104李斌-云原生应用安全实践（17页）.pdf

《104李斌-云原生应用安全实践（17页）.pdf》由会员分享，可在线阅读，更多相关《104李斌-云原生应用安全实践（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、云原生安全应用实践华润网络-李斌华润网络介绍l 旗下平台华润通为华润集团基于+互联战略的会员忠诚度管理平台，运 营1.5亿会员，中国最的多场景、跨业态会员忠诚度计划平台。l 对外提供科技服务，输出通过灵活的、符合实际企业情况的式与实知名企业就会员忠诚度计划进合作共赢。个人介绍专注企业信息安全体系建设，擅安全体系和架构设计、安全系统开发、业务安全险防控，热爱开源技术。云原生利原云能（动扩展、中断部署、动化管理、弹性等）来进应设计、部署和智能化运维的法，主要指以容器、持续交付、DevOps以及微服务为代表的技术体系。云原生安全基础架构安全容器运行时安全依赖组件安全容器镜像安全平台安全管理K8S集群

2、安全微服务安全基础架构安全K8S主机安全：Auditd 监控docker进程K8s服务访问安全：Istio/IngressAPI网关：接口注册/认证/加密外网访问安全：Squid正向代理HIDS漏洞扫描系统数据脱敏系统安全管理中心系统文件安全传输系统JumpServer数据库审计系统容器镜像安全-trivyTrivy是种适于CI的简单全的容器漏洞扫描程序。操作系统包（Alpine、RHEL、CentOS等）应程序依赖（Bundler、Composer、npm、yarn、openjdk等）容器镜像安全-trivyharbor容器镜像仓库harborAPIImageList结果输出Trivy扫描D

3、ependency-check用于分析应用程序使用的第三方依赖库是否存在安全漏洞，如fastjson反序列漏洞。集成到IDEA开发具 集成到Jenkins动构建具 SonarQube代码质量具 命令CLI具组件依赖安全-Dependency-check-cli组件依赖安全-Dependency-check-cliharbor容器镜像库Dockerpull&runDockerCopyLibFileDependency-check-cli结果输出Harbor APIList ALL URL组件依赖安全-Dependency-check-cli容器运行时安全-falcoDaemonSet 式 运 在

4、 每 个Node节点上，检测该节点上运的所有pod、容器的运时安全。挂载宿主机件系统，监控件和系统调 获得k8sCluster API权限，集群资源（ns/node/pod)查看权限容器运行时安全-falcofalco部署容器运行时安全-falco反弹shell-结果细节 异常的K8S API请求 宿主机敏感件录挂载 特权容器创建和运 敏感件查看 敏感命令执 反弹shell平台安全管理、集群集中管理系统安全 Rancher、Harbor安全管理-NGINX+IP访问名单 K8S集群 Master节点和Node节点宿主机权限-堡垒机+专管理 Harbor镜像仓库API接-重要项设为私有，使账号密码认证、配置安全管理ukubeconfig件（/.kube/config）、Dashboard Token，直接控制集群u绑定ClusterRole ServiceAccout的pod，可拥有集群权限TODOn 容器资产管理n 镜像病毒检测n Pod级隔离n Pod服务扫描n 容器/K8S基线审计