云原生应用安全防护技术研究●宋胜攀刘振慧庄东燃/中国航空工业发展研究中心【摘要】云平台及应用在企业数字化转型和创新发展中发挥着重要基础作用。本文概述了企业云原生应用的现状,在此基础上深入分析了企业云原生应用面临的安全风险和隐患,并提出构筑安全防护体系的建议。【关键词】云原生应用云原生应用安全安全防护体系交互式应用安全测试【中图分类号】TP393.08;TP309【文献标识码】A1引言数字化转型浪潮下,云原生技术的发展和应用突飞猛进。根据《中国云原生用户调查报告(2021年)》[1],2021年云原生技术领域的建设投入、集群规模持续走高,用户应用及软件发布也更加频繁。基于微服务架构构建新应用是主要建设方式,已有54.81%的用户使用微服务架构进行应用开发。用户侧纳管集群规模整体都在扩增。在用户生产环境中,容器技术的采纳率已接近70%,无服务器(Serverless)架构技术也持续升温,应用用户达近40%。可见,云原生技2022年12月|保密科学技术|45网络防护术已是大势所趋。同时该调查还显示,企业在云原生安全领域的能力建设尚在起步,系统的安全防护能力已成为各企业重点关注的问题;在本次调研中,63.15%的企业关注应用程序接口(ApplicationProgramInterface,API)间的认证鉴权,57.59%的企业关注微服务流量的入侵检测,54.63%的企业关注微服务每次迭代时的代码安全扫描。除了传统安全问题外,云原生还面临一些新的安全挑战。2云原生应用安全现状2022年3月,美国加州提供云容器监控服务的Sysdig公司发布《2022年云原生安全和使用报告》[2]。该报告显示,随着云原生技术的不断成熟,越来越多的企业步入了云原生化的进程,但75%的运行容器中存在“高危”或“严重”漏洞,75%的镜像含有严重程度为“高危”或“严重”的可修补漏洞,潜在的安全风险很大,但企业为了快速发展往往会忽视安全风险;73%的云账户包含暴露的S3对象存储桶,而36%的现有S3对象存储桶对公众开放访问,数据面临泄露危险;27%的用户拥有不必要的根(root)权限,大多数没有启用多因子认证(Multi-factorAuthentication,MFA),这使得企业在云账户凭据泄露或被盗时更容易遭受攻击。尽管云原生在企业中的应用越来越广泛和深入,为其业务发展带来诸多便利,但如果安全防护不到位,将面临潜在的安全威胁。例如,2021年12月发现的ApacheLog4j2远程代码执行漏洞(CVE-2021-44832)危害十分严重,而Log4j2作为Java语言使用范围极广的基础日志组件被大量应用系统使用...
