阿里云優(yōu)惠券 先領券再下單

云原生技術蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務創(chuàng)新的重要推動力。Gartner報告指出，2022年將有75%的全球化企業(yè)會在生產中使用云原生的容器化應用。到2025年，超過95%的新云工作負載將部署在云原生平臺上。

但不可忽視的是，云原生在創(chuàng)造效益的同時，也在重塑整個應用生命周期，由此帶來了新的應用安全隱患。

云原生應用變革帶來三大安全風險

隨著以容器、微服務、服務網格為代表的云原生技術被廣泛使用，企業(yè)從由虛擬機驅動的基本云環(huán)境轉變?yōu)榉植际?、基于微服務的云原生環(huán)境。

在瑞數(shù)信息技術總監(jiān)吳劍剛看來，云原生技術帶來了應用形態(tài)的變化：一方面，云原生為應用帶來了更好的韌性、適用性、故障自愈率等；另一方面，云原生應用遵循面向微服務化的設計方式，導致應用數(shù)量快速增長，應用更加分散、配置更加復雜，同時應用間交互也帶來了API數(shù)量的指數(shù)級增長，進而為云原生應用和業(yè)務帶來了新的風險。

吳劍剛表示，云原生環(huán)境帶來的應用風險大致可分為三類：

● 傳統(tǒng)應用安全風險

云原生應用源于傳統(tǒng)應用，因而云原生應用風險也繼承了傳統(tǒng)應用的風險，例如：失效的對象級授權、失效的用戶身份認證、注入攻擊、過度的數(shù)據(jù)暴露、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控等風險。

其中，開源組件代碼漏洞正在成為云原生環(huán)境中常見的風險。云原生技術大量使用開源代碼，企業(yè)很難規(guī)避開源代碼庫漏洞，由此為云原生應用的安全帶來了更多不確定性。

● API安全風險

API大量出現(xiàn)是云原生環(huán)境的一大特點，目前針對API的攻擊已成為一個重要方向。針對API的常見網絡攻擊包括：重放攻擊、DDoS 攻擊、注入攻擊、中間人攻擊、內容篡改、參數(shù)篡改等。這些新型的安全威脅正在變得更加復雜化、多樣化、隱蔽化、自動化。

同時，由于API接口被大量調用，很多企業(yè)API資產不清、責任不清，API濫用正在成為黑客攻擊的主要入口，為企業(yè)帶來巨大的數(shù)據(jù)泄露風險。

● 業(yè)務安全風險

隨著數(shù)字化業(yè)務快速增長，APP、微信、小程序、H5 等多種業(yè)務接入渠道產生，API接口大量被調用，帶來了相應的業(yè)務安全風險。

一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，逆向成功后，直接調用API接口就可以獲取用戶信息、敏感數(shù)據(jù)、辦理業(yè)務等，實施業(yè)務欺詐。另一方面，API接口承載著敏感數(shù)據(jù)，經常面臨接口越權、未授權訪問等安全威脅，攻擊者通過各類Bots模擬真實用戶、批量化業(yè)務操作，很容易實現(xiàn)業(yè)務攻擊。

云原生呼喚新型應用安全技術

隨著云原生技術應用的普及，在未來數(shù)年內，云原生架構帶來的風險將成為攻擊者關注和利用的重點，傳統(tǒng)基于邊界的防護模型已不能完全滿足云原生的安全需求。

在云原生環(huán)境下，邊界變得模糊而且更細粒，安全防護無法再依賴傳統(tǒng)的邊界；再加上云原生架構的多租戶、虛擬化、快速彈性伸縮等特點，都對傳統(tǒng)邊界安全防護技術提出了新的挑戰(zhàn)。

瑞數(shù)信息技術總監(jiān)吳劍剛表示，為了探索一條更適合云原生時代的持續(xù)安全之路，瑞數(shù)信息從2018年就開啟了云原生應用安全技術的研究，成為業(yè)內最早一批基于云原生技術推出WAAP（集Web應用防護、Bot防護、DDoS防御、API保護于一體）產品的安全廠商。

在整體架構上，瑞數(shù)信息全線產品實現(xiàn)了云原生架構重構，既可以提供本地化部署，也可以部署在容器上。同時，為了保持云原生應用的運行效率，瑞數(shù)信息的產品采用了云原生輕量架構，將檢測流量和業(yè)務流量分離，通過對檢測流量的旁路式輕量校驗，將客戶的業(yè)務流量時延增加壓縮在5ms以內，滿足互聯(lián)網業(yè)務高性能、高敏捷的需求。

