- 云原生安全:攻防实践与体系构建
- 刘文懋 江国龙 浦明 阮博男 叶晓虎
- 804字
- 2021-11-04 18:12:21
1.4.2 如何降低安全运营成本
在前面的小节中,我们提到在应对短生命周期的容器环境时,防守者会调整异常检测、行为分析的机制。但这种技术路线有两个问题:第一是成本较高,对大量容器中的进程行为进行检测、分析、规则匹配会消耗宿主机大量的处理器和内存资源,日志传输会占用较多网络带宽,行为检测则会消耗平台侧很多计算资源;第二是存在误报,虽然微服务场景下容器运行的进程行为模式可预测度较高,但比如从CPU占用率的特征来判断是否运行了挖矿软件,显然会造成很多误报,而当环境中容器数量巨大时,对应的安全运营成本就会急剧增加。
安全的本质在于对抗以及攻防投入产出比的平衡。从攻击方的视角看,由于容器的短生命周期,攻击容器的代价较高,而收益较小;但对第三方软件库、项目依赖的镜像“投毒”的持久化代价较小,而其收益远高于攻击容器。
那么从防守者的视角看,如何在降低安全运营成本的同时,提升安全防护效果呢?这两年,业界有一个词比较流行:Shift Left(安全左移)[1]。将软件的生命周期从左到右展开,即开发、测试、集成、部署、运行阶段,安全左移的含义就是将安全防护从传统运行时运营(Ops)转向开发侧(Devs)。
早期防微杜渐的成本永远小于一溃千里后再修复的代价,而且往往发现问题越早,修复效果越好,这种经验在很多场合下都是适用的。以云原生的场景为例,白盒代码的审计难度远远小于对黑盒服务的渗透测试和安全评估,而且由于能掌握代码的跳转逻辑、参数信息,其准确率也相当高;检查镜像的文件系统脆弱性的难度远远小于运行时的恶意攻击检测,而且由于掌握精确的版本和漏洞信息,能够准确知道攻击者的尝试是否成功,效果远好于网络侧的入侵检测。
因此,安全团队要想降低云原生场景下的安全运营成本,提升运营效率,那么首先就应考虑防护思路的转换,贯彻“安全左移”的策略,从重视运行时安全转向先从开发侧解决最基本和最容易的问题。
[1] 有一家做容器安全的公司就叫ShiftLeft,这家公司进入了RSA 2019年大会的创新沙盒决赛。