一、背景介绍
　　近年来，随着大数据、人工智能、泛在物联等新技术与安防行业的深度融合和应用发展，传统的云计算技术作为大数据信息底座被广泛应用，但已无法适应安防行业数智时代快速发展的要求。而云原生技术的应运而生，加快解决应用可持续性的敏捷开发与交付难题，使得安防技术创新、应用创新、场景创新潜能进一步释放。
　　技术是一把“双刃剑”，每一次技术革新都会带来全新的信息安全挑战。云原生既是若干新型技术栈的结合，也是一种创新性的软件开发流程理念，更重要的是给组织带来了紧密协作、高效敏捷的工作模式。云原生技术引入的容器、微服务、K8S编排等新技术一定程度上存在潜在的安全风险，同时新技术缺乏安全研究积累和解决安全问题的实践经验，导致云原生在安防行业广泛应用的同时，也给安防系统带来更多的安全风险。随着云安全联盟（CSA）牵头各云计算厂商、安全厂商联合编制《云原生安全技术规范》，信通院立项起草公安行业标准《信息安全技术容器安全监测产品安全技术要求》等一系列规范、标准的起草发布，标志着云原生技术进入安全发展阶段。云原生的安全建设是个多层次、体系化的安全工程，涵盖容器基础设施的安全、开发安全、服务网格安全、API安全等多个部分。本文将分析云原生技术在安防行业不同的落地应用形式，剖析安防行业云原生系统的安全风险，并提出行之有效、可落地的安全实践和建议。
　　二、安防云原生系统分析
　　云原生系统在安防行业的落地应用可以分为两类。第一类是自主建设的大型安防系统，采用云原生技术作为系统建设、开发、运营的核心，常见有政府主导的“智慧”系统。第二类是以安防信息化服务商为主，具有安防责任的主体单位提供的“开箱即用”型的成熟安防系统，常见以楼宇出入管理、工厂商超安防监控为主。下文将详细分析这两类云原生应用场景所存在的安全问题及应对方法。
　　1.大型云原生安防系统
　　第一类是公安、交通、环境、城市管理等行业，主要是以“雪亮工程”“平安中国”为代表的国家级安防工程，“智慧城市”“智慧交通”为代表的行业级、城市级安防工程。针对一类行业的安防信息系统以政府部门主导，具有建设规模庞大集中、数据多源量大、互联共享关系复杂、上层应用场景多等特点。这类安防超大规模系统采用云原生技术构建，可以很好地发挥云原生的优点。云原生基础设施的应用可以使得庞大系统的调度、编排更加灵活；云原生微服务及API引入，可以让上层应用开发、接口调用、数据共享变得更加简单，也可以让更多的细分领域供应商共同集成开发；云原生倡导的DevOps敏捷开发体系，可以让平台开发建设者能够快速迭代、更新上线新特性。往往复杂信息系统、复杂使用角色、复杂交互方式的信息系统，特别是针对采用云原生构建的大型安防系统，其网络安全体系架构和能力建设更为复杂。在笔者看来，除了体系化建设云原生安全，还需要在如下几个方面加强。
　　（1）基础设施的统一风险治理
　　做好物理机、虚拟机、容器基础设施的统一风险治理。一类系统充分利旧、多期建设的情况十分常见，是典型的混合物理、虚拟化、云原生的基础设施，并且数量非常庞大，动辄上万台工作负载。虚拟化技术引入了虚拟机，云原生技术引入了容器及微服务，云原生基础设施的安全建设面临着防护对象庞大、兼容新老技术基础设施、推翻性建设成本过高的问题。针对云原生安防系统，笔者建议：
