建站
咨詢
售后
建站咨詢
新聞中心
點(diǎn)擊下載《不一樣的 雙11 技術(shù):阿里巴巴經(jīng)濟(jì)體云原生實(shí)踐》
我們提供的服務(wù)有:成都網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、建安ssl等。為上1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的建安網(wǎng)站制作公司
本文節(jié)選自《不一樣的 雙11 技術(shù):阿里巴巴經(jīng)濟(jì)體云原生實(shí)踐》一書,點(diǎn)擊上方圖片即可下載!
作者
湯志敏? 阿里云容器服務(wù)高級技術(shù)專家
汪圣平? 阿里云云平臺安全高級安全專家
導(dǎo)讀:從 Docker image 到 Helm, 從企業(yè)內(nèi)部部署到全球應(yīng)用分發(fā),作為開發(fā)者的我們?nèi)绾蝸肀U蠎?yīng)用的交付安全。本文會從軟件供應(yīng)鏈的***場景開始,介紹云原生時(shí)代的應(yīng)用交付標(biāo)準(zhǔn)演進(jìn)和阿里云上的最佳實(shí)踐。
“沒有集裝箱,就不會有全球化”。在軟件行業(yè)里,Docker 和 Kubernetes 也扮演了類似的角色,加速了軟件行業(yè)的社會化分工和交付運(yùn)維的效率。2013 年, Docker 公司提出了容器應(yīng)用打包規(guī)范 Docker Image,幫助開發(fā)者將應(yīng)用和依賴打包到一個可移植的鏡像里。2015 年,Google 將 Kubernetes 捐獻(xiàn)給 CNCF,進(jìn)一步普及了大規(guī)模容器編排調(diào)度的標(biāo)準(zhǔn)。
Kubernetes?以一種聲明式的容器編排與管理體系,屏蔽了底層基礎(chǔ)架構(gòu)的差異,讓軟件交付變得越來越標(biāo)準(zhǔn)化。隨著 K8s 為代表的云原生技術(shù)的大規(guī)模運(yùn)用,越來越多的容器化應(yīng)用被分發(fā)到 IDC、公共云、邊緣等全球各地。
在 2019 年,阿里云容器鏡像服務(wù) ACR 的月鏡像下載量超過了 3 億次。同年 10 月,阿里云云市場的容器鏡像類目發(fā)布,越來越多的企業(yè)將其軟件以容器的方式進(jìn)行上架和銷售。11 月,天貓 雙11 的所有核心系統(tǒng) 100% 上云,容器鏡像服務(wù) ACR 除了支持 雙11 的內(nèi)部鏡像托管以外,也將內(nèi)部的能力在云上透出,支持更多的 雙11 生態(tài)公司。
接下來我們看下如何保證容器和 Kubernetes 下的軟件供應(yīng)鏈安全,并先熟悉下軟件供應(yīng)鏈的常見***場景。
軟件供應(yīng)鏈***面和典型***場景
軟件供應(yīng)鏈通常包括三個階段:
- 軟件研發(fā)階段
- 軟件交付階段
- 軟件使用階段
在不同階段的***面如下:
歷史上著名的 APPLE Xcode IDE 工具***就是發(fā)生在軟件研發(fā)階段的***,***者通過向 Xcode 中注入惡意后門,在非官方網(wǎng)站提供下載,所有使用此 Xcode 的開發(fā)者編譯出來的 APP 將被感染后門。同樣著名的還有美國的棱鏡門事件,亦是在大量的軟件中植入后門程序,進(jìn)行數(shù)據(jù)獲取等惡意操作。
Kubernetes 中的軟件供應(yīng)鏈***面也包括在以上范圍之中,以軟件使用階段為例,今年 RunC 漏洞 CVE-2019-5736,漏洞本身與 RunC 的運(yùn)行設(shè)計(jì)原理相關(guān),Container 之外的動態(tài)編譯 Runc 被觸發(fā)運(yùn)行時(shí)會引用 Conainer 內(nèi)部的動態(tài)庫,造成 RunC 自身被惡意注入從而運(yùn)行惡意程序,***者只需要在一個 Container 鏡像中放入惡意的動態(tài)庫和惡意程序,誘發(fā)受***者惡意下載運(yùn)行進(jìn)行模糊***,一旦受***者的 Container 環(huán)境符合***條件,既可完成***。
