【绿盟 刘文懋】云安全的下半场：原生安全.pdf

1、云安全的下半场：原生安全演讲人：刘文懋 绿盟科技01.云安全：纯安全问题02.云原生安全：云计算下半场03.原生安全：未来的安全CONTENTSCONTENTS目录Part1云安全：纯安全问题未来：云安全=纯安全 The Future of Network Security is in the Cloud 在2020年前，50%的企业将业务工作流放到本地需要作为异常事件进行审批。公司“无云”的策略会和现在“无网络”的策略一样少。Cloud Security Becomes Just Security 云计算与各行各业IT基础设施进一步融合，云或是基础，或是组件 云赋能安全+安全赋能云=纯安全

2、各类安全机制，将会或多或少适用于或应用云计算技术工业互联网5G/边缘计算原生安全：基于云原生、无处不在的安全云原生安全能力原生安全架构原生安全能力微服务/无服务安全编排平台/服务网格安全容器/虚拟化/宿主机运行时安全安全编排虚拟安全资源安全应用安全应用安全应用安全应用虚拟安全资源物理安全资源应用安全网络安全终端安全5G/边缘计算场景大型电商场景Part2云原生安全：云计算下半场云原生的生态和安全栈微服务/无服务编排平台/服务网格容器运行时宿主机/物理环境身份认证安全配置微隔离通信安全安全配置异常检测入侵防护终端安全安全资源池主机安全Hypervisor安全网络安全虚拟化运行时API安全安全配置

3、业务安全AI安全物理安全IaaS云原生操作系统安全仓库安全镜像安全容器运行时最大风险：容器逃逸内核漏洞应用漏洞危险配置Kata-containers逃逸先容器逃逸，再虚拟机逃逸涉及：CVE-2020-2023CVE-2020-2025CVE-2020-2026安全容器不是银弹！安全容器逃逸容器逃逸云原生攻防套件云原生安全评估套件 Metarget=meta+target https:/ 安装内核漏洞：metarget cnv install cve-2016-5195 安装Docker漏洞：metarget cnv install cve-2019-5736 安装Kubernetes漏洞：me

4、target cnv install cve-2018-1002105云原生靶场异常行为检测(workload）基于行为基线的异常检测 基于行为特征的异常检测-macro:container condition:(container.id!=host)-rule:New madvise System Call desc:Detect new madvise in container.condition:evt.type=madvise and evt.dir=and container output:name=%proc.name exe=%proc.exe user=%user.name c

5、wd=%proc.cwd exeline=%proc.exeline pid=%proc.pid ppid=%proc.ppid ctr_name=%container.name ctr_id=%container.id image_name=%container.image image_id=%container.image.id priority:INFO tags:container,nsfocus容器进程相似度容器异常行为逃逸行为检测规则逃逸行为检测结果异常行为检测(network）安全云原生化绝不仅是安全设备容器化，还有部署轻量化、功能简单化，策略编排化，能力云原生化容器网络安全(微

6、隔离、访问控制、入侵检测）云原生应用安全(API、应用层攻击）Host OS+Host Network网卡 X:APP1容器Z:APP2容器命名空间1Y:APP1容器Linux bridge访问控制引擎入侵检测引擎特权容器数通引擎编排引擎网络入侵检测访问控制命名空间2安全编排层Host OS+Host bridge网卡APP1容器API Sec GWNamespace1Namespace2API Sec GWAPP2容器API Sec GWNamespace3APP3容器API Sec GWNamespace2APPn容器Service Mesh安全编排层Part3原生安全：未来的安全未来的重

7、大产业升级：新基建？边缘计算 多接入边缘计算（MEC)是指在网络边缘侧提供智能服务且支持多租户的开放平台来源：MEC研究进展与应用场景探讨，MEC研究进展与应用场景探讨 MEC方式流量路径传统流量路径p距终端用户一步之遥，降低服务时延p减轻网络负载p资源受限，轻量级p基于容器、微服务01网络基础设施拒绝服务攻击中间人攻击伪网关02边缘数据中心物理损坏隐私泄露权限升级03核心基础设施隐私泄露服务篡改伪基础设施04虚拟化基础设施拒绝服务资源误用隐私泄露来源：Roman R,Lopez J,Mambo M.Mobile edge computing,Fog et al.:A survey and a

8、nalysis of security threats and challenges主流开源边缘计算平台KubeEdgeOpenNESSStarlingX公司：华为分类：分类依据一：物联网边缘计算为主 分类依据二：边缘网关或边缘云Github链接：https:/ 分类依据二：边缘云或云边缘Github链接：https:/ 分类依据二：边缘云或云边缘Opendev链接：https:/opendev.org/starlingx开源边缘平台安全的探索5GC是新一代ICT网络独立组网架构之核心网：网元NFV5G将采用分段路由（Segment Routing）技术数据面切片：轻量级安全资源池l支持多种切片隔离技术：面向不同应用资源和流量的安全防护机制隔离l实现子切片弹性伸缩和低时延：安全防护应满足安全强度和业务时延的要求l实现物理网络和切片网络的端到端统一控制和管理：统一安全资源池和服务链来源：https:/ 控制面网元：微服务化free5gcopen5gsSome takeawaysn云计算已无处不在，下半场云原生已经开场n安全厂商需要构建全栈、基于云原生的原生安全能力，适应新业务、新场景的发展n一些云原生的安全风险，已经影响原生安全产品，比如蜜罐n攻防永远是安全的主线，云原生攻防最终会变成传统攻防2022 敬请期待