探真科技-万云峰-构建安全的云原生体系（14页）.pdf

《探真科技-万云峰-构建安全的云原生体系（14页）.pdf》由会员分享，可在线阅读，更多相关《探真科技-万云峰-构建安全的云原生体系（14页）.pdf（14页珍藏版）》请在三个皮匠报告上搜索。

1、构建安全的云原生体系万云峰北京探真科技有限公司传统技术无法解决云原生问题容器、微服务等云原生技术颠覆了整个IT格局，解决了不少难题，但也带来了在管理、安全性与合规性等方面新的挑战。如何对容器进行漏扫？传统漏扫工具不支持容器如何实时检测/拦截恶意行为、攻击？传统IPS/IDS、WAF不支持容器如何在容器环境下实现网络访问控制与隔离？传统防火墙、交换机不支持容器如何在敏态环境下统一管理凭证？传统堡垒机、PAM方案不支持容器如何盘点容器环境内资产？传统资产管理体系需要重新定义，以适配容器环境如何给容器打补丁？重构镜像-重新发布上线容器热补丁DevSecOps最佳实践DevSecOps 将安全文化、实

2、践和工具整合到 DevOps 的每个阶段。成功实践DevSecOps的关键点在于：人员人员区别于传统瀑布模型中相对独立的开发、安全和运营团队，DevSecOps提倡“自给自足”的团队，主动发现安全挑战，并自动纠正路线以实现安全的产品交付流程流程速度和质量是 DevSecOps 的关键，尽量在不牺牲安全需求的情况下简化手动流程。而“安全左移”是解决问题的关键技术技术将安全工具嵌入到流程当中，减少人工干预，提高速度，开发和安全团队变得更加统一，降低缺陷成本管控管控设计 DevSecOps 流程，实现自动化监控、检测、阻断操作，满足安全合规和管控团队的需求的前提下，降低人员投入，提高效率，实现上线即

3、安全构建云原生安全体系安全合规检查扫描集群权限，避免授予过大的高风险权限；使用CIS 基线、企业自定义基线对集群进行检测，确保容器集群符合企业安全基线；扫描 K8s 集群，确保集群运行环境没有已知缺陷；实时审计 K8s API合规检测能够找出不符合标准的安全配置项，通过标准安全的配置项，可以防范减少内外部恶意攻击，从而控制风险。同时生产服务器合规检测的变化也是发现恶意攻击/行为的重要手段，特别是当各种防御设备(防火墙、防病毒软件、入侵检测系统等)均被绕过时，往往合规检测设置是否严格以及是否产生变化成为防范恶意攻击的最后一道防线。云原生浪潮下，持续安全尤为重要“安全左移”是解决供应链安全的关键：

4、在云原生时代，修复软件漏洞的方式将不再是通过运维工具或者人工逐步升级主机上的软件版本。登录容器进行软件版本升级虽然可行，但是却是极差的实践，效率低下，尤其是微服务化后，服务的工作负载数目大幅增加，传统模式将是一场灾难。修复风险应当左移到编码与镜像构建阶段。另外，因为加速的CI/CD与迭代流程，镜像数目相比传统的虚拟机镜像与主机数目相比是指数级的增长。同时也意味着，将会有更频繁的镜像推送到镜像仓库和更多的镜像拉取。在更加快速的CI/CD流程中，安全检查能否保证快速、高效，将是能否实现镜像安全的关键。提高效率降低成本提升质量减少风险安全左移=仅关注镜像仓库远远不够在传统的主机时代，主机数目有限，增

5、长幅度可预期。而在云原生时代，扫描转移到了镜像仓库之上，仍然沿用定期、全量扫描的方式扫描镜像，就和在高产量的流水线上，定期全量对仓储的成品做质量和安全检察一样不可行。安全和质量检查重心应当放在流水线上，重点关注流水线上正在组装的模块和成品，而不是单纯的检查库存里的待分发的成品。全量/定时扫描成品仓储的价值也有，只限于有利于分析全局的安全问题和现状，并无法实现真正的持续安全。不要让扫描成为瓶颈分布式分布式CI扫描扫描 提交构建任务 构建工具本地扫描 返回结果中心化扫描流程中心化扫描流程 创建扫描任务 下载镜像 扫描镜像 返回结果 复制镜像至其他仓库大量的CI/CD流水线中，每天都在构建大量的镜像

6、。中心化的扫描器需要先把镜像上传到缓存的镜像仓库，然后通过扫描器进行风险扫描。这样的方式，会对存储与算力都带来较大的压力，并具有一定的瓶颈。当扫描队列发生排队时，CI流水线中的扫描时间必然会加长，导致业务正常的构建流水线延迟，严重影响业务正常迭代。VS很多企业都有数十甚至上千个CI/CD Pipeline，如何降低安全扫描对业务流程造成的影响是提升效率的关键！可信镜像安全分发是上线前最后一道关卡镜像在从构建到部署上线的整个分发流程中，存在被篡改和替换的风险，进而绕过之前所有的安全检查能力。基于镜像仓库的信任很容易被