【徐迪】2023云原生产业大会_中国移动智家业务云原生安全实践_徐迪.pdf

《【徐迪】2023云原生产业大会_中国移动智家业务云原生安全实践_徐迪.pdf》由会员分享，可在线阅读，更多相关《【徐迪】2023云原生产业大会_中国移动智家业务云原生安全实践_徐迪.pdf（11页珍藏版）》请在三个皮匠报告上搜索。

1、中国移动智家业务云原生安全实践-应用安全防护-徐迪 中移（杭州）信息技术有限公司2023年12月1日CONTENTSPART 01安全挑战PART 02技术方案PART 03应用效果云原生应用面临的安全挑战云原生应用是为了充分利用云计算的优势（例如自动伸缩、自动修复、敏捷开发和部署等）而设计的应用程序，在进行应用安全防护的时候，面临着特有的安全挑战。规模化的挑战云原生应用通常设计为可自动扩展以应对变化的需求微服务的复杂性云原生应用通常采用微服务架构，包含各种服务和API持续集成/持续部署云原生应用通常采用CI/CD方法进行开发和部署，应用可能会频繁地进行更新云原生安全模型云原生应用的安全模型和

2、传统应用不同，更加重视API安全、身份认证和访问控制等数据和隐私问题云原生应用快速发展，数据隐私和合规性也是一个重要的挑战云原生应用安全防护方案威胁情报模块API安全模块风险分析模块云原生Web应用程序和API保护(WAAP)1、安全能力容器化，通过引流将业务流量牵引至安全容器，可以动态扩缩容高可用，无惧业务规模变化；2、采用多引擎技术，利用规则防护引擎、动态防护引擎、智能防护引擎、语义分析引擎，结合移动大网积累的丰富威胁情报库资源，纵深防御，利用非入侵式诱捕系统溯源，无惧微服务的复杂性；3、智能防护引擎定时学习正常业务，更新模型，无惧持续集成/持续部署业务更新造成的干扰；4、利用离线的API

3、安全模块和风险分析模块，深度挖掘攻击行为和业务潜在风险，适配云原生安全模型；5、利用多种数据安全防护技术，防止敏感信息泄露，保障数据隐私和合规。通过安全能力容器化实现动态扩容高可用，利用多引擎技术和离线分析模块，有效进行API安全防护，保护隐私数据，应对云原生应用安全挑战。层层防护，无死角防御规则防护引擎智能防护引擎语义分析引擎动态防护引擎SQL注入XSSPHP注入CC攻击敏感文件webshell动态令牌动态封装动态混淆白规则机器学习行为分析词法分析语法分析关联分析场景判断离线分析非侵入式诱捕系统返回包诱捕特定行为诱捕云原生API安全防护自动梳理API资源，构建API画像，从全生命周期监控、A

4、PI风险、访问异常、基线异常四个角度对API安全进行离线分析。API通信数据全生命周期监控API风险访问异常基线异常用户画像资产总数活跃API失活API机器API新增API内部接口暴露缺乏异常处理缺乏限速机制缺乏访问控制过度数据暴露缺乏鉴权机制境外地区调用异常源IP异常终端异常时段登录接口暴破批量注册高频访问验证码暴破请求参数请求频率响应状态码响应头字段响应体内容访问源IP客户端类型地理位置遍历爬取接口对象级越权API自动梳理识别API用途云原生数据安全防护技术栈基于敏感数据脱敏、敏感路径拦截、风险自动化分析等多维度进行数据安全防护，防止数据泄露。敏感信息脱敏JS、json、html等返回包身

5、份证、手机号等敏感信息脱敏敏感路径拦截config、HeapDump、test等敏感路径拦截异常返回拦截报错、异常页面、命令执行页面等返回包拦截敏感信息监测利用带外监测能力针对github、浏览器、网盘进行关键字以及源码搜索风险自动化分析风险分析模块针对敏感信息风险进行分析，例如弱密码等1.非入侵式诱捕通过返回包敏感信息诱导：通过在响应包中嵌入“入侵诱导信息”的方式诱导真实黑客攻击通过识别特定行为自动跳转诱导：识别特定行为，引流入人机识别系统，排除自动化探测扫描工具的请求后，无感知诱捕2.溯源反制诱饵容器可按需弹性部署，环境丰富容器内系统调用、文件读写等行为捕捉识别持续监控，反制溯源云原生非侵

6、入式诱捕系统通过应用安全防护系统主动流量牵引，在零实施、零改造的基础上轻松拥有诱捕能力，实现快速溯源、反制黑客的目的。应用效果截止2023年11月安全能力调用总量2.9万亿 攻击拦截总量7.5亿用户规模7500+专利7落地省份31助力漏洞整改2500+网络保障80+（数据来源于中国移动智慧家庭运营中心）云原生安全运营中心实现安全事件从监测、分析、研判到处置的全流程闭环响应管理，提供集中化、智能化、自动化的安全威胁运营防护能力，可有效提升企业安全运营工作成效及安全防护水平。应用