小佑-白黎明-主动保护是云原生安全的关键（17页）.pdf

《小佑-白黎明-主动保护是云原生安全的关键（17页）.pdf》由会员分享，可在线阅读，更多相关《小佑-白黎明-主动保护是云原生安全的关键（17页）.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、主动保护是云原生安全的关键白黎明北京小佑科技有限公司内容大纲01传统安全模型在云原生环境下的问题02为什么主动保护是云原生安全的关键？03云原生应用的主动保护如何实现？云原生应用的发布模式云原生应用面临的风险集群风险集群风险k8s组件/runtime组件自身可能存在漏洞，或不安全的配置；容器基于进程的隔离，隔离性较弱；因此可能导致非法提权和逃逸攻击镜像风险镜像风险镜像是容器运行的基础，如果不及时更新或从不可靠的来源获取，可能会导致镜像内含漏洞或恶意文件代码风险代码风险开源代码可能存在着 bug 或漏洞，又或者代码携带的许可证与所开发应用本身的许可证相冲突镜像仓库风险镜像仓库风险镜像仓库漏洞和管

2、理问题带来自身安全风险容器网络风险容器网络风险访问控制粒度无法细化，攻击者一旦进入集群，可以相对容易地进行东西向移动传统安全模型的局限运行时检测：基于零信任构建策略的能力，在运行时检测并防止容器中的可疑行为；根据用户行为观察并实施规则，自动响应容器威胁。系统强化：主机内部的异常检测或在主机运行基于 VM 的工作负载检测。漏洞管理：具备检测工作负载的漏洞能力。网络安全：通过网络防火墙、微隔离等工具技术，提供网络流量可视化及访问控制到工作负载的能力。合规性：自动化安全控制的能力，以实现数据和权限的持续合规性的治理，通过验证容器、集群及运行底层系统合规性，从而保障应用的安全运行。事件响应：即使工作负

3、载消失后，也应具备取证分析和事件响应能力。云原生安全模型介绍Gartner 2021年技术成熟度曲线中增加了一个新类别CNAPP，中文全称“云原生应用保护平台”。CNAPP包含一组集成的安全性和合规性功能，旨在开发和生产过程中保护云原生应用。CNAPP允许企业使用单个集成平台来保护云原生应用的整个生命周期。将安全防护覆盖云原生应用的整个生命周期，从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维。将安全防护工具集成到软件开发流程的工具链中，以便在创建代码并在持续集成时对代码进行自动或手动的安全测试。完美的应用程序是不存在的，代码漏洞也是不可避免的，因此开发人员应该将注意力集中在最高严重

4、性、最高可信度和最高风险漏洞上，以避免浪费开发时间。全面扫描制品（容器镜像）和云配置，并与运行时的可观测性和配置安全相结合，以确定风险优先级，合理安排补救措施。与传统安全模型的对比功能特性功能特性CNAPPCSPM+CWPP工作负载安全工作负载安全平台配置安全平台配置安全基础设施即代码扫描基础设施即代码扫描云基础设施授权管理云基础设施授权管理代码安全代码安全/成分分析成分分析云原生安全模型的技术优势整合功能整合功能双向反馈双向反馈整合各类功能全局管理基础设施即代码(IaC)的扫描容器镜像扫描云基础设施授权管理(CIEM)云安全态势管理(CSMP)从研发反馈至运维：保证制品是安全和合规的识别制品

5、的预期连接和预期行为明确运行时需要保护的残余漏洞推荐最小权限策略保证审批过的制品没有变更从运维反馈至研发：识别与预期状态的偏离识别运行中的有漏洞的组件识别未使用的工作负载组件识别可以裁剪的访问权限为开发阶段扫描提供运行时上下文识别应用误用和攻击有些企业使用了10个或更多不同的安全工具手工将DevSecOps缝合在一起，每个工具都有独立的责任和应用程序风险视图。如果保护云原生应用需要使用来自多个供应商的多个工具，显然会降低开发和运维的效率，并造成风险的零散可见性。代码审计镜像扫描IASTCSPMIaC扫描云原生应用主动保护流程介绍代码推送构建镜像测试验证镜像流转生产部署镜像供应链检测镜像漏洞检测

6、SATA源代码检测镜像入库检测镜像签名上传仓库测试联调KSPM 安全态势管理镜像检测镜像运行控制镜像校验镜像加密同步相关资产可视化管理、安全事件分析、DevSecOps流程管控开发发布运行CI/CD 管道SCA开源组件检测流程控制入侵检测IAST交互式应用安全测试流程控制IaC 编排文件检测开发阶段-SASTSAST 源代码缺陷检测缺陷种类全24大类约1000种缺陷种类覆盖主流编程语言兼容CWE、OWASP开源组件检测开源组件漏洞检测兼容CVE及CNNVD漏洞库检测性能支持多用户并发检测支持百万行级代码扫描容错机制用户直接提交源代码自有编译器、不依赖编译