機(jī)器學(xué)習(xí)是云原生安全的未來(lái)
容器和微服務(wù)安全難以保障。機(jī)器學(xué)習(xí)可能是解決問題的辦法。
利用云原生 (Cloud-Native) 架構(gòu),公司企業(yè)能以較低的成本減少應(yīng)用開發(fā)時(shí)間,提升敏捷性。盡管靈活性和可移植性驅(qū)動(dòng)了云原生架構(gòu)的廣泛采納,但也帶來(lái)了新的挑戰(zhàn):怎樣規(guī)模化管理安全及性能?
云端挑戰(zhàn)
容器和微服務(wù)安全難以保障主要是以下幾個(gè)原因:
- 邊界分散:一旦傳統(tǒng)邊界被突破,惡意軟件或勒索軟件常會(huì)在數(shù)據(jù)中心和云環(huán)境中四處游走,難以檢測(cè)。
- DevOps 思維模式下,開發(fā)人員不斷構(gòu)建、推送和拉取各種鏡像,直面無(wú)數(shù)暴露,比如操作系統(tǒng)漏洞、軟件包漏洞、錯(cuò)誤配置、秘密信息暴露……
- 容器生存周期短,內(nèi)容不透明,很容易在用過后遺留下大量數(shù)據(jù),極難看清容器化環(huán)境的風(fēng)險(xiǎn)及安全態(tài)勢(shì)。面對(duì)幾百萬(wàn)臺(tái)轉(zhuǎn)瞬即逝的容器,想要梳理其上成千上萬(wàn)服務(wù)中的互聯(lián)數(shù)據(jù),以便及時(shí)了解具體安全狀況或違規(guī)情況,好比大海撈針一樣。
- 隨著開發(fā)速度的加快,安全被擠到了開發(fā)周期末端。開發(fā)人員不再?gòu)脑缙陂_始即植入安全,而寧可在末期補(bǔ)上,最終也就增加了基礎(chǔ)設(shè)施中潛在暴露的概率。
預(yù)算緊張,加上不斷創(chuàng)新的壓力,讓機(jī)器學(xué)習(xí)和人工智能 IT 運(yùn)營(yíng) (AIOps) 逐漸融入安全提供商路線圖中,因?yàn)檫@是減輕現(xiàn)代架構(gòu)中安全人員負(fù)擔(dān)最為現(xiàn)實(shí)的解決方案了,至少目前看來(lái)是。
為什么機(jī)器學(xué)習(xí)很適合?
容器按需使用,上下線轉(zhuǎn)換頻繁,安全人員沒有犯錯(cuò)的余地。攻擊者卻只需成功一次即可收獲滿滿,而不斷發(fā)展變化的云原生環(huán)境中,入侵來(lái)得更加容易,因?yàn)榘踩y以跟進(jìn)。也就是說(shuō),運(yùn)行時(shí)環(huán)境如今可因內(nèi)部人黑客行為、策略錯(cuò)誤配置、零日威脅和外部攻擊而千瘡百孔。
這種動(dòng)態(tài)環(huán)境中,人手短缺的安全團(tuán)隊(duì)是無(wú)法人工大規(guī)模抵御這些威脅的。安全配置可能需要幾個(gè)小時(shí)乃至數(shù)天才能調(diào)整好,如此充裕的時(shí)間完全夠黑客充分利用該機(jī)會(huì)窗口了。
過去幾十年來(lái),我們已經(jīng)見證了機(jī)器學(xué)習(xí)算法和技術(shù)的長(zhǎng)足進(jìn)步。如今,即使是沒有統(tǒng)計(jì)學(xué)背景的人,也可以獲取機(jī)器學(xué)習(xí)模型并將之應(yīng)用來(lái)解決各種問題。
容器很適合用監(jiān)督學(xué)習(xí)模型,原因如下:
1. 容器表面很小
因?yàn)槿萜骰緸槟K化任務(wù)設(shè)計(jì),構(gòu)造簡(jiǎn)單,比較容易定義其內(nèi)部行為基線,區(qū)分正常與不正常的行為。虛擬機(jī)則不同,動(dòng)輒幾百個(gè)程序和進(jìn)程運(yùn)行,比容器難判斷得多。
2. 容器是聲明性的
不用挨個(gè)兒查配置,DevOps 團(tuán)隊(duì)查看守護(hù)進(jìn)程和容器環(huán)境就可以了解特定容器運(yùn)行時(shí)可以做些什么了。
3. 容器是不可變的
這種不變性就是防止運(yùn)行時(shí)修改的保護(hù)圍欄。比如說(shuō),如果某容器突然開始運(yùn)行 netcat,那就說(shuō)明可能有人入侵了。
鑒于以上特性,機(jī)器學(xué)習(xí)模型可以從行為中學(xué)習(xí),在創(chuàng)建運(yùn)行時(shí)配置時(shí)更加準(zhǔn)確,精準(zhǔn)評(píng)估哪些行為應(yīng)被允許而哪些應(yīng)加以禁止。通過讓機(jī)器來(lái)定義準(zhǔn)確的配置,自動(dòng)發(fā)現(xiàn)潛在威脅指標(biāo),檢測(cè)的效率和精度都能得到大幅提升。同時(shí),這還能緩解安全運(yùn)營(yíng)中心團(tuán)隊(duì)成員的過勞情況,讓他們不用為不同容器環(huán)境挨個(gè)兒手動(dòng)創(chuàng)建特定規(guī)則,從而將精力放在響應(yīng)和修復(fù)上,而不是單調(diào)機(jī)械地人工檢測(cè)上。
云原生時(shí)代,安全必須跟上不斷變化的技術(shù)態(tài)勢(shì)。團(tuán)隊(duì)?wèi)?yīng)配備云原生安全工具以摒除噪音與干擾,找出所需的準(zhǔn)確情報(bào)。若不用機(jī)器學(xué)習(xí),安全團(tuán)隊(duì)會(huì)被大量無(wú)關(guān)緊要的瑣碎細(xì)節(jié)絆住,錯(cuò)失真正應(yīng)該關(guān)注的東西。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