同樣的***面還存在于 Kubernetes?自身服務(wù)組件之中,前段時(shí)間爆出的 HTTP2 CVE-2019-9512、CVE-2019-9514 漏洞就是一個非常好的軟件研發(fā)階段脆弱性的例子,漏洞存在于 GO 語言的基礎(chǔ) LIB 庫中,任何依賴 GO 版本(<1.2.9)所編譯的 KubernetesHTTP2 服務(wù)組件都受此漏洞影響,因此當(dāng)時(shí)此漏洞影響了 K8s 全系列版本,***者可以遠(yuǎn)程 DOS Kubernetes API Server。同時(shí)在 Kubernetes 組件的整個交付過程中也存在著***面,相關(guān)組件存在被惡意替換以及植入的可能性。
不同于傳統(tǒng)的軟件供應(yīng)鏈,鏡像作為統(tǒng)一交付的標(biāo)準(zhǔn)如在容器場景下被大規(guī)模應(yīng)用,因此關(guān)注鏡像的使用周期可以幫助***者更好的設(shè)計(jì)***路徑。
***者可以在鏡像生命周期的任何一個階段對鏡像進(jìn)行污染,包括對構(gòu)建文件的篡改、對構(gòu)建平臺的后門植入、對傳輸過程中的劫持替換和修改、對鏡像倉庫的***以替換鏡像文件、對鏡像運(yùn)行下載和升級的劫持***等。
整個***過程可以借助云化場景中相關(guān)的各種依賴,如 Kubernetes 組件漏洞、倉庫的漏洞,甚至基礎(chǔ)設(shè)施底層漏洞。對于防御者來說,對于鏡像的整個生命周期的安全保障,是容器場景中***防范的重中之重。
云原生時(shí)代的應(yīng)用交付標(biāo)準(zhǔn)演進(jìn)(從 Image 到 Artifacts)
在云原生時(shí)代之前,應(yīng)用交付的方式比較多樣化,比如腳本、RPM 等等。而在云原生時(shí)代,為了屏蔽異構(gòu)環(huán)境的差異,提供統(tǒng)一的部署抽象,大家對應(yīng)用交付標(biāo)準(zhǔn)的統(tǒng)一也迫切起來。
Helm
Helm 是 Kubernetes 的包管理工具,它提出了 Chart 這個概念。
- 一個 Chart 描述了一個部署應(yīng)用的多個 Kubernetes 資源的?YAML 文件,包括文檔、配置項(xiàng)、版本等信息;
- 提供 Chart 級別的版本管理、升級和回滾能力。
CNAB
CNAB 是 Docker 和微軟在 2018 年底聯(lián)合推出平臺無關(guān)的 Cloud Native Application Bundle 規(guī)范。相比于 Helm,有額外幾個定義:
- 在 thick 模式時(shí),CNAB 的 bundle 可以包含依賴的鏡像二進(jìn)制,從而不需要額外去鏡像倉庫下載,作為一個整體打包;
- CNAB 定義了擴(kuò)展的安全標(biāo)準(zhǔn),定義了 bundle 的簽名(基于 TUF )和來源證明(基于 In-Toto)描述;
- CNAB 的部署是平臺無關(guān)性,可以部署在 K8s 之上,也可以通過 terraform 等方式來部署。
CNAB 的這些特性,可以在可信軟件分發(fā)商與消費(fèi)者之間進(jìn)行跨平臺(包括云和本地 PC)的應(yīng)用打包和分發(fā)。
OCI?Artifacts
2019 年 9 月,開放容器標(biāo)準(zhǔn)組織(OCI)在 OCI 分發(fā)標(biāo)準(zhǔn)之上,為了支持更多的分發(fā)格式,推出了 OCI?Artifacts 項(xiàng)目來定義云原生制品(Cloud Native Artifacts)的規(guī)范。我們可以通過擴(kuò)展 media-type 來定義一種新的 Artifacts 規(guī)范,并通過標(biāo)準(zhǔn)的鏡像倉庫來統(tǒng)一管理。
