域名預(yù)訂/競價，好“米”不錯過

云原生技術(shù)蓬勃發(fā)展，已成為賦能企業(yè)業(yè)務(wù)創(chuàng)新的重要推動力。Gartner報告指出，2022年將有75%的全球化企業(yè)會在生產(chǎn)中使用云原生的容器化應(yīng)用。到2025年，超過95%的新云工作負(fù)載將部署在云原生平臺上。

但不可忽視的是，云原生在創(chuàng)造效益的同時，也在重塑整個應(yīng)用生命周期，由此帶來了新的應(yīng)用安全隱患。

云原生應(yīng)用變革帶來三大安全風(fēng)險

隨著以容器、微服務(wù)、服務(wù)網(wǎng)格為代表的云原生技術(shù)被廣泛使用，企業(yè)從由虛擬機驅(qū)動的基本云環(huán)境轉(zhuǎn)變?yōu)榉植际?、基于微服?wù)的云原生環(huán)境。

在瑞數(shù)信息技術(shù)總監(jiān)吳劍剛看來，云原生技術(shù)帶來了應(yīng)用形態(tài)的變化：一方面，云原生為應(yīng)用帶來了更好的韌性、適用性、故障自愈率等；另一方面，云原生應(yīng)用遵循面向微服務(wù)化的設(shè)計方式，導(dǎo)致應(yīng)用數(shù)量快速增長，應(yīng)用更加分散、配置更加復(fù)雜，同時應(yīng)用間交互也帶來了API數(shù)量的指數(shù)級增長，進而為云原生應(yīng)用和業(yè)務(wù)帶來了新的風(fēng)險。

吳劍剛表示，云原生環(huán)境帶來的應(yīng)用風(fēng)險大致可分為三類：

● 傳統(tǒng)應(yīng)用安全風(fēng)險

云原生應(yīng)用源于傳統(tǒng)應(yīng)用，因而云原生應(yīng)用風(fēng)險也繼承了傳統(tǒng)應(yīng)用的風(fēng)險，例如：失效的對象級授權(quán)、失效的用戶身份認(rèn)證、注入攻擊、過度的數(shù)據(jù)暴露、使用含有已知漏洞的組件、不足的日志記錄和監(jiān)控等風(fēng)險。

其中，開源組件代碼漏洞正在成為云原生環(huán)境中常見的風(fēng)險。云原生技術(shù)大量使用開源代碼，企業(yè)很難規(guī)避開源代碼庫漏洞，由此為云原生應(yīng)用的安全帶來了更多不確定性。

● API安全風(fēng)險

API大量出現(xiàn)是云原生環(huán)境的一大特點，目前針對API的攻擊已成為一個重要方向。針對API的常見網(wǎng)絡(luò)攻擊包括：重放攻擊、DDoS 攻擊、注入攻擊、中間人攻擊、內(nèi)容篡改、參數(shù)篡改等。這些新型的安全威脅正在變得更加復(fù)雜化、多樣化、隱蔽化、自動化。

同時，由于API接口被大量調(diào)用，很多企業(yè)API資產(chǎn)不清、責(zé)任不清，API濫用正在成為黑客攻擊的主要入口，為企業(yè)帶來巨大的數(shù)據(jù)泄露風(fēng)險。

● 業(yè)務(wù)安全風(fēng)險

隨著數(shù)字化業(yè)務(wù)快速增長，APP、微信、小程序、H5 等多種業(yè)務(wù)接入渠道產(chǎn)生，API接口大量被調(diào)用，帶來了相應(yīng)的業(yè)務(wù)安全風(fēng)險。

一方面，小程序這類新興線上渠道被攻擊者逆向難度很低，逆向成功后，直接調(diào)用API接口就可以獲取用戶信息、敏感數(shù)據(jù)、辦理業(yè)務(wù)等，實施業(yè)務(wù)欺詐。另一方面，API接口承載著敏感數(shù)據(jù)，經(jīng)常面臨接口越權(quán)、未授權(quán)訪問等安全威脅，攻擊者通過各類Bots模擬真實用戶、批量化業(yè)務(wù)操作，很容易實現(xiàn)業(yè)務(wù)攻擊。

