警惕！云原生应用带来三大安全风险

云原生技术蓬勃发展，警惕已成为赋能企业业务创新的云原用带重要推动力。Gartner报告指出
，大安2022年将有75%的全风全球化企业会在生产中使用云原生的容器化应用 。到2025年 ，警惕超过95%的云原用带新云工作负载将部署在云原生平台上。

但不可忽视的大安是
，云原生在创造效益的全风同时，也在重塑整个应用生命周期
，警惕由此带来了新的建站模板云原用带应用安全隐患 。

云原生应用变革带来三大安全风险

随着以容器、大安微服务 、全风服务网格为代表的警惕云原生技术被广泛使用，企业从由虚拟机驱动的云原用带基本云环境转变为分布式 
、基于微服务的大安云原生环境。

在瑞数信息技术总监吴剑刚看来，云原生技术带来了应用形态的变化：一方面  ，云原生为应用带来了更好的韧性 、适用性
 、故障自愈率等;另一方面 ，免费模板云原生应用遵循面向微服务化的设计方式，导致应用数量快速增长，应用更加分散、配置更加复杂 ，同时应用间交互也带来了API数量的指数级增长 ，进而为云原生应用和业务带来了新的风险 。

吴剑刚表示 ，云原生环境带来的应用风险大致可分为三类：

传统应用安全风险

云原生应用源于传统应用，因而云原生应用风险也继承了传统应用的风险
，例如：失效的对象级授权 、香港云服务器失效的用户身份认证、注入攻击 、过度的数据暴露、使用含有已知漏洞的组件
、不足的日志记录和监控等风险 。

其中，开源组件代码漏洞正在成为云原生环境中常见的风险 。云原生技术大量使用开源代码，企业很难规避开源代码库漏洞，由此为云原生应用的安全带来了更多不确定性。服务器租用

API安全风险

API大量出现是云原生环境的一大特点
，目前针对API的攻击已成为一个重要方向 。针对API的常见网络攻击包括
：重放攻击、DDoS 攻击 、注入攻击、中间人攻击、内容篡改、参数篡改等
。这些新型的安全威胁正在变得更加复杂化
、多样化、隐蔽化 、高防服务器自动化。

同时 ，由于API接口被大量调用，很多企业API资产不清 、责任不清
，API滥用正在成为黑客攻击的主要入口 ，为企业带来巨大的数据泄露风险 。

业务安全风险

随着数字化业务快速增长，APP、微信
、小程序
、H5 等多种业务接入渠道产生 ，API接口大量被调用，带来了相应的亿华云业务安全风险。

一方面 ，小程序这类新兴线上渠道被攻击者逆向难度很低 ，逆向成功后
，直接调用API接口就可以获取用户信息 、敏感数据、办理业务等，实施业务欺诈。另一方面，API接口承载着敏感数据，经常面临接口越权
、未授权访问等安全威胁，攻击者通过各类Bots模拟真实用户、批量化业务操作  ，很容易实现业务攻击。

云原生呼唤新型应用安全技术

随着云原生技术应用的普及，在未来数年内
，云原生架构带来的风险将成为攻击者关注和利用的重点，传统基于边界的防护模型已不能完全满足云原生的安全需求。

在云原生环境下 ，边界变得模糊而且更细粒，安全防护无法再依赖传统的边界;再加上云原生架构的多租户 、虚拟化、快速弹性伸缩等特点 ，都对传统边界安全防护技术提出了新的挑战
。

瑞数信息技术总监吴剑刚表示，为了探索一条更适合云原生时代的持续安全之路 ，瑞数信息从2018年就开启了云原生应用安全技术的研究 ，成为业内最早一批基于云原生技术推出WAAP(集Web应用防护 、Bot防护
、DDoS防御、API保护于一体)产品的安全厂商。

在整体架构上 ，瑞数信息全线产品实现了云原生架构重构 ，既可以提供本地化部署。

也可以部署在容器上 。同时，为了保持云原生应用的运行效率，瑞数信息的产品采用了云原生轻量架构
，将检测流量和业务流量分离，通过对检测流量的旁路式轻量校验，将客户的业务流量时延增加压缩在5ms以内 ，满足互联网业务高性能 、高敏捷的需求。