Kubernetes 時(shí)代的安全軟件供應(yīng)鏈
在之前章節(jié)也提到過,相對于傳統(tǒng)軟件的安全軟件供應(yīng)鏈管理,容器和 Kubernetes 的引入使得:
- 發(fā)布和迭代更加頻繁,容器的易變性也使得安全風(fēng)險(xiǎn)稍縱即逝;
- 更多的不可控三方依賴,一旦一個底層基礎(chǔ)鏡像有了安全漏洞,會向病毒一樣傳遞到上層;
- 更大范圍的全球快速分發(fā),在分發(fā)過程中的***也會使得在末端執(zhí)行的時(shí)造成大規(guī)模安全風(fēng)險(xiǎn)。
在傳統(tǒng)的軟件安全和安全準(zhǔn)則之上,我們可以結(jié)合一些最佳實(shí)踐,沉淀一個新的端到端安全軟件供應(yīng)鏈:
我們來看一些和安全軟件供應(yīng)鏈相關(guān)的社區(qū)技術(shù)進(jìn)展:
Grafeas
2017 年 10 月,Google 聯(lián)合 JFrog、IBM 等公司推出了 Grafeas。Grafeas(希臘語中的"scribe")旨在定義統(tǒng)一的方式來審核和管理現(xiàn)代軟件供應(yīng)鏈,提供云原生制品的元數(shù)據(jù)管理能力。可以使用 Grafeas API 來存儲,查詢和檢索有關(guān)各種軟件組件的綜合元數(shù)據(jù),包括合規(guī)和風(fēng)險(xiǎn)狀態(tài)。
In-toto
In-toto 提供了一個框架或策略引擎來保護(hù)軟件供應(yīng)鏈的完整性。
通過驗(yàn)證鏈中的每個任務(wù)是否按計(jì)劃執(zhí)行(僅由授權(quán)人員執(zhí)行)以及產(chǎn)品在運(yùn)輸過程中未被篡改來做到這一點(diǎn)。In-toto 要求項(xiàng)目所有者創(chuàng)建布局 (Layout)。布局列出了軟件供應(yīng)鏈的步驟 (Step) 順序,以及授權(quán)執(zhí)行這些步驟的工作人員。當(dāng)工作人員執(zhí)行跨步操作時(shí),將收集有關(guān)所使用的命令和相關(guān)文件的信息,并將其存儲在鏈接 (Link) 元數(shù)據(jù)文件中。通過在完整的供應(yīng)鏈中定義每個 Step,并對 Step 進(jìn)行驗(yàn)證,可以充分完整的完整整個供應(yīng)鏈的安全。
Kritis
為強(qiáng)化 Kubernetes 的安全性,Google 引入了二進(jìn)制授權(quán) (Binary Authorization),確保使用者只能將受信任的工作負(fù)責(zé)部署到 Kubernetes 中。二進(jìn)制授權(quán)可以基于 Kubernetes 的 Admission Controller 來插入部署準(zhǔn)入檢測,讓只有授權(quán)后的鏡像在環(huán)境中運(yùn)作。
下圖為一個策略示例:
同時(shí)對于在安全軟件供應(yīng)鏈中占比很大的第三方軟件,需要有完善的基線機(jī)制和模糊安全測試機(jī)制來保障分發(fā)過程中的安全風(fēng)險(xiǎn),避免帶已知漏洞上線,阿里云正在與社區(qū)積極貢獻(xiàn)幫助演進(jìn)一些開源的工具鏈。
關(guān)于基礎(chǔ)鏡像優(yōu)化、安全掃描、數(shù)字簽名等領(lǐng)域也有非常多的工具和開源產(chǎn)品,在此不一一介紹。
云端的安全軟件供應(yīng)鏈最佳安全實(shí)踐
在阿里云上,我們可以便捷地基于容器服務(wù) ACK、容器鏡像服務(wù) ACR、云安全中心打造一個完整的安全軟件供應(yīng)鏈。
安全軟件供應(yīng)鏈全鏈路以云原生應(yīng)用托管為始,以云原生應(yīng)用分發(fā)為終,全鏈路可觀測、可追蹤、可自主設(shè)置。可以幫助安全需求高、業(yè)務(wù)多地域大規(guī)模部署的企業(yè)級客戶,實(shí)現(xiàn)一次應(yīng)用變更,全球化多場景自動交付,極大提升云原生應(yīng)用交付的效率及安全性。
