华云安马维士：做好云原生安全，首先要做好攻击面管理

7月22日，2022北京网络安全大会（BCS 2022）虎符话安全·安全运营分论坛在线上举行，华云安副总裁马维士受邀发表主题演讲----《基于云原生的攻击面管理》，分享云原生发展趋势，以及基于云原生的攻击面管理体系的技术探索及落地实践。

云原生快速发展，安全问题备受关注

在演讲中，马维士首先提到了云原生和云原生安全火热的发展现状，他指出，根据相关市场机构统计，云原生开发人员数量快速增长，云原生应用、容器，相关工具及云服务相关开发人员数量都是百万级起步，有的达到千万开发人员；而云原生线上应用的部署比例，在发达地区，已由2020年的60%左右快速提高到2021年的70%，这是一个很高的增长数字。

由此可见，云原生应用正快速增长，因此保障这些云原生应用的安全成为了重点关注方向。

攻击面管理贯穿云原生安全的各环节

谈到云原生安全，马维士认为，攻击面管理将作为安全运营技术的基石，通过资产管理、自动化安全测试、外部攻击面情报等新兴技术贯穿云原生安全的各个环节。他指出，首先要做好云原生环境下的资产管理，在云原生环境下，未知资产、各种开源软件漏洞、新的云计算技术应用导致攻击面外延变得非常大，“画的圈越大，可利用的弱点越多”。面对这些问题需要摸清家底，梳理清楚集群、主机，镜像、应用、API接口等各种网络及数字资产，只有梳理好资产，才能做好攻击面管理。

资产梳理完成后，需要做好攻击面检测，攻击面检测主要包括三方面内容：

云原生开发中的攻击面检测。借助安全左移，从源头解决问题。通过对开发中的产物进行攻击面检测，实现在源头就发现问题，从而寻根溯源从根本上去清除攻击面。云原生线上应用攻击面检测。一是要保障容器的安全，通过弱点扫描、自动化渗透测试、审计、沙盒等多种手段，实现对容器中的攻击面的全面检测；其次是对虚拟化环境的攻击面检测，虚拟化是应用的常见部署模式，能够在同一硬件上实现多个完全隔离的应用，因此虚拟化的隔离程度和容器的管理的攻击检测，是云原生平台的重要保障；另外还包括对云函数的检测能力，云函数提供了一种更加通用的微服务的抽象形式，所以是攻击面重要的检测对象。通过对云函数安全的攻击检测，实现对服务能力的安全保障；云原生基础设施攻击面检测。云环境安全是云安全的重要基础，也是攻击面检测的必要对象，通过保证云环境的安全，能够有效地降低通过利用云环境造成的攻击。此外还要保障集群安全，集群是一切云计算的基础，因此也是云原生的基础设施中最核心的内容，只能通过多种技术手段实现对基础设施的攻击面检测，才能为上层因公提供可靠的安全保证。

基于攻击面检测收集到数据后，需要进行攻击面分析工作，攻击面分析包括两方面的工作：

攻击面优先级评估。根据已发布的攻击面信息评估，以不同的视角理解攻击面的优先级，从而在攻击面管理中优先处理重要的内容。攻击面情报分析。通过分析包括IoC情报、供应链情报和外部情况等类型的攻击面情报能够有效地发现各类未知风险，从而在攻击发生前掌握重要的攻击信息。

在攻击面检测和分析的基础上，还需要具备攻击面响应的能力。他提到，通过华云安产品家族，助力云原生环境安全左移，达到攻击面快速收敛和事件快速响应能力，在DevOps基础上能够及早发现问题并快速修复它们。

华云安攻击面管理的落地实践

在接下来的演讲中，马维士分享了华云安在攻击面管理领域的落地实践，他指出，作为云原生安全的保障者，华云安从云原生技术开始就提供一个统一的管理平台，云原生统一架构实现了一个平台交付所有安全能力的技术管理体系。

基于云原生统一架构，华云安打造了集合检测、分析、响应全流程业务能力的产品体系，贯穿云原生攻击面管理的各个环节，提供完整的解决方案。其技术实现原理，是通过华云安的多源异构数据处理能力，安全知识图谱构建技术，基于人工智能的安全对抗技术，安全能力原子化技术，以及安全能力编排与自动化调度技术，赋能产品，实现云原生安全落地。