Visa是如何構建容器安全解決方案的

Lucian Constantin

和許多大型企業一樣，金融服務巨頭Visa也采用了容器化技術，該技術使得公司能夠從傳統的單體應用程序遷移到基于微服務的應用程序架構，從而更易于在云基礎設施上大規模維護、更新和部署。盡管如此，但是將應用程序變成微服務也面臨一個挑戰，即要確保容器托管的各個部分得到了恰當的監控并保護其免受攻擊。

Visa的安全團隊沒有部署商業解決方案，也沒有針對自己的環境調整資源，而是回到了基礎，創建了自己的連續監控解決方案。該解決方案可以處理安全策略的實施、事件檢測和補救。因為卓越的安全性，這一項目幫助公司贏得了CSO50獎項。Visa的解決方案被稱為MASHUP（基于微服務的自適應安全性強化和使用平臺），其主要基于開源工具和庫構建，并充分利用了容器編排平臺上現有的原生功能，例如cgroups、文件系統訪問控制和SELinux策略。

自建vs.購買

Visa沒有采用老牌供應商的商業解決方案而選擇自己建立安全平臺是多種因素共同作用的結果。

首先，許多提供針對基于容器的基礎設施和容器化應用程序的安全解決方案的供應商都是新興公司，因此這些產品可能還未達到大型企業所期望的成熟度。

其他產品可能包含了對容器的監控和保護，但是這一功能只是龐大功能集中的一部分，公司并不需要其他的功能。Visa不希望自己僅僅因為要使用其中10%的功能就掏錢買下整個應用。

Visa在做出自建還是購買決定時的另一個重要因素是開發的靈活性和敏捷性。對平臺的完全控制意味著Visa可以根據內部團隊的需求快速部署新功能，也可以根據管理層定下來的新優先等級和策略更改產品路線圖。與此同時，是否能夠快速修復已發現的錯誤也是一個重要考慮因素。

此外，某些可用的商業產品在公司的特定環境中會缺失某些功能，而缺失的這部分功能可能會導致威脅無法得到緩解。如果公司需要這些功能，那就只能等待供應商重新將這些功能添加回來。

Visa負責技術和運營的首席信息安全官Sunil Seshadri稱：“Visa之所決定自己構建是因為我們擁有豐富的內部專業知識，并且了解自己需要解決的問題。此外，我們發現市場上的現有解決方案無法完全滿足我們的需求。因此，我們決心根據自己的使用情況和威脅模型自己動手構建產品。”

最后，通過構建自己的解決方案，Visa的運營、安全和開發團隊可以緊密合作，相互支持。隨著DevSecOps的興起，這種做法在近年來變得越來越重要。

Visa在CSO50獎項申報中稱：“我們在設計時就考慮到了安全控制，而不是在所有的工作都完成后再考慮安全控制的問題，這樣可以降低因未能緩解在用系統中的威脅而可能產生的未來成本。Visa的容器安全產品（MASHUP）可幫助Visa在構建、部署和運行時安全狀態下提供關鍵的容器和Kubernetes安全性，同時保護了它們在Visa私有云中運行的關鍵應用程序堆棧。”

循序漸進

該公司在開始時先是依賴主機操作系統（例如Linux）的原生功能，然后再逐步添加功能。最后，該產品具備了平臺獨立性，可輕松地與任何主機操作系統（OS）或容器編排器一起使用。

MASHUP可在內核、SELinux、運行時和容器應用程序層級執行訪問控制和監視，并能夠區分和關聯主機層級和容器層級的事件與活動。它們還可以強制執行默認的安全配置，以防止攻擊者可以利用的漏洞。這種“左移”驗證意味著只有經過審核和安全的配置才能進入生產環境。

大規模開發的重點是構建一個機器學習引擎。通過查找大量的工作負載自動生成的概要文件之間的差異，該引擎可執行連續的點異常檢測。機器學習引擎使用的是TensorFlow等開源庫。如果檢測到事件，MASHUP會通過應用由Visa的安全團隊創建的自動劇本進行響應，并糾正出現的問題。據Visa稱，他們的事件響應時間已經由幾天縮短到了幾分鐘。