云原生呼喚新型應(yīng)用安全技術(shù)

隨著云原生技術(shù)應(yīng)用的普及，在未來數(shù)年內(nèi)，云原生架構(gòu)帶來的風(fēng)險將成為攻擊者關(guān)注和利用的重點，傳統(tǒng)基于邊界的防護模型已不能完全滿足云原生的安全需求。

在云原生環(huán)境下，邊界變得模糊而且更細(xì)粒，安全防護無法再依賴傳統(tǒng)的邊界；再加上云原生架構(gòu)的多租戶、虛擬化、快速彈性伸縮等特點，都對傳統(tǒng)邊界安全防護技術(shù)提出了新的挑戰(zhàn)。

瑞數(shù)信息技術(shù)總監(jiān)吳劍剛表示，為了探索一條更適合云原生時代的持續(xù)安全之路，瑞數(shù)信息從2018年就開啟了云原生應(yīng)用安全技術(shù)的研究，成為業(yè)內(nèi)最早一批基于云原生技術(shù)推出WAAP（集Web應(yīng)用防護、Bot防護、DDoS防御、API保護于一體）產(chǎn)品的安全廠商。

在整體架構(gòu)上，瑞數(shù)信息全線產(chǎn)品實現(xiàn)了云原生架構(gòu)重構(gòu)，既可以提供本地化部署，也可以部署在容器上。同時，為了保持云原生應(yīng)用的運行效率，瑞數(shù)信息的產(chǎn)品采用了云原生輕量架構(gòu)，將檢測流量和業(yè)務(wù)流量分離，通過對檢測流量的旁路式輕量校驗，將客戶的業(yè)務(wù)流量時延增加壓縮在5ms以內(nèi)，滿足互聯(lián)網(wǎng)業(yè)務(wù)高性能、高敏捷的需求。

在防護維度上，瑞數(shù)信息針對云原生架構(gòu)增加了流量采集層級，從node、pod、agent三個層面對流量進行全方位監(jiān)測，將南北向、東西向流量管控起來，實現(xiàn)更細(xì)顆粒度的安全隔離機制，有效防止網(wǎng)絡(luò)威脅在云平臺內(nèi)部肆意蔓延。

面對云原生架構(gòu)帶來的三類安全風(fēng)險，吳劍剛表示瑞數(shù)WAAP動態(tài)安全平臺在提供傳統(tǒng)Web安全防御能力的同時，也能輕松應(yīng)對新興和快速變化的Bots攻擊、0day攻擊和應(yīng)用DDoS攻擊，助力用戶打造覆蓋Web、APP、云原生應(yīng)用和API資產(chǎn)的主動防護體系。

● WEB安全防護能力： 基于“動態(tài)安全引擎”“智能威脅檢測引擎”“規(guī)則引擎”協(xié)同工作，瑞數(shù)WAAP動態(tài)安全平臺采用輕量級簽名和特征規(guī)則，即可對手動攻擊、自動化攻擊提供更為高效全面的Web應(yīng)用防護能力，實現(xiàn)縱深防御。

API安全防護能力：瑞數(shù)WAAP動態(tài)安全平臺采用智能威脅檢測技術(shù)、行為分析技術(shù)，通過API感知、發(fā)現(xiàn)、監(jiān)控分析和保護四大模塊，實現(xiàn)對API全生命周期的安全防護管理。

● 惡意機器人（Bot）保護能力： 針對Bot自動化工具的識別與防御是瑞數(shù)信息產(chǎn)品最突出的能力之一。瑞數(shù)WAAP動態(tài)安全平臺通過“動態(tài)混淆技術(shù)”，對服務(wù)器網(wǎng)頁底層代碼的進行持續(xù)動態(tài)變換，讓攻擊者無從下手；通過“人機識別技術(shù)”，實現(xiàn)對訪問客戶端真實性的識別，實現(xiàn)從用戶端到服務(wù)器端的全方位“主動防護”，有效打擊模擬真實用戶的各種自動化攻擊和業(yè)務(wù)欺詐行為。

