电网攻击频发,云原生架构正在成为众矢之的
作者: 日期:2022年10月18日 阅:2,445

2010-2022年,国际相继发生了“伊朗震网事件”、“乌克兰断电事件”、“委内瑞拉国家电网攻击事件”等多起重大信息安全事件。

一系列安全事件均表明电网攻击非常普遍,电力行业已成为网络安全新战场,安全建设的重要性越发凸显。我国是世界上最早重视电力网络安全并且大规模开展防护部署的国家之一,国家陆续出台了相关配套文件,并组织开展网络安全实战演习,对电力行业安全建设提出了更高的要求。

图1:电力行业网络安全相关法规

与此同时,电力企业作为国家关键基础设施,在数字化转型过程中,纷纷开启了上云步伐,云原生凭借其技术优势和不断拓展的应用场景,逐渐普及到电力行业的敏捷开发和业务创新中。可以说“云原生正在吞噬一切”。然而,电力行业在享受云原生所带来的优势的同时,也面临着更多的网络安全风险,其中不乏一些新型的APT网络攻击,因此电力企业面临的网络安全形势更为严峻

图2:电力行业常见的网络攻击

电力行业云原生安全的三大“拦路虎”

1、防护边界和资产识别的变化,使得安全更复杂

与传统架构相比,云原生环境中网络边界变得更加模糊。如图3所示,在电力企业传统的数据中心环境中,系统的边界非常清晰,以网络设备上的边界为主。外部边界由防火墙、路由器等实现。而内部边界则通过虚拟局域网等措施来保证。但是在云原生环境下,资产视角变成了业务视角和应用视角,主要是通过名称空间来分隔,而识别资产的方法主要是标签,所以整个边界变得模糊,使得安全控制和管理更加复杂。

图3:不同数据中心环境防护边界的变化

2、高度流程化、自动化,安全和效率需平衡

DevOps保证了云原生应用的发布效率,但安全建设往往与效率相冲突。在非全自动化流程中,传统安全措施对效率的影响可能并不明显。但是在云原生环境中,DevOps是云原生应用的生命周期管理过程,安全控制需要无缝嵌入到这个过程中,也就是目前比较流行的DevSecOps。DevSecOps作为一个大系统,除了代码安全测试,还应该包括产品库安全管理、运营安全策略等。因此,在DevOps流程中嵌入云原生安全产品或工具成为必须,与此同时也带来了安全和效率相互平衡的问题。

3、全新的攻击手段,安全攻防不对等

目前针对云原生的攻击种类越来越多。无论是两年前爆发的特斯拉集群入侵,还是容器官方镜像仓库中毒,抑或是近几年的攻防演练都是通过攻击容器得分,这种趋势已经被证实。2022年,针对云原生系统的攻击开始增多。目前,电力行业的容器安全建设正在稳步推进,但针对容器安全领域的攻防不对等比其他架构严重得多。

在这样的背景下,青藤基于多年实战化攻防演练的经验,不断升级迭代方案,正式推出升级版《容器安全实战化解决方案V2.0》,感兴趣的读者可扫码领取电子版方案。

电力企业云原生安全的“破局之道”

1、案例背景

某电力企业以电网建设、管理和运营为核心业务。随着公司数字化转型的推进,各类关键业务均采用容器技术进行构建,其中包括:新一代电力交易、供服指挥、新一代应急指挥、统一应用门户等。底层IaaS提供的节点近千个,运行容器数万个,涉及的集群近百个,承载的数据库业务应用数百个。

2、解决方案

接下来我们以该公司容器安全建设为例,看看电力企业云原生应用领域安全场景方案。

该公司以青藤蜂巢·云原生安全平台作为整体技术解决方案,从云原生环境的工作负载可观测、开发环节的安全左移、运行时持续监控和响应等全生命周期安全流程出发,全面保护企业业务安全稳定运行。整体安全方案如下所示:

图4:云原生应用领域网络安全创新场景方案

(1)资产可视化,做好风险防范和威胁定位

该方案可以保护所有涉及容器安全的对象,包括容器资产、进程端口资产、Kubernetes资产、应用资产等。在每个资产对象的保护方案中,考虑资产清点、加固、检测、响应、预测的安全框架,形成安全运行的闭环。

在日常的安全运营中,通过清楚的梳理业务中有多少个集群,集群中有多少命名空间和控制器,运行了多少容器,是由什么镜像运行起来的,容器具体跑了哪些进程,监听了哪些端口。在遇到入侵事件的时候,就能够很清晰的知道失陷位置,以及可能覆盖的影响范围。

(2)流程敏捷化,平衡安全建设和业务效率

基于安全向左移动的思想,该方案实现了DevSecOps。也就是说,在软件研发阶段,会同步介入敏捷化安全检查。通过支持软件全生命周期多个卡点,可以尽早暴露风险。安全卡点包括文件扫描、镜像安全扫描、镜像构建入库、镜像操作拦截等。通过安全向左移动,实现镜像问题检查,这样可以尽早发现问题,有助于降低运维成本。

图4:安全左移解决方案

(3)监测智能化,及时发现和解决安全威胁

该方案的独特之处是将视角从了解黑客的攻击方式,转化成对内在指标的持续监控和分析,不但能够对已知特征威胁进行检测,也能对恶意行为进行检测,还能进行异常检测。通过结合系统规则、白名单、基准和行为建模,可以自适应识别运行时容器环境中的威胁。同时,通过收集容器行为数据(进程启动日志、API调用行为日志等),结合ATT&CK模型、大数据工具进行威胁分析,确定攻击影响范围和⼊侵路径,快速响应处置威胁

图5:实时检测容器中的已知威胁、恶意行为、异常事件

  • 基于已知特征的威胁检测

可对容器内的文件、代码、脚本等进行已知特征的检测,可实时发现容器中的病毒、挖矿、webshell等已知威胁。

  • 基于恶意行为的检测

基于对恶意行为模式的定义,对容器及编排工具内的黑客攻击行为进行实时检测,检测容器内无文件攻击、容器逃逸行为、K8S API恶意行为等。

  • 基于异常行为的检测

针对重要的容器靶机、集群系统进行提前学习,形成稳定的模型,一旦发现异常进程启动、异常端口监听、异常网络连接和异常文件操作就立即报警。

电力行业云原生安全选型重点

通过以上电力企业的云原生安全实践的成功经验,可以发现电力企业在云原生安全建设中要关注以下三点:

1、防御能力的有效性

对于始终试图破环我们的黑客来说,电力企业的安全建设必须更具主动性,如果你无法实时阻止攻击,则需要对容器运行时进行监控,这可以有效处理未知威胁和已知威胁。并通过对齐MITRE的ATT&CK框架,增强安全事件分析能力,提高防御能力的有效性。

2、安全的左移

在软件生命周期中,安全左移的举措是将更多的安全投入到开发阶段。在电力企业云原生环境中,业务需要频繁调整和上线。安全左移的思想不仅能使DevOps团队及早发现安全风险,还能减少安全投入,提高整体安全水平,确保及时解决安全威胁。

3、面向云原生业务的全生命周期管理

电力企业在进行云原生改造中,不应该把开发和运营看作两个独立的部分,应该转变思维,将安全性和合规性视为跨越开发、运维和安全的连续统一体,形成整体的DevSecOps解决方案。通过在整个开发生命周期中综合考虑漏洞及其运行环境,可以发现更多的风险。

写在最后

在数字化建设过程中,以“电力+算力”带动能源行业转型升级,促进经济社会高质量发展,已成为电力行业主要社会任务。在此过程中,电力行业的云原生应用进程不断提速。可预见,未来容器、容器集群将成为电力行业最重要的IT基础设施。电力行业不管是在真实网络实战中,还是在相关的攻防演习中,以容器为代表云原生基础设施都将是攻防双方必争之地。因此加强电力行业云原生安全防护显得尤为重要。

文章来源:青藤

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章