Seshadri說：“該系統的開發花費了兩年多的時間。隨著時間的推移，我們還不斷對其進行了迭代。好的消息是K8s（Kubernetes）技術正日趨成熟和迭代速度不斷加快。容器技術也是如此。利于新功能的實現和新威脅被發現，這使得我們能夠持續改進我們的產品。”

可擴展性與效率

該系統可輕松將新節點和容器添加到集群中，并自動進行擴展。MASHUP在后臺運行，被監視的應用程序完全透明。這意味著應用程序運行時沒有鉤子，也不需要更改應用程序代碼。

MASHUP服務器和代理都被打包為容器鏡像，以便在不停機的情況下進行滾動升級。Visa自己開發的解決方案提供了許多的安全功能，要想實現相同的功能集，如果采用商用解決方案的話可能要運行多個商用解決方案。相比之下，Visa自建的解決方案對資源的消耗卻很小，并且是可以接受的。

由于系統現已集成到持續集成和持續交付（CI/CD）管道中，因此安全控制可以得到實時驗證，同時漏洞掃描已從每周或每月定期監控提升為持續監控。

部署與成果

在項目開發的頭一年，Visa就已將MASHUP整合到了一半的容器部署當中。第二年其部署率就增長到了70%，預計到第二年年底將實現全覆蓋。該公司在CSO50項目申報報告中稱：“從沒有MASHUP到MASHUP的出現，對絕大多數與安全相關的事件和攻擊的自動防御都取決于平均檢測時間（大約幾分鐘）。”

Visa認為，與部署第三方供應商的商業解決方案相比，他們自己的解決方案可以節省大量成本。節省的資金主要包括與部署供應商解決方案有關的基礎設施、人工、定期性和年度性維護費用、聘用或培訓操作該供應商解決方案的人員、產品許可證。這些費用可通過使用開源技術進行抵消。

其他企業也可以這樣做嗎？如果他們有足夠的能力去實施這樣的項目，并且對要保護的環境和數據有著深刻的了解，那么他們應該能夠做到。這一切都要始于有一個出色的系統性威脅模型。

Seshadri說：“盡管許多企業在威脅狀況和攻擊面方面存在相似之處，但是他們之間仍然存在差異，并且這些差異很重要。企業應考慮的因素包括：對是自建還是購買的態度、工程人才、卓越的運營和工程管理、迭代的靈活性、在自建不成功的情況下是否能夠重新選擇商業解決方案、資本、勞動力，以及項目不成功的后果。”

在安全領域，有一種說法是永遠不要發明自己的加密算法。這是因為在整個世界范圍內，精通加密算法的密碼專家和密碼分析師相對較少，并且他們的工作受到了嚴格審查。在加密算法發明出來之后，如果要被推廣使用還必須要經過同行評審。如果將相同的思維方式引申到安全系統當中，那么我們會得這出樣的一個觀點，那就是由專家創建的系統總是比自己構建的系統要更好。

在過去的五年當中，得益于機器學習的進步，以及免費資源和經過同行評審的開源代碼庫獲得了更為廣泛的可能性，用戶可以利用這些技術改變一些現狀。在幕后，許多商業產品也在使用相同的開源工具和原生功能來捕獲和分析數據，并以此為基礎構建統計模型。如今，這些模型已經在標準庫中得到了很好的定義。只要公司能夠避開在所有事件中需要注意的盲點，了解自己的數據和面臨的威脅，那么他們就可以創建基于規則的異常檢測引擎，并讓其適應自己的環境。

Seshadri警告說：“開源代碼庫可幫助企業迅速發展起來，但是它們并不會讓建立成功的異常檢測模型所需的其他需求消失掉。例如，所有的智能系統都需要數據、可處理海量數據的計算平臺，包括機器學習庫在內能夠利用參數或訓練有素的模型的軟件堆棧、可近實時響應和處理威脅的基礎設施，以及能夠執行所有這一切的人員。”

目前Visa也正在評估一些可為其在用工具做出貢獻的方式，以及讓開發工作回流至社區的流程。

Lucian Constantin為美國CSO網站的資深作家，長期專注于信息安全、隱私和數據保護等主題。

原文網址

https：//www.csoonline.com/article/3529974/how-visa-built-its-own-container-security-solution.html