【成功案例】适用于AWS Fargate 无服务器的云原生安全解决方案

发布时间: 2022-06-16      作者:并擎科技




Gartner报告指出,2022年将有75%的全球化企业会在生产中使用云原生的容器化应用。云原生生态持续扩大,基本覆盖云原生生命周期的全技术链,比如容器编排、微服务架构、不可变基础设施、CI/CD、DevOps等在内的代表性技术。云原生强势发展,越来越多的企业开始全力推进应用上云。当企业将业务迁移至AWS云环境时,通常利用的是AWS Fargate容器的无服务器计算模式。同时,企业需要依据行业监管合规要求,加入相应的“等保”准则——即网络安全等级保护要求,并进一步加强安全合规检测以确保业务安全,形成云原生业务的防护体系标准,进而保障企业业务的连续性。








云安全态势管理及等保风险分析




云原生业务场景非常广泛,需要为不同的业务场景定制不同的安全场景。当企业业务在AWS Fargate中运行时, 如果基础设施没有得到正确的配置和持续的监控,应用程序和企业就会面临风险。Aqua Security能够在保障企业安全上云的基础上,对任何已识别的风险进行持续监控和报警,采取适当补救及操作行为,并做到:


  1. 满足相关的合规准则、等保制度、安全防护,并建立一套企业云原生全生命周期防护体系;
  2. 严格遵守PCI-DSS等监管标准,符合PCI\GDPR及本地级保护、网络安全法和个人信息保护法等;
  3. 将企业的关键数据资产作为风险评估过程的一部分进行识别。


当企业在ECS(Elastic Container Service)控制台创建Fargate集群时,对其运行底层容器实例往往缺乏可见性或管理权限,更不清楚应用代码将在哪些节点上运行,能看到的仅仅是Fargate容器的网络设置。 


下图为Fargate 架构示意图:



图1:Fargate 架构示意图


而由于Fargate平台的特殊性,缺乏内部可视化的环境会导致在合规性方面难以审计。Aqua Security能最大程度地满足企业在Fargate环境下,对运行的容器工作负载进行合规审计的需要,以等保为例,Aqua Security可以满足Fargate环境下对于等保规范的技术要求对应,如下表所示:



图2: 对于等保规范的技术要求对应


Aqua Security为企业在AWS Fargate使用的业务提供了必要的信息系统等级保护合规,充分满足了对安全通信网络、安全区域边界及安全管理中准则落实本地等保合规监管要求。





适用于AWS Fargate 的云原生安全架构




通过Aqua Security -MicroEnforcer组件,部署至AWS Fargate 平台,从而提供嵌入式的实时保护,建立企业容器安全的统一防护管理平台。在构建过程中,将Aqua MicroEnforcer代码注入到镜像中(保证不可变基础原则),即可了解容器资源运行至哪个节点,甚至在非生产环境中也可以做到。平台内集成多个日志管理的集成接口如Amazon CloudWatch , Webhook, Splunk, IBM QRadar等,可将告警事件传递,并利用Aqua Security微服务架构的优势,当企业业务扩展时,能持续增加Aqua Security组件横向扩容,保障业务连续性贯穿云原生容器安全整体的生命周期。


基本部署架构如下图所示:



图3: 基本部署架构





安全防护建设





等保及安全合规:


制定技术标准需要依据相关的法规和条例,应参照国际的安全合规标准(如CIS Benchmarks)或行业标准,主要目的是消除与国际标准间的差异。运用Aqua Security解决方案能快速为企业组织的技术需求和管理体系提供统一的云原生安全基线及内部的统一标准, 确保业务满足相关法规及合规,落实云原生安全技术规范,并且能定期建立合规风险的识别与评估。


保护构建阶段:


在软件开发生命周期的每个阶段自动集成安全性--从最初的设计到集成、测试、部署直至软件交付。 利用CI/CD Pipeline (持续集成/持续交付) 交付应用及软件,企业能将安全测试集成到运营团队的自动化测试套件中,根据不同的流程识别不同的关键安全问题,通过侦测和漏洞扫描方式使用静态与动态技术,确保容器镜像介质、来源、合规性及安全性都呈现健康良性;如果发现问题,可以立即自动化阻断安全风险。


保护基础架构阶段:


当企业组织使用AWS Fargate 无服务器平台时,Aqua可提供丰富的自定义合规检查模板(Custom Compliance Checks Templet ) ,建立CIS benchmark配置,以确保AWS基础架构及企业应用K8s集群的合规与安全设置。当企业使用容器编排工具及主机资源时,需将安全考虑在内,近年来持续被爆出的容器逃逸漏洞、提权、远程利用、挖矿等恶意攻击方式将对容器业务造成直接影响,企业安全管理部门应在第一时间立即处置并予以修复。


保护工作负载阶段:


在企业组织的生产环境中,利用“鹰眼”视角展现容器组织资产风险雷达图,可以清晰了然当前容器资产安全级别与企业关系。通过流量安全基线,在容器资源运行后,利用运行时安全策略更有效地保护容器对象,通过如 Drift Prevention、File Integration Monitoring文件完整性监控等技术来消除威胁。




在容器网络环境中,网络安全风险检测复杂且困难,需要对东西向和南北向流量的可视化更进一步地提高网络访问的安全性,容器微隔离制定规则,容器资源对象对非授权访问进行控制,并限制恶意连接。并且,企业需要持续聚焦资源负载指标,以确保系统性能的指标运行在合理范围区间内。





方案亮点



  • Aqua Security解决方案满足《云原生安全技术规范》、《容器安全检测产品安全技术要求》标准,并在AWS云平台落实保护云原生安全合规和等级保护。
  • Aqua Security是业内最早专注于云原生安全领域解决方案的云原生安全厂商之一,倡导云原生安全容器全生命周期管理方法论,并提供预防、检测和响应自动化服务,落实AWS云基础架构平台、供应链软件安全防护、运行时工作负载的安全保护及监控。
  • Aqua Security提供无缝衔接并能够满足企业组织在Fargate以及在节点/主机上运行的容器工作负载的解决方案。
  • 满足AWS云平台基础架构针对CIS Benchmarks & K8S集群环境的安全基线合规检查。
  • 在容器资源运行时能覆盖静态及动态的行为分析,能更加精准识别风险并阻止逃逸漏洞,无文件,挖矿等攻击。
  • 鹰眼视角展现容器资产关系图与风险雷达图,充分保障资产对象安全和细颗粒度网络流访问控制。
  • 满足企业安全审计合规需求,事件日志全记录且能储存至少180天,关联安全事件分析平台,建立安全处置流程。







关于并擎科技Binqsoft


上海并擎软件科技有限公司(简称“并擎科技”, www.binqsoft.com)成立于2009年,是一家深耕于网络安全领域,提供相关解决方案与技术服务的高新技术企业。并擎科技总部位于上海,在北京、广州和深圳设有分支机构,公司核心人员来自Microsoft、HP、MorganStanley等知名IT和金融企业,具有丰富的技术积淀和管理经验

 

并擎科技基于业内领先的解决方案、雄厚的技术实力以及丰富的服务经验,为互联网、金融、能源、制造、交通、医疗、零售等行业的广大用户,提供优质多元的解决方案和专业高效的技术服务。

 

并擎科技践行“用心服务、共铸安全”的服务理念,凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的支持服务能力等优势,携手多家知名安全厂商,向众多用户提供优质的解决方案和专业的技术服务。