DevSecOps应用与技术论坛：基于开源治理的PaaS组件安全体系建设 - 游耀东（13页）.pdf

1、中国电信上海研究院中国电信上海研究院 游耀东游耀东基于开源治理的基于开源治理的PaaSPaaS组件安全体系建设组件安全体系建设基于开源治理的基于开源治理的PaaSPaaS组件安全体系建设组件安全体系建设自研组件清单自研组件清单原生组件原生组件清单清单序号序号组件类型组件类型组件名称组件名称1数据库CTG-TELEDBCTG-UDALHbaseTelePGCTG-GDB2分布式缓存CTG-CACHE3分布式消息中间件CTG-MQ4分布式小文件系统CTG-DFS5密集计算框架FM-MJJS6容器管理框架CCSE7负载均衡组件CTG-SLB8分布式任务调度CTG-DTTS9跨IDC数据同步CTG-I

2、DC-SYN10Devops套件云道11北向接口自研组件北向接口开源组件北向接口序号序号组件类型组件类型组件名称组件名称1时序数据库OpenTSDB2分布式消息中间件kafka3分布式服务框架SpringCloudDubbo4并行计算框架StormSpark5高可用Keepalived6Web容器Tomcatapache7基础环境CentOS8日志处理ELK9运维工具ZabbixPinpointZipKinansibleprometheusGrafana10HadoopYarnmapreduceHDFS序号序号组件类型组件类型组件名称组件名称11数据仓库Hive12数据查询Impala13a大

3、数据安全组件KerberosOpenLdapsentryranger14流处理框架Flink15机器算法类TensorFlow16分布式协同ZooKeeper17图形化工具Hue18分布式对象存储Ceph19开放平台istio20数据采集工具Flume21DAG计算引擎Tez22分布式列式存储系统Kudu23分布式数据分析引擎PrestoKylin24开源列式数据库Clickhouse现状现状-PaaS组件清单组件清单问题思考问题思考开源软件来源安全开源软件来源安全大量开发团队如何管控大量开发团队如何管控开源软件安全检测开源软件安全检测如何快速应对开源威胁如何快速应对开源威胁PaaS平台对接总

4、部、平台对接总部、31省公司、专业公司机房，资源池，服务器，有效支撑内部省公司、专业公司机房，资源池，服务器，有效支撑内部IT上云赋能上云赋能组件TeleDBUDALCTG-CAHECCSETelePGPaaS平台总在用实例数10000+，组件在用实例数10000+个，在用实例数排名前五如下：云云 翼翼 平平 台台机房机房资源池资源池服务器服务器专业公司专业公司机房机房资源池资源池总部总部机房机房资源池资源池服务器服务器省公司省公司现状现状-部署规模部署规模服务器服务器现状现状-问题与挑战问题与挑战存在的问题存在的问题后续后续改善措施改善措施入网后入网后入网入网前前 统一漏洞检测工具：黑盒，开

5、发管控引入SCA工具 制定PaaS组件统一基线标准，制定入网检测流程 利用开源治理，动态监测开源组件安全态势漏洞扫描：组件安全扫描依赖主机扫描，缺乏统一能力部署、统一调度、统一规范漏洞修复：漏洞修复能力欠缺，缺乏整体资产安全视图、部分依赖手动修复，反应滞后安全专家和能力分散在各单位开发、运维与业务之间存在脱节安全人员流失统一漏洞扫描工具及运维策略统一PaaS组件安全基线，同时自研基线检测工具，并统一采集全网数据，形成全网安全视图统一PaaS组件入网来源和管控标准制定PaaS安全管控流程，明确各团队职责建立统一安全安全团团队，利用社区建立开发、运维、业务沟通渠道，固话安全流程，定期组织PaaS相

6、关人员培训交流，提升整体安全能力和意识；目标：确保目标：确保PaaS组件的安全入网组件的安全入网人员人员能力能力上线前特别是开发测检测能力欠缺出厂前未进行基线合规检查（容器）开源供应链安全无保障（开源组件的来源、完整性校验以及安全漏洞状态监测）目标：确保目标：确保PaaS组件安全运营组件安全运营PaaS安全体系架安全体系架构构安全团队建设运维配置规范安全开发规范安全基线规范安全管理规范制度保障制度保障组件组件清单清单全量自研组件ELKHDFSYarnTomcatapachekeepaliveFlinkStormSparkdubboOpen Tsdb运维工