● 應(yīng)用層DDoS防護能力： 區(qū)別于傳統(tǒng)限頻的防護技術(shù)，瑞數(shù)WAAP動態(tài)安全平臺基于獨特的Bot防護能力，抓住CC攻擊都是工具發(fā)起的特點，通過工具防護，實現(xiàn)對業(yè)務(wù)/應(yīng)用層的CC攻擊的防護。

以API安全防護為例，吳劍剛表示，傳統(tǒng)API安全網(wǎng)關(guān)產(chǎn)品主要是在API請求的身份認(rèn)證、權(quán)限管控、請求內(nèi)容校驗與過濾以及API流量限速等方面進行防護，但是這些防護功能都與應(yīng)用開發(fā)高度相關(guān)，應(yīng)用程序修改后往往也需要修改API安全網(wǎng)關(guān)的配置，造成的部署與維護成本都極為高昂。

但實際上云原生環(huán)境下的API功能在不斷擴充與加強，貫穿了整個產(chǎn)品交付的流程，需要結(jié)合云原生架構(gòu)對API全生命周期進行監(jiān)測和管控。這也是為什么瑞數(shù)信息會推出API安全管控平臺（API BotDefender）的原因，從API接入客戶端覆蓋到API服務(wù)器端，包括API資產(chǎn)管理、攻擊防護、敏感數(shù)據(jù)管控和訪問行為管控四大模塊，為API接口提供完整的安全管控方案。

基于瑞數(shù)信息全程式API安全威脅防護，企業(yè)可以實現(xiàn)自動化的API資產(chǎn)發(fā)現(xiàn)、API資產(chǎn)全生命周期管理、精準(zhǔn)API畫像構(gòu)建、全渠道感知API、API敏感數(shù)據(jù)管控、API攻擊防護、API濫用防護、API訪問行為管控、動態(tài)響應(yīng)防護等。

吳劍剛表示，在云原生環(huán)境下，企業(yè)面臨的攻擊面更廣，因此更應(yīng)該定義自己的核心資產(chǎn)，從應(yīng)用視角梳理核心資產(chǎn)、業(yè)務(wù)和場景來進行防護。瑞數(shù)云原生安全產(chǎn)品正是順應(yīng)了安全視角轉(zhuǎn)變的趨勢，對核心資產(chǎn)進行挖掘和保護，并通過輕量級架構(gòu)和檢測方式為云原生應(yīng)用降本增效。

目前，瑞數(shù)信息是國內(nèi)首批通過中國信通院“云原生API安全能力”和“WAAP能力”評估認(rèn)證的安全廠商；其中，瑞數(shù)WAAP動態(tài)安全平臺還榮獲了中國信通院“云原生安全技術(shù)創(chuàng)新優(yōu)秀案例”獎項。這充分彰顯了瑞數(shù)信息在云原生應(yīng)用安全領(lǐng)域的領(lǐng)導(dǎo)地位，在安全能力、功能全面性、產(chǎn)品穩(wěn)定性、性能等各個方面為企業(yè)客戶提供了信心。

結(jié)語

云原生給業(yè)務(wù)帶來敏捷積極影響的同時，也帶來了全新的安全挑戰(zhàn)，企業(yè)需要不斷更新安全理念、采用多維度、多技術(shù)提高安全的包容性，并將安全策略和業(yè)務(wù)結(jié)合起來優(yōu)化，才能真正將云原生安全落地。瑞數(shù)信息作為云原生安全領(lǐng)域的領(lǐng)先廠商，將幫助更多企業(yè)用戶提升應(yīng)對IT風(fēng)險的免疫力，落地云原生應(yīng)用安全最佳實踐。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！