管理的重要程度。

• 当前软件系统依赖大量开源软件库、中间件，这些软件如出现严重漏洞能被利用，攻击者发现后就可能直接攻陷云上系统。

• DevOps的闭环链条非常长，其中某个环节出现不可控的风险，就会危害整个业务系统的安全。例如外包员工将代码仓库外泄到代码平台或自托管的主机，都可能被攻击者所窃取并利用。在2021年的3月份就曾爆出PHP的Git服务器被入侵，源代码被添加后门事件。

因而，未来企业在云上风险发现方面应构建完整的外部攻击面发现的监控体系，包括：

• DevOps软件供应链监控：开发中使用的大量的第三方开源服务或者依赖库，使用的服务镜像，都有可能存在漏洞。

• 云计算基础设施监控，监控Docker、Kubernetes等云计算基础设施，特别是对外暴露的服务与自身的安全漏洞，可对云上云原生服务组件潜在的脆弱性进行快速识别或无害性高精度验证。

• 微服务安全：微服务依赖的服务网格，各种服务发现组件，消息队列等中间件，对外暴露的大量API等安全风险。

• 公开服务配置监控：例如Kubernetes的API对外未授权暴露可导致攻击者接管整个Kubernetes集群，恶意利用集群资源集群。

• 源代码仓库监控：通过对云上的资产进行持续测绘，获取源码仓库的特征利用人工智能识别仓库真实属主，并对存在错误配置或者未授权的仓库进行仓库内容分析识别。具体包括以下功能：代码仓库基础信息识别；识别代码仓库地区信息、人名信息、组织机构信息等；发现代码仓库中的敏感信息，如个人隐私、SQL数据库账号密码、服务器公私钥等；归因代码仓库相关领域、开发和发布机构等。

图6. 绿盟科技云上风险发现全景

图7. 绿盟科技DevOps资产测绘引擎

云原生环境中，应用由传统的单体架构转向微服务架构，云计算模式也向为函数即服务（Function as a Service，FaaS）发展。应用架构和云计算模式的变革会导致进一步的风险，如：

• 云原生应用架构的变化进而导致应用API交互的增多，大部分交互模式已从Web请求/响应转向各类API请求/响应 ，例如RESTful/HTTP、gRPC等。

• 由于应用架构变革，云原生应用遵循面向微服务化的设计方式，从而导致功能组件化、服务API数量和东西向流量激增，配置复杂等问题，进而为云原生应用和业务带来了新的风险，例如攻击者可利用某服务API漏洞，在内部容器网络进行横向移动，造成数据泄露的后果。

• 无服务器计算是一类新的云计算模式，在提升整体开发效率的同时，也引入新的风险，如拒绝钱包服务攻击（Denial of Wallet DoW）、函数滥用等。

因而，未来企业应具备面向云原生应用和API的安全防护体系，包括：

• 微服务API资产发现：提供微服务API资产信息、API调用链路追踪及关联关系，同时，提供基于IP/域名/业务/API数据实体多角度资产画像可视化，数据标签、数据风险、安全事件探索以及全方位的访问记录可视化能力。

• 微服务API业务安全：基于基线的异常检测可对微服务业务间调用异常序列、参数、逻辑等进行异常行为告警。

• 微服务API安全网关：提供针对微服务应用场景下的全流量防护能力，可适应云原生环境下应用普遍容器化、面向微服务架构、容器编排调度等特性，解决微服务间东西向流量难以防护的问题，特别对微服务API滥用、Webshell连接上传、SQL注入等常见攻击有着较为明显的防护效果。

技术实现上，绿盟科技提供了两种解决方案，分别支持Kubernetes以及Service Mesh场景

图8. 云原生API解决方案简要示意图

绿盟科技星云实验室始终致力于云安全技术的研究与创新，自2018年成立以来，先后孵化了云安全解决方案、SOAR系统和容器安全解决方案；在业界和学界得到广泛应用；同时，分别于2016年和2021年出版《软件定义安全：SDN/NFV新型网络的安全揭秘》和《云原生安全：攻防实践与体系构建》两本云安全专业著作；在国内外高规格会议、期刊上发表或与高校团队合作发表多篇学术论文；先后发布《软件定义安全SDS白皮书》《容器安全技术报告》《云原生安全技术报告》等行业技术报告，受到业界广泛好评；积极参与行业标准、白皮书编写，牵头制订了CSA《云原生安全技术规范》，参与《云计算安全技术要求》《云原生安全成熟度模型》和《云原生架构安全白皮书》等的编写工作；积极进行技术分享，曾在OpenInfra Asia&China、CIS、KCon、XCon等国内外高规格大会上分享安全研究；除此之外，星云实验室还在“绿盟科技研究通讯”上长期分享云安全前沿研究成果。

相关阅读

云时代安全防护硬实力｜绿盟科技荣获CSA四项大奖