　　①通过升级当前的主机代理Agent方案，以适应容器环境的风险发现和入侵检测。在物理机、虚拟机上，操作系统和应用的漏洞、弱口令、高危账号、病毒后门、不安全的配置在容器环境中同样存在。容器环境的风险检测，从技术实现上完全可以复用一个宿主机Agent，只需要主机安全厂商的Agent针对容器环境进行适配，利用容器id匹配找到容器内的进程信息和文件目录信息，再进行安全扫描。以病毒为例，在物理机虚拟机环境中是基于目录扫描出文件识别病毒。在容器环境，则需要先通过容器找到对应挂载容器目录，再扫描病毒，并将病毒与容器进行关联。额外需要关注的是容器的逃逸和容器提权检测，容器的逃逸可以在主机Agent通过行为进行检测，也可以通过特权容器、安全容器[1]的云原生方案进行检测。
　　②扩展容器镜像扫描能力。容器镜像及存储镜像的仓库是云原生引入的一项新技术，容器在云原生技术体系下作为不可变的基础设施，在运行时往往是不会修改的。通常容器是通过自身镜像构建，如果容器镜像存在安全问题，那么基于这个容器镜像构建的容器基础设施都会“带病”运行。保证容器镜像的干净安全是容器运行时安全的首要前提，容器镜像的安全扫描就至关重要，这个是传统的主机安全方案不涉及的安全场景。那么，安防系统如果引入了云原生技术，在考虑安全建设时就必须考虑扩展容器镜像扫描的安全能力。根据市场调研，国内大型主机安全方案提供商都会提供容器镜像扫描的解决方案。实际上落地实践过程中，笔者也建议采用与主机安全解决方案同台管理的容器镜像扫描方案。一方面，混合管理场景下同台管理、不需要二次部署，能够极大地降低交付和运维成本；另外一方面，由于容器镜像可存放在本地也可存放在远端仓库，容器和宿主机有归属对应关系。容器镜像扫描的数据和主机安全数据打通和关联，有助于安全人员更全面、高效的处理容器镜像的安全问题。
　　（2）构建云原生应用运行时自防护能力
　　传统的检测响应方案多为异步处理方案，Agent代理自身不具备防护能力，需要采用操作系统的能力实现诸如IP封禁、文件删除等响应处置动作。传统方案从Agent检测到安全事件并上报控制台，控制台根据事件采用预设的处置规则进行响应，整个时间可能会花费较长时间。在云原生环境下，容器的启动关闭非常快。当攻击者在容器中执行一个恶意命令到结束进程非常迅速，传统方案往往无法及时响应，等到kill恶意进程或停止容器的响应动作反馈到本地时，恶意行为已经结束。因此，在云原生环境下要着重加强运行时自防护能力。对攻击的实时阻断，发现的同时进行拦截才能有效解决攻击问题。根据实际情况，由于安全厂商的检测原理有基于特征的也有基于行为检测[2]。建议组织按照“全面检测、精准防护”的理念进行安全运营，将能够精准检出的规则设置为阻断，检测灵敏度较高的、误报较大的规则设置为监控，并通过和安全厂商持续不断的规则优化，逐步转化为精准规则进行拦截。为应对攻击手段日益增加、国家攻防对抗演练常态化、企业面临人手不足等挑战，而安全运营人员用于告警研判、处置的时间是有限的。只有增加更多的精准防护规则，才能降低告警分析处置的人力成本。
　　（3）做好云原生API资产管控
　　在云原生技术中，应用被切分出更多的微服务、以API方式进行数据交换。大型安防系统往往会引入很多安防信息服务商提供的技术套件，如图像识别SDK、知识图谱数据库、大模型接口等。同时由于监管单位、政府机构的需要，会在多个系统间进行数据共享。在引入第三方技术能力和数据共享的同时，更多的API被暴露出来。API作为云原生系统的一大隐匿资产，其数量和风险性远超工作负载。一方面，要利用主机安全、容器安全、CNAPP等安全方案，理清API资产。做好API的鉴权、安全调用和数据访问控制；另一方面，监测并阻断对API接口的各类攻击，必要时采用DaemonSet方式部署流量探针进行云原生全流量采集分析，提升云原生网络特别是东西向流量的可见性。
