基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf

《基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf》由会员分享，可在线阅读，更多相关《基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、基于容器服务 ACK 与 ACR构建企业级端到端DevSecOps 流程匡大虎阿里云技术专家01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录Paloalto:The State of Cloud Native Security Report 2023Sysdig:2023 Cloud-Native Security and Usage Report云原生安全 跨部门的安全管理和责任共担 在整个云原生开发生命周期中嵌入安全性 培训 IT/开发/安全人员使用安全工具 对整个云资源的安全漏洞缺乏可见性 找到满足

2、安全需求的正确工具安全87%的容器镜像包含严重或高危等级的漏洞90%的授权并没有被实际使用15%的严重或高危漏洞在生产运行时被使用Top5 挑战90%的企业无法在一小时内发现、止血或处理漏洞78%的受访者表示需要更多开箱即用的可视化安全产品能力，同时希望以最小的学习成本实现风险过滤供应链安全 85%至 97%的企业代码库使用开源软件 62%的企业受到软件供应链攻击的影响Sonatypes state of the software supply chain Gartner 预测：到 2025 年，全球将有 45%的组织的软件供应链受到攻击，比 2021 年增加三倍。数据来源：GARTNER I

3、nnovation Insight for SBOMs云原生安全的发展落后于应用的云原生化改进方向监控和应急响应。t身份和访问控制漏洞和配置管理授予的权限与业务所需的权限之间存在巨大差异，需要基于最小化原则定期排查和管理权限，以减少攻击机会。由于大多数容器镜像在生产中运行时都存在风险漏洞，因此团队必须解决镜像臃肿的问题，并根据实际运行风险确定漏洞的优先级，从而集中精力进行修复。同时云原生的配置安全问题日益突显，企业需要在基线的指导下自动化排查业务负载风险。权限升级和防御规避攻击是企业面临的最大威胁。要想在不断变化的威胁环境中保持领先，就必须定期更新威胁检测规则，采用高效手段动态发现可疑攻击。D

4、evSecOps核心问题01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录威胁分析身份服务数据控制面网络底层硬件内核&OS容器运行时云资源攻击路径K8s容器攻击路径网络攻击不当配置不当配置非授权访问数据窃取漏洞利用应用漏洞内核漏洞运行时漏洞特权利用漏洞利用恶意投毒不当配置漏洞利用缺乏网络隔离主机逃逸初始入侵下发指令持久控制权限提升躲避防御窃取凭证探测信息横向攻击达成目标云账号AK泄露通过kubectl进入容器部署远控容器利用特权容器逃逸容器及宿主机日志清理K8s Secret泄露访问K8s API Serv

5、er窃取凭证攻击云服务破坏系统及数据使用恶意镜像创建后门容器通过挂载目录向宿主机写文件特权RBAC绑定K8s Audit日志清理云产品AK泄露访问Kubelet API通过Service Account访问K8s API劫持资源K8s API Server未授权访问通过K8s控制器部署后门容器K8s cronjob持久化利用挂载目录逃逸利用系统Pod伪装K8s Service Account凭证泄露Cluster内网扫描Cluster内网渗透DoSK8s kubeconfig泄露利用特权Service Account连接API Server执行指令在私有镜像库的镜像中植入后门通过Linux内核

6、漏洞逃逸通过代理或匿名网络访问K8s API Server应用层API凭证泄露访问云厂商服务接口通过挂载目录逃逸到宿主机加密勒索容器内应用漏洞入侵带有SSH服务的容器注入恶意admission controller通过运行时漏洞逃逸清理安全产品Agent获取管理面身份凭据访问私有镜像库CoreDNS投毒私有镜像库暴露通过云厂商CloudShell下发指令利用K8s漏洞进行提权注入恶意admission controller访问ECS Metadata APIARP和IP欺骗攻击Master节点SSH登录凭证泄露Sidecar注入利用Linux Capabilities逃逸通过NodePort访