在防護維度上，瑞數(shù)信息針對云原生架構增加了流量采集層級，從node、pod、agent三個層面對流量進行全方位監(jiān)測，將南北向、東西向流量管控起來，實現(xiàn)更細顆粒度的安全隔離機制，有效防止網絡威脅在云平臺內部肆意蔓延。

面對云原生架構帶來的三類安全風險，吳劍剛表示瑞數(shù)WAAP動態(tài)安全平臺在提供傳統(tǒng)Web安全防御能力的同時，也能輕松應對新興和快速變化的Bots攻擊、0day攻擊和應用DDoS攻擊，助力用戶打造覆蓋Web、APP、云原生應用和API資產的主動防護體系。

● WEB安全防護能力： 基于“動態(tài)安全引擎”“智能威脅檢測引擎”“規(guī)則引擎”協(xié)同工作，瑞數(shù)WAAP動態(tài)安全平臺采用輕量級簽名和特征規(guī)則，即可對手動攻擊、自動化攻擊提供更為高效全面的Web應用防護能力，實現(xiàn)縱深防御。

API安全防護能力：瑞數(shù)WAAP動態(tài)安全平臺采用智能威脅檢測技術、行為分析技術，通過API感知、發(fā)現(xiàn)、監(jiān)控分析和保護四大模塊，實現(xiàn)對API全生命周期的安全防護管理。

● 惡意機器人（Bot）保護能力： 針對Bot自動化工具的識別與防御是瑞數(shù)信息產品最突出的能力之一。瑞數(shù)WAAP動態(tài)安全平臺通過“動態(tài)混淆技術”，對服務器網頁底層代碼的進行持續(xù)動態(tài)變換，讓攻擊者無從下手；通過“人機識別技術”，實現(xiàn)對訪問客戶端真實性的識別，實現(xiàn)從用戶端到服務器端的全方位“主動防護”，有效打擊模擬真實用戶的各種自動化攻擊和業(yè)務欺詐行為。

● 應用層DDoS防護能力： 區(qū)別于傳統(tǒng)限頻的防護技術，瑞數(shù)WAAP動態(tài)安全平臺基于獨特的Bot防護能力，抓住CC攻擊都是工具發(fā)起的特點，通過工具防護，實現(xiàn)對業(yè)務/應用層的CC攻擊的防護。

以API安全防護為例，吳劍剛表示，傳統(tǒng)API安全網關產品主要是在API請求的身份認證、權限管控、請求內容校驗與過濾以及API流量限速等方面進行防護，但是這些防護功能都與應用開發(fā)高度相關，應用程序修改后往往也需要修改API安全網關的配置，造成的部署與維護成本都極為高昂。

但實際上云原生環(huán)境下的API功能在不斷擴充與加強，貫穿了整個產品交付的流程，需要結合云原生架構對API全生命周期進行監(jiān)測和管控。這也是為什么瑞數(shù)信息會推出API安全管控平臺（API BotDefender）的原因，從API接入客戶端覆蓋到API服務器端，包括API資產管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

基于瑞數(shù)信息全程式API安全威脅防護，企業(yè)可以實現(xiàn)自動化的API資產發(fā)現(xiàn)、API資產全生命周期管理、精準API畫像構建、全渠道感知API、API敏感數(shù)據(jù)管控、API攻擊防護、API濫用防護、API訪問行為管控、動態(tài)響應防護等。

吳劍剛表示，在云原生環(huán)境下，企業(yè)面臨的攻擊面更廣，因此更應該定義自己的核心資產，從應用視角梳理核心資產、業(yè)務和場景來進行防護。瑞數(shù)云原生安全產品正是順應了安全視角轉變的趨勢，對核心資產進行挖掘和保護，并通過輕量級架構和檢測方式為云原生應用降本增效。

目前，瑞數(shù)信息是國內首批通過中國信通院“云原生API安全能力”和“WAAP能力”評估認證的安全廠商；其中，瑞數(shù)WAAP動態(tài)安全平臺還榮獲了中國信通院“云原生安全技術創(chuàng)新優(yōu)秀案例”獎項。這充分彰顯了瑞數(shù)信息在云原生應用安全領域的領導地位，在安全能力、功能全面性、產品穩(wěn)定性、性能等各個方面為企業(yè)客戶提供了信心。

結語

云原生給業(yè)務帶來敏捷積極影響的同時，也帶來了全新的安全挑戰(zhàn)，企業(yè)需要不斷更新安全理念、采用多維度、多技術提高安全的包容性，并將安全策略和業(yè)務結合起來優(yōu)化，才能真正將云原生安全落地。瑞數(shù)信息作為云原生安全領域的領先廠商，將幫助更多企業(yè)用戶提升應對IT風險的免疫力，落地云原生應用安全最佳實踐。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！