416
攻擊與響應:雲原生網絡安全與虛擬機安全
雲原生工作負載和容器本質上是不同的。人們需要了解如何保持安全,首先要了解不斷變化的威脅性質。那麼哪個更安全:虛擬機(VM)還是容器?事實是,確保容器和雲原生工作負載的安全與虛擬機不同,這一切都要從了解攻擊和響應以及不斷變化的威脅的性質開始。
多年來,安全生態係統一直處於響應狀態。當攻擊發生時,立即作出的反應是確保安全元素到位,有助於防止未來的攻擊行為。根據2016年賽門鐵克公司出具的互聯網威脅報告,當今35%的網站存在漏洞。而更持久、更複雜和不斷擴散的威脅要求安全團隊重新考慮他們的方法。
雲原生安全性可以為企業提供更強大的防範攻擊的能力,從而創建一個密閉的安全環境。因此,首先從了解當今的威脅環境開始。
病毒的威脅
破壞數據中心的威脅類型相對簡單。通常其對手是一些編寫腳本來尋找已知的漏洞的不素之客,並使用已知的工具來利用在企業環境中運行的舊版本的軟件缺陷。但企業需要防範更複雜的攻擊者,這取決於如何通過應用程序環境、數據中心、域名、子網、公開服務等方麵的調查來阻止其最薄弱的應用程序被居心不良的人發現。
當攻擊者最終找到一個弱點時,他們通常會注入並執行shellcode,從應用程序的邊界到應用程序運行的操作環境。然後攻擊者將嚐試提升其在黑客環境中的權限,目的是連接一個“命令和控製” 遠程控製被攻擊的機器,並繼續探索漏洞。這將為企業造成很多問題。
雲原生的網絡安全是不同的
現在是挑戰傳統智慧的時候了,當談到傳統的虛擬機環境和被動策略時,虛擬機上的任何東西都需要關注,無論是機器瀏覽還是攻擊應用程序的人。雲原生網絡安全采取不同的方法。一方麵通過使應用程序本身歸零,另一方麵將其回溯到應用程序的創建過程,其安全性開始實施的時間更早一些。
按照上述威脅情形,將討論容器和雲端網絡安全與虛擬機安全性不同的三種方式,以及為什麼它更適合於當今的威脅。
(1)防範漏洞
在上麵的攻擊中,采用腳本進行攻擊的居心不良的人能夠發現已知的漏洞並進行破壞。在雲原生環境中,企業可以在易受攻擊的軟件產生前阻止它們。當開發人員意外將已知漏洞或甚至不符合規定的漏洞投入生產時,需要立即被標記,而不會影響生產環境。
工作負載的不變性以及將某些產品推向生產的情況證明,工作負載需要隨著時間的推移保持合規性。當發現新的漏洞時,它可以讓安全小組能夠準確了解哪些工作負載受到影響,並在解決問題上做出策略。
當涉及到更複雜的攻擊者時,他們的攻擊關鍵是映射一個環境。使用自動編排的雲原生工作負載,企業的微服務會在群集周圍應用,並且隨著時間的推移更難跟蹤。雲原生安全性還允許企業輕鬆檢測掃描嚐試,或者在多台機器上檢測服務異常。
對於傳統的虛擬機來說,幾乎不可能保持純淨環境,並且在一個編排的場景中,它將永遠不會具有與“應用程序”相同的可見性。
(2)預防Shellcode注入
如上所述,攻擊者嚐試並注入shellcode,而企業總是試圖進行阻止。對於未知的漏洞來說,很難做到這一點,甚至對於已知的漏洞也是如此。大多數漏洞在於應用程序層麵,破解具體的應用程序來防範相關的威脅是很難持續進行的。
雲原生安全性解決了白名單和防範已知威脅的問題。企業可以自動將那些流量列入白名單,並自動將其應用於應用程序。虛擬機安全性完全忽略應用程序特定元素或應用程序的更大背景,特別是在應用程序的IP可能按小時更改的協調係統中。
關於防範已知威脅,現有網絡應用程序防火牆(WAF)的主要問題之一是,為每個暴露的服務正確配置是非常困難的。雲原生安全性也可以提供幫助,因為它可以自動配置WAF以插入特定應用程序,包括在需要時對其進行解密。
(3)提升特權
通常情況下,攻擊者首先要做的是獲取一個允許他們運行任意代碼的shell。如果他們想用在不同的機器,他們可以跳過權限,但是如果他們想要做任何事情,他們必須“脫離”應用程序流。
在這裏,雲原生安全性再次徹底改變了企業的能力。在過去,它是關於猜測攻擊模式的猜測。如今企業可以輕鬆地在主機或微型服務級別部署白名單,並且開發人員可以向用戶顯示應該發生的事情。例如,企業可以阻止行為或對其進行警戒,從而保護最初感染點處的環境。
為什麼它工作
有效的企業安全是雲原生的網絡安全。這是減輕企業風險的一種更加快速的變革方式,抵禦攻擊與反應症狀的根源。它可以幫助企業創建一個更好的安全環境,而不是使用傳統人工與開發人員無關的虛擬機安全。
本文作者:佚名
來源:51CTO
最後更新:2017-11-03 11:34:03