张涛-助力企业安全拥抱云原生（GOTC深圳会场）（16页）.pdf

1、开源云原生计算时代专场张涛 2021年08月01日助力企业安全拥抱云原生企业数字化驱动应用架构的现代化变革数据中心整合数据中心云化应用现代化硬件抽象资源池化统一运维计算、存储、网络、资源的虚拟化建设关键应用云化智能化运维资源交付自动化容器化建设微服务架构变革云原生构建DevOps实现IT驱动业务IT服务业务IT支撑业务2020年43.9%的国内用户已在生产环境中采纳容器技术，超过七成的国内用户已经或计划使用微服务架构进行业务开发部署2020年12月8日，全球最大的网络安全公司之一FireEye（火眼）披露遭遇黑客入侵，黑客成功窃取了FireEye渗透测试客户网络的黑客工具RedEye，又被称为

2、网络安全界的“核武泄露”。虽然这次疑似国家级黑客组织花费巨大技术成本进行的APT攻击很可能是一场“赔本买卖”，但也预示着新一代信息技术的快速发展环境下，网络攻击愈发有组织，国家化甚至是武器化，大国网空博弈的战势从未被搁置，资金雄厚的对手暗潮涌动，网络空间防御时刻枕戈待旦。我们需要以新思路的、最优解的技术共同防御和应对资金雄厚的对手。从FireEye被入侵看信息安全攻防的体系化、国家化、武器化北约机密云平台遭到入侵2021 年 5 月，北约机密云平台的重要供应商Everis遭网络攻击，与云平台相关的重要代码、文档等数据全部失窃，攻击者勒索超10亿欧元赎金，甚至要把数据发给俄情报机构。以下为DDo

3、Secrets的报道：2021年5月，有黑客入侵一家名为Everis的西班牙企业及其位于南美洲的子公司，成功窃取多套数据集，包括与北约云计算平台相关的源代码及文档。除了拿到数据副本之外，黑客团伙还宣称已经删除了公司内的原始数据，并有能力修改代码内容甚至在项目中植入后门。攻击方还打算勒索Everis公司，甚至开玩笑称要把数据发送给俄罗斯情报部门。01.风险的“不确定性”02.03.云原生安全设计理念云原生安全最佳实践风险的“不确定性”01“黑天鹅和灰犀牛”已知的已知已知的未知未知的已知未知的未知不确定性内生安全明确可能发生什么风险，且对风险发生的可能性和影响有准确了解，例如：病毒签名库、攻击特征

4、库、漏洞库明确可能发生什么风险，但对风险发生的几率和严重性并不了解，例如：可靠性问题、物理失效问题，针对系统软硬件漏洞后门的未知攻击（人为的）我们具备了解和处理风险的知识，但是我们不知道如何很高效的利用它们，例如：数据降噪，APT攻击识别，海量安全事件关联不了解可能发生什么风险，因此也不了解发生的几率和影响的严重性，无法预知也无法举例，例如：0Day漏洞，新技术缺陷黑名单，已知特征匹配基于AI/ML的异常偏移侦测和基于“零信任”的动态鉴权基于ATT&CK攻击矩阵的恶意行为模型检测自然语言关联，图数据库关联等，例如：SIEM，态势感知，SOAR平台等安全风险的“不确定性”云原生安全设计理念02传

5、统的安全问题在云原生环境依然存在Web攻防和系统攻防，暴力破解和反弹Shell等问题依然存在，但传统工具无法工作在云原生环境中运维管理流程和服务模型变化带来的管理难题云原生资产风险深度可视化难题，DevSecOps流程难题，云服务商和企业的安全防护责任和边界不清晰等云原生化应用引入新的安全风险凭证泄露，微服务的攻击敞口及治理难度，Serverless模型安全，API爆炸产生的权限管控和资源滥用 云原生计算环境引入新的安全风险开发IDE安全，编排系统及组件安全，镜像及镜像仓库安全，容器网络安全，容器逃逸，运行时入侵微服务DevSecOpsCI/CD容器云原生应用架构云原生带来的新的安全隐患云原生

6、安全最佳实践03Continuous Monitoring DevSecOps安全闭环云原生基础架构层安全云原生应用层安全云原生数据层安全Host K8s&Container AISecOps平台合规检查智能微隔离凭证管理CI/CD自动化资产自动发现&风险感知服务自动发现&风险感知智能告警中心容器加固及运行时安全审计取证权限管理镜像安全分布式应用防火墙服务动态鉴权业 务流 量 分 析敏 感数 据 识 别数据自动发现&风险感知安全事件响应中心安全策略配置中心云原生基础架构层安全探真云原生安全方案云原生基础架构层安全-