　　（4）推动安全实质左移
　　大型安防系统得益于DevOps流水线作业，业务迭代、应用上线时间大大缩短。由于开发模式敏捷化后，开源组件、供应链组件被大量引入，漏洞及安全风险也被引入。如若发现问题，但容器不可变基础设施特性会导致业务必须从代码源头修复，漏洞修复代价高。同时，DevOps引入和融合了较多的源代码检测工具，包括静态二进制检测、静态漏洞检测、动态检测等工具，使得安全部门、业务部门的使用集成难度增高[3]。安全左移的目标是为了保障业务尽可能安全的上线，因此要求上线前发现所有的安全问题并修复问题，但开发部门上线时效和安全部门安全要求存在矛盾导致安全工作无法实质前移。组织应该从上至下推进开发、业务、安全部门的实质配合和责任共担，按时上线和安全上线是业务成功迭代的双重指标，保证风险在上线前得到尽可能消除。
　　2.小型云原生安防系统
　　第二类则是数量庞大、地域分散、独立性强的楼宇、工厂、商超、学校等各行各业的安防主体单位。由于安防场景相对单一，更多考虑的是购买整合集成度高、交付维护简单的成熟产品方案，如人车出入管理、烟气尘有害物监测预警等。这类组织使用的安防信息化系统或平台，其网络安全建设通常有两种情况：一种是完全依赖方案提供商的网络安全策略和配套安全能力；另一种情况则是纳入单位信息安全整体规划，由统一的网络安全项目全面覆盖。在云原生技术的加持下，方案提供商为了部署运维方便、灵活交付各类安防场景能力，会采用容器化、微服务的技术来设计开发安防系统。正是因为这种非主观性的云原生技术引入，对这类组织的信息安全管理提出了较大的挑战，当前已建设成的安全能力，可能无法兼容并覆盖云原生系统。同时，由于信息安全水平及意识相对薄弱，对采用云原生技术开发部署的系统存在的安全隐患了解不足，并不知道如何保证其安全可靠。
　　针对第二类安防单位，由于本身可能不具备开发能力或云原生安全建设运营能力。应更多的督促安防信息系统供应商主动、积极地保证系统平台的安全性，加强云原生安全意识，必要时可以从以下几个方面开展工作。
　　一是供应商应保证出厂安全性。包括内置容器镜像、上层应用及编排平台的安全，不存在恶意代码及系统、开源组件、应用漏洞和不安全配置。
　　二是供应商应明确提供系统对外暴露的端口、账号、API清单。组织应根据清单设置访问控制策略，确保系统最小化访问。
　　三是供应商应及时推送补丁、升级版本，解决已发现的系统漏洞和安全缺陷。
　　四是安防单位应定期聘请或组织信息安全测评机构或监管单位，对系统的可靠性、安全性进行安全性评估，消除安全隐患。
　　三、结束语
　　云原生技术是大势所趋，具备安防责任的主体都免不了主动或被动地建设、使用到云原生技术构建的应用、系统及平台。组织应根据自身云原生安防平台系统的建设方式、应用形态，结合当前已有安全水平查漏补缺更新升级，保障安防系统在云原生技术驱动加持下，更加高效且安全地为安防工作服务。

文 / 周灿 奇安信科技集团股份有限公司

　　参考文献
　　[1]张云涛, 方滨兴, 杜春来, 王忠儒, 崔志坚, 宋首友. 基于异构观测链的容器逃逸检测方法[J].通信学报,2023,44(1):49-63.
　　[2]白波, 冯云, 刘宝旭, 汪旭童, 何松林, 姚敦宇, 刘奇旭. 基于网络行为的攻击同源分析方法研究[J].信息安全学报,2023,8(2):66-80.
　　[3]李珍, 邹德清, 王泽丽, 金海. 面向源代码的软件漏洞静态检测综述[J].网络与信息安全学报,2019,5(1):1-14.