安全狗：2022年云原生安全威胁分析报告（50页）.pdf

1、厦门服云信息科技有限公司云原生安全威胁分析报告1厦门服云信息科技有限公司云原生安全威胁分析报告22006 年，亚马逊 AWS 把存储与计算能通过 S3 和 EC2 以互联的方式输送给广大户，开启了云计算时代。云服务使得算与数据资源像工业时代的电资源一样，通过电按需输送给千家万户。然而早期的云计算技术架构以虚拟机为主，资源损耗极大，就像由一大堆小型发电机堆砌的发电厂。云原生则是新一代云计算技术架构，采了基于云计算特点的新理念与方法，包括容器、微服务、服务格、DevOps 等技术，好比运转现代化大型发电机的发电厂，将云计算资源充分发挥出了优势。2013 年发布的 Docker 项目，2014 年发

2、布的 Kubernetes 项目，2015 年成立的 CNCF 云原生基金会对云原生发展起到了重要作。然而，新兴威胁总是伴随着新兴技术而来，传统的 IT 与云安全解决方案对应新的云原生威胁捉襟见肘。CSA 在云计算顶级威胁白皮书指出了云原生技术的重大新威胁，在云安全指南 4.0 中提出过对应措施，在 CCM 云安全标准中制定出相应的安全要求，在 CNST 云原生安全标准与认证中设置了设计与测评基线，并成立全球容器与微服务工作组、无服务工作组、云密钥管理工作组和大中华区云原生安全工作组持续进行云原生技术安全研究与标准制定。 云安全联盟大中华区理事单位安全狗发布的云原生安全威胁分析报告是业内对云原

3、生安全威胁全面的分析，对广大云厂商和上云企业提供了极具价值的实践洞见 , 不仅覆盖容器化基础设施、容器编排平台、云原生应以及无服务等方面云原生安全威胁，还提出了云原生漏洞风险检测模型“CCICA”，基于 ATT&CK 容器矩阵的产品检测能模型方法论“AKDA”，各类云原生威胁检测技术，这项报告对于云原生生态的安全发展具有重要的意义。从发展趋势看，更多企业将会广泛应云原生技术，云原生应该基于开源、开放的技术标准，云原生安全应该具有包括安全检测的内生安全能，这样云原生将为企业带来快速业务创新的更大价值，相信数字领域的所有安全工作者都会从阅读本白皮书中受益。国际云安全联盟大中华区序厦门服云信息科技有

4、限公司云原生安全威胁分析报告3一、前言 .4二、 云原生安全威胁分析 .4 （一） 容器化基础设施的威胁风险 .4 （二） 容器编排平台的风险分析 .7 （三） 云原生应用的威胁风险 .8 （四） 无服务的威胁风险 .9 （五） 服务网格的威胁风险 .10三、 云原生安全近年威胁.10 （一） 近年云原生安全事件风险 .10 （二） 近年云原生安全漏洞风险 .16四、 云原生威胁检测技术 .13 （一） 容器镜像安全检测技术 .13 （二） 容器运行时安全检测技术 .15 （三）容器网络安全检测技术 .16 （四） 云原生可观测性.17 （五） 宿主机威胁检测技术.19 （六） 容器 ATT&

5、CK 矩阵 .22五、 云原生漏洞风险检测模型 .23 （一） CCICA 云原生安全模型介绍 .23 （二） CCICA 云原生安全模型漏洞检测方法概述 .25六、 云原生入侵风险检测模型 .27 （一） AKDA 模型 .28 （二） 模拟红队攻击 .29 （三） 攻防知识图谱.31 （四） 数据源 .32 （五） 威胁检测算法.32 （六） AKDA模型与ATT&CK之间的关系.32七、 云原生威胁检测实战场景.33 （一） 镜像安全 .34 （二） 应用安全 .36 （三） 容器安全 .38 （四） 主机安全.42八、 云原生安全实践与技术展望 .45 （一） 云原生安全实践 .45

6、（二） 云原生未来展望 .46参考资料.50目录厦门服云信息科技有限公司云原生安全威胁分析报告4一、前言二、云原生安全威胁分析随着云计算技术的蓬勃发展，传统上云实践中的应用升级缓慢、架构臃肿、无法快速迭代等“痛点”日益明显。能够有效解决这些“痛点”的云原生技术正蓬勃发展，成为赋能业务创新的重要推动力，并已经应用到企业核心业务。然而，云原生技术在创造效益的同时，却也面临着严峻的安全问题。本报告基于安全狗“云原生安全团队”近几年的研究成果，以及近年来对云原生安全领域的观察编制而成。我们期望通过我们对以“云原生威胁检测”为主要视角的总结分析，能够为各个行业 / 企业 / 单位对云原生安全技术开展后续