在防护维度上，瑞数信息针对云原生架构增加了流量采集层级 ，从node、pod
、agent三个层面对流量进行全方位监测，将南北向 、东西向流量管控起来，实现更细颗粒度的安全隔离机制，有效防止网络威胁在云平台内部肆意蔓延 。

面对云原生架构带来的三类安全风险，吴剑刚表示瑞数WAAP动态安全平台在提供传统Web安全防御能力的同时
，也能轻松应对新兴和快速变化的Bots攻击、0day攻击和应用DDoS攻击，助力用户打造覆盖Web 、APP
、云原生应用和API资产的主动防护体系
。

WEB安全防护能力 ：基于“动态安全引擎”“智能威胁检测引擎”“规则引擎”协同工作 ，瑞数WAAP动态安全平台采用轻量级签名和特征规则，即可对手动攻击、自动化攻击提供更为高效全面的Web应用防护能力
，实现纵深防御 。

API安全防护能力 ：瑞数WAAP动态安全平台采用智能威胁检测技术、行为分析技术，通过API感知 
、发现 、监控分析和保护四大模块，实现对API全生命周期的安全防护管理。

恶意机器人(Bot)保护能力：针对Bot自动化工具的识别与防御是瑞数信息产品最突出的能力之一 。瑞数WAAP动态安全平台通过“动态混淆技术” ，对服务器网页底层代码的进行持续动态变换 ，让攻击者无从下手;通过“人机识别技术” ，实现对访问客户端真实性的识别  ，实现从用户端到服务器端的全方位“主动防护”，有效打击模拟真实用户的各种自动化攻击和业务欺诈行为
。

应用层DDoS防护能力
：区别于传统限频的防护技术 ，瑞数WAAP动态安全平台基于独特的Bot防护能力
，抓住CC攻击都是工具发起的特点 ，通过工具防护 ，实现对业务/应用层的CC攻击的防护。

以API安全防护为例 ，吴剑刚表示，传统API安全网关产品主要是在API请求的身份认证、权限管控、请求内容校验与过滤以及API流量限速等方面进行防护，但是这些防护功能都与应用开发高度相关，应用程序修改后往往也需要修改API安全网关的配置，造成的部署与维护成本都极为高昂。

但实际上云原生环境下的API功能在不断扩充与加强，贯穿了整个产品交付的流程，需要结合云原生架构对API全生命周期进行监测和管控 。这也是为什么瑞数信息会推出API安全管控平台(API BotDefender)的原因 ，从API接入客户端覆盖到API服务器端 ，包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块 ，为API接口提供完整的安全管控方案。

基于瑞数信息全程式API安全威胁防护
，企业可以实现自动化的API资产发现、API资产全生命周期管理、精准API画像构建、全渠道感知API、API敏感数据管控 、API攻击防护、API滥用防护 、API访问行为管控 、动态响应防护等。

吴剑刚表示，在云原生环境下 ，企业面临的攻击面更广 ，因此更应该定义自己的核心资产，从应用视角梳理核心资产 、业务和场景来进行防护。瑞数云原生安全产品正是顺应了安全视角转变的趋势，对核心资产进行挖掘和保护 ，并通过轻量级架构和检测方式为云原生应用降本增效。

目前 ，瑞数信息是国内首批通过中国信通院“云原生API安全能力”和“WAAP能力”评估认证的安全厂商;其中
，瑞数WAAP动态安全平台还荣获了中国信通院“云原生安全技术创新优秀案例”奖项 。这充分彰显了瑞数信息在云原生应用安全领域的领导地位，在安全能力 、功能全面性
 、产品稳定性 、性能等各个方面为企业客户提供了信心。

结语

云原生给业务带来敏捷积极影响的同时 ，也带来了全新的安全挑战 ，企业需要不断更新安全理念、采用多维度
、多技术提高安全的包容性
，并将安全策略和业务结合起来优化
，才能真正将云原生安全落地。瑞数信息作为云原生安全领域的领先厂商 ，将帮助更多企业用户提升应对IT风险的免疫力，落地云原生应用安全最佳实践 。