叶剑宏-容器应用的一体化全流程安全防护实践（GOTC深圳会场）（17页）.pdf

《叶剑宏-容器应用的一体化全流程安全防护实践（GOTC深圳会场）（17页）.pdf》由会员分享，可在线阅读，更多相关《叶剑宏-容器应用的一体化全流程安全防护实践（GOTC深圳会场）（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、LF 开源教育及人才培养高峰会专场叶剑宏 2021年08月01日本期议题：容器应用的一体化全流程安全防护实践云原生人才培养计划 2.0 发布！强强联手，打造最懂开发者的云原生人才课程Linux 基金会开源软件学园、阿里云、马哥教育联合出品，从理论基础，到开源实践，再到企业真实落地，各路专家打造最懂开发者需要的云原生人才课程体系由浅入深，引导最适合开发者的云原生学习路径遵循云原生人才学习路径及人才发展不同阶段搭建课程体系框架，由浅入深，第一期将帮助云原生人才学习 Kubernetes 完整技术栈内容一课双证，打通云原生人才专业技能认证快速通道贯穿理论、实践、体验，为广大云原生领域人才完成 CKA

2、、CKAD、ACA、ACP 等专业认证提供积累专业技能的基础环境，以及相关资格考试优惠福利容器对IT基础设施的影响容器环境下IT架构的变化基础架构物理机架构云化架构IT架构物理服务器操作系统应用程序物理服务器虚拟化虚拟化操作系统操作系统应用程序应用程序物理服务器虚拟化操作系统操作系统容器容器应用程序应用程序OpsOps/SecDev/SecDev/SecOps/Sec云平台云平台云平台云平台云平台Dev/Ops/Sec容器化架构企业面临的容器安全风险The State of Container and Kubernetes Security2020 Winter StackRox 配置安全镜像

3、安全运行安全主要风险威胁举例黑客上传恶意镜像存在安全漏洞的系统和软件中间人攻击篡改镜像Docker.sock暴露到公网容器挂载宿主机敏感目录K8s API Server未授权访问特权漏洞导致的权限提升漏洞恶意特权容器的启动云原生容器对开发者、运维、安全的挑战云原生安全挑战更多的攻击面快速变化的资产应用全生命周期的安全防护安全适应动态变化开发周期缩短，应用发布频率变快开发运维安全端到端的云原生容器安全架构纵深防御构建从供应链到运行时的一体化安全流程最小化攻击面安全稳定的容器基础设施平台 云原生应用生命周期安全能力Pre-Deployment:Pre-Deployment:开发开发 测试测试 构建

4、构建 部署部署RuntimeRuntime 运行时刻运行时刻运行时监控和告警运行时监控和告警应用镜像加签RBAC沙箱容器沙箱容器配置巡检配置巡检验签策略证明者机密计算机密计算开发测试OPAPSP策略管理AuthenticationAuthorizationAdmission Control运行时刻纵深防御镜像扫描KMS一致性安全策略加固安全管理员安全运维事件观测，溯源事件，审计容器资产识别与关联镜像监控容器集群弹性监控宿主主机监控识别与关联ECSECSECSECSECSECSECSECSECSECSECSACKACKNodemastermasterPodPodPodPodPodNodeNode

5、NodeNodeNodeNodeNodeNodeNodeNodePodPodPodPodPodPodPodPodPodPodACRAPPAPPAPP镜像安全APPBASEAPPCI/CD云安全中心镜像安全扫描APP安全证书ACRACR EE可信镜像PodPodPod验签运行时安全masterNode PoolController ManagerETCDAPI ServerSchedulerNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContainerOSHardwareNodeNetworkingKubeletContain

6、erOSHardwareNode网络连接监控命令行监控进程监控系统监控内核监控日志监控用户容器运行时防护路径初始入侵下发指令持久控制权限提升躲避防御窃取凭证探测信息横向攻击达成目标云账号AK泄露通过kubectl进入容器部署远控容器利用特权容器逃逸容器及宿主机日志清理K8s Secret泄露访问K8s API Server窃取凭证攻击云服务破坏系统及数据使用恶意镜像创建后门容器通过挂载目录向宿主机写文件K8s Rolebinding添加用户权限K8s Audit日志清理云产品AK泄露访问Kublet API窃取凭证