腾讯云原生安全运营实践.pdf

1、腾讯云原生安全运营实践千万核规模容器集群的安全治理经验分享主讲人：江国龙 腾讯安全云鼎实验室高级研究员攻防对抗下，云原生安全威胁日益严峻，安全防护面临重大挑战50.8%77.2%51.3%2.6%0%10%20%30%40%50%60%70%80%90%经历过容器安全事件提前规避业务风险等保合规需求其它根据腾讯云容器安全白皮书显示，安全问题成为影响用户落地云原生的重要考量因素，甚至有50.8%的用户表示遭受过容器攻击白皮书下载地址：https:/ 580,000 660,000 134,000 270,000 901 可疑容器逃逸文件篡改异常进程反弹shell高危系统调用容器内木马检出2021

2、年，腾讯云容器安全服务监测到可疑容器逃逸行为84万次，文件篡改行为58万次 2020年，蓝军利用k8s集群未鉴权管理端口未鉴权管理端口，创建特权容器，逃逸到母机；2021年，蓝军利用内网SCF创建代理，窃取窃取k k8 8s s集群管理凭据集群管理凭据，登录业务容器；2021年，某云原生业务未对其容器进行安全策略配置安全策略配置，多次被蓝军通过挂载主机根目录实现逃逸；2022，某云原生业务因网络隔离配置网络隔离配置不当，外部用户可通过用户云上容器节点，连接公司内网；.千万核心规模，业务逻辑错综复杂，安全运营面临重大挑战 我的集群里有多少个Pod拥有高权限、我的应用应该被赋予哪些权限？如果发生了

3、提权操作，我怎么知道是哪个Pod，我该怎么操作？我发现有Pod在访问API Server执行操作，是被入侵了吗？微服务之间的各种访问通信，都是正常的业务操作吗？镜像扫出来一堆漏洞，我该怎么处理？安全产品告警了，我该怎么进行处置、怎么溯源分析？腾讯云原生产品矩阵 腾讯云原生产品体系和架构已非常完善，覆盖几乎所有云原生产品和服务；腾讯海量自研业务已全面上云，规模突破5000万核，打造了国内最大规模的云原生实践4%3%12%3%8%7%10%8%10%15%19%0%2%4%6%8%10%12%14%16%18%20%2周=2周=1周=1天=6小时=1小时=30分=10分=5分=1分=10秒44%=

4、5分钟分钟69%=1小时腾讯云超大规模容器平台的安全体系架构设计原则四大设计原则原生的基础设施安全安全能力云原生化安全能力原生化更早的投入安全资源和能力更有效的收敛安全漏洞问题更早的确定其安全性安全左移从开发到部署到运营全面融入DevOps体系实现DevSecOps安全防护全生命周期全面有效的身份权限管理持续的检测与响应零信任安全架构腾讯云原生服务安全体系框架基础安全公有云私有云专有云混合云可观测系统日志性能监控调用链路追踪安全管理策略管理安全内核主机安全WAFDevSecOpsDevOps集成代码审计密钥管理持续监测和响应安全审计漏洞管理拓扑关系追踪进程行为追踪调用请求追踪软件供应链安全数据

5、安全镜像扫描黄金镜像态势监控镜像签名镜像仓库安全通信API安全应用隔离异常行为检测API网关应用安全容器与编排安全运行时安全零信任网络安全入侵检测网络隔离访问控制入侵检测异常行为检测准入控制异常行为检测异常处置配置加固身份管理权限管理漏洞修复持续检测资源隔离与限制基础架构安全代码分析代码加固依赖加固抗D构建全生命周期的云原生安全运营框架IDENTIFYp 集群资产识别：包括cluster/node/namespace/pod/container等；p 自建容器识别：docker run等方式运行的孤立容器识别p 业务风险识别：对应用程序进行风险级别划分识别防护检测响应PROTECTp 系统加固

6、：包括配置检测与修复、漏洞检测与修复、镜像评估与修复p 安全防护：包括准入控制策略的配置、运行时的拦截策略配置、防 火 墙 策 略 配 置、WAF策略配置、防护策略管理等DETECTp 系统维度的威胁检测：包括容器内的进程异常检测、文件异常检测等p 网络维度的威胁检测：包括东西向流量的异常检测、网络入侵检测等p 应用维度的威胁检测：包括API调用异常检测、API攻击检测等RESPONDp 处置：包括网络隔离、暂停容器、终止进程等措施p 溯源：包括告警分析、确定攻击路径、确定入侵原因等修复RECOVERp 风险修复：根据入侵原因，对相关风险进行修复p 策略修复：包括从防护、检测等步骤更新安全策略