深信服-朱青-如何构建全栈保护、全时安心的云原生安全体系（26页）.pdf

《深信服-朱青-如何构建全栈保护、全时安心的云原生安全体系（26页）.pdf》由会员分享，可在线阅读，更多相关《深信服-朱青-如何构建全栈保护、全时安心的云原生安全体系（26页）.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、如如何何构构建建全全栈栈保保护护、全全时时安安心心的的云云原原生生安安全全体体系系深信服朱青目 录DIRECTORY云原生引发安全新挑战如何构建标准化的云原生安全能力云原生安全解决方案案例分享数字化转型下云原生对IT产生的影响弹性IT架构及敏态应用极致弹性能力：以容器技术为基础的原生技术架构可实现秒级甚至毫秒级弹性响应；故障自愈能力：基于原生技术栈的平台具有高度自动化分发调度机制，具备极强的自愈能力；规模复制能力：可实现跨区域、跨平台甚至跨服务商的规模化复制部署能力微服务化治理能力：基于微服务架构拆解应用实现高效治理开发运维一体化业务敏捷迭代：打通整个开发、测试和运维三个过程的敏捷，实现应用自

2、动化交付；高效协同能力：开发和运行需要协同工作实现一体化的运营能力高度容错能力：解耦化的应用，通过分布式部署，不因局部问题影响全局组织灵活能力：高内聚低耦合的业务特点，前端为组织灵活的小团队，并更加专注于业务创新CNCF对云原生的定义：云原生是一系列云计算技术体系和企业管理方法的集合1）既包括了实现应用云原生化的方法论，也包含落地实践的关键技术；2）利用容器、服务网格、微服务、不可变基础设施和声明式API等代表技术，构建容错性好，易于管理和便于观测的松耦合系统；3）自动化手段对系统做出频繁、可预测的变更，应用随时处于待发布状态；4）在动态多云环境，跨云构建微服务，持续交付部署业务生产系统云原生

3、业务面临的风险风险成因综合分析容器攻击框架2021年1月，开源社区发布一款新的容器攻击框架CDK，CDK是一个开源容器渗透工具包，旨在在不依赖任何操作系统的情况下在不同的精简容器中提供稳定的利用，带有网络工具和强大的PoC/EXP，可帮助轻松摆脱容器并接管K8S集群面向K8S开放端口攻击2020年9月，大批开放6443端口的K8S被入侵，植入xmrig挖矿程序，某安全机构9月8日收到客户求助，其部署在公有云K8S集群遭到入侵，在数分钟之内K8S节点全部沦陷，并被植入挖矿程序面向K8S实例攻击2018年2月，Tesla内部Kubernetes受到感染，被用于加密货币挖矿，研究人员发现用于加密货币

4、的脚本可以在非授权的情况下利用计算资源挖矿，而脚本运行了Tesla不安全的kubernetes实例，攻击者利用该实例可以用Tesla AWS云平台的计算资源为自己挖矿风险类型风险引入途径云原生网络安全风险访问控制粒度过粗引入权限放大的风险导致越权攻击网络分离管控不合理增加了横向攻击风险导致威胁扩散云原生编排及组件安全风险编排工具自身漏洞导致非法提权和逃逸攻击，非法提权编排组件不安全配置引起账户管理问题导致系统入侵不同安全级容器混合部署导致高安全级容器面临入侵风险编排组件资源使用不设限加大资源耗尽风险导致拒绝服务攻击编排节点访问策略配置不当导致未授权主机非法访问镜像安全风险镜像更新不及时导致软件

5、漏洞镜像配置缺陷导致应用风险增加镜像来源不可信注入恶意镜像镜像仓库安全风险镜像仓库漏洞和管理问题带来自身安全风险镜像获取通道不安全引入中间人攻击容器逃逸攻击危险配置导致容器逃逸危险挂载导致容器逃逸相关程序漏洞导致容器逃逸宿主机内核漏洞导致容器逃逸安全容器逃逸风险数据来源：云原生架构安全白皮书云原生业务面临的风险数据来源：云原生架构安全白皮书风险类型风险引入途径攻击端口和攻击面增加微服务入口点增加导致攻击面增大访问控制风险微服务调度复杂增加访问控制难度带来越权风险治理框架风险微服务治理框架漏洞引入应用风险设计风险安全理念和重视程度不足带来一系列设计安全问题流程风险安全团队与安全流程缺失增加流程中

6、的风险引入管理风险人员权限扩大化导致敏感数据泄露带来管控风险工具风险开源组件和开源工具大量使用导致权限混乱和漏洞注入未授权访问云原生带来API爆发式增长增加滥用风险数据泄露安全措施不足DDoS风险资源和速率没有限制应用程序固有风险应用程序漏洞、第三方依赖库漏洞、消息明文传递等传统应用程序风险Serverless计算模型风险函数多源输入导致安全风险/资源权限管控不当带来函数使用风险/环境变量风险/跨函数调用数据清理不及时Serverless平台风险FaaS平台自身漏洞带来入侵风险/平台设计机制缺陷引入账户拒绝服务风险（DoW）微服务DevOpsAPIServerless目 录DIRECTORY云