在云原生應(yīng)用的安全托管階段,容器鏡像服務(wù) ACR 支持容器鏡像、Helm Chart 等云原生資產(chǎn)的直接上傳托管;也支持從源代碼(Github、Bitbucket、阿里云 Code、GitLab 來源)智能構(gòu)建成容器鏡像。在安全軟件供應(yīng)用鏈中,支持自動靜態(tài)安全掃描并自定義配置安全阻斷策略。一旦識別到靜態(tài)應(yīng)用中存在高危漏洞后,可自動阻斷后續(xù)部署鏈路,通知客戶失敗的事件及相關(guān)漏洞報(bào)告。客戶可基于漏洞報(bào)告中的修復(fù)建議,一鍵更新優(yōu)化構(gòu)建成新的鏡像版本,再次觸發(fā)自動安全掃描。
- 在云原生應(yīng)用的分發(fā)階段,當(dāng)安全漏洞掃描完成且應(yīng)用無漏洞,應(yīng)用將被自動同步分發(fā)至全球多地域。
由于使用了基于分層的調(diào)度、公網(wǎng)鏈路優(yōu)化以及免公網(wǎng)入口開啟的優(yōu)化,云原生應(yīng)用的全球同步效率,相比本地下載后再上傳提升了 7 倍。云原生應(yīng)用同步到全球多地域后,可以自動觸發(fā)多場景的應(yīng)用重新部署,支持在 ACK、ASK、ACK@Edge 集群中應(yīng)用自動更新。針對集群內(nèi)大規(guī)模節(jié)點(diǎn)分發(fā)場景,可以實(shí)現(xiàn)基于鏡像快照的秒級分發(fā),支持 3 秒 500 Pod 的鏡像獲取,實(shí)現(xiàn)業(yè)務(wù)在彈性場景下的極速更新。
- 在云原生應(yīng)用運(yùn)行階段,可實(shí)現(xiàn)基于云安全中心的應(yīng)用運(yùn)行時(shí)威脅檢測與阻斷,實(shí)時(shí)保障每個應(yīng)用 Pod 的安全運(yùn)行。
云安全中心基于云原生的部署能力,實(shí)現(xiàn)威脅的數(shù)據(jù)自動化采集、識別、分析、響應(yīng)、處置和統(tǒng)一的安全管控。利用多日志關(guān)聯(lián)和上下文分析方案,實(shí)時(shí)檢測命令執(zhí)行、代碼執(zhí)行、SQL 注入、數(shù)據(jù)泄露等風(fēng)險(xiǎn),覆蓋業(yè)務(wù)漏洞***場景。結(jié)合 K8s 日志和云平臺操作日志實(shí)時(shí)進(jìn)行行為審計(jì)和風(fēng)險(xiǎn)識別,實(shí)現(xiàn)容器服務(wù)和編排平臺存在的容器逃逸、AK 泄露、未授權(quán)訪問風(fēng)險(xiǎn)。
總結(jié)
隨著云原生的不斷發(fā)展,云原生應(yīng)用也會在安全、交付、全球分發(fā)等領(lǐng)域持續(xù)演進(jìn)。我們可以預(yù)見一個新的時(shí)代:越來越多的大型軟件以積木的方式由全球開發(fā)者獨(dú)立開發(fā)而最終合并組裝。
本書亮點(diǎn)
- 雙11 超大規(guī)模 K8s 集群實(shí)踐中,遇到的問題及解決方法詳述
- 云原生化最佳組合:Kubernetes+容器+神龍,實(shí)現(xiàn)核心系統(tǒng) 100% 上云的技術(shù)細(xì)節(jié)
- 雙 11 Service Mesh 超大規(guī)模落地解決方案
“阿里巴巴云原生微信公眾號(ID:Alicloudnative)關(guān)注微服務(wù)、Serverless、容器、Service Mesh等技術(shù)領(lǐng)域、聚焦云原生流行技術(shù)趨勢、云原生大規(guī)模的落地實(shí)踐,做最懂云原生開發(fā)者的技術(shù)公眾號。”
分享文章:Kubernetes時(shí)代的安全軟件供應(yīng)鏈
瀏覽路徑:http://www.ef60e0e.cn/article/pjedgp.html
