【徐迪】2023云原生產業大會_中國移動智家業務云原生安全實踐_徐迪.pdf

《【徐迪】2023云原生產業大會_中國移動智家業務云原生安全實踐_徐迪.pdf》由會員分享，可在線閱讀，更多相關《【徐迪】2023云原生產業大會_中國移動智家業務云原生安全實踐_徐迪.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、中國移動智家業務云原生安全實踐-應用安全防護-徐迪 中移（杭州）信息技術有限公司2023年12月1日CONTENTSPART 01安全挑戰PART 02技術方案PART 03應用效果云原生應用面臨的安全挑戰云原生應用是為了充分利用云計算的優勢（例如自動伸縮、自動修復、敏捷開發和部署等）而設計的應用程序，在進行應用安全防護的時候，面臨著特有的安全挑戰。規?；奶魬鹪圃鷳猛ǔＴO計為可自動擴展以應對變化的需求微服務的復雜性云原生應用通常采用微服務架構，包含各種服務和API持續集成/持續部署云原生應用通常采用CI/CD方法進行開發和部署，應用可能會頻繁地進行更新云原生安全模型云原生應用的安全模型和

2、傳統應用不同，更加重視API安全、身份認證和訪問控制等數據和隱私問題云原生應用快速發展，數據隱私和合規性也是一個重要的挑戰云原生應用安全防護方案威脅情報模塊API安全模塊風險分析模塊云原生Web應用程序和API保護(WAAP)1、安全能力容器化，通過引流將業務流量牽引至安全容器，可以動態擴縮容高可用，無懼業務規模變化；2、采用多引擎技術，利用規則防護引擎、動態防護引擎、智能防護引擎、語義分析引擎，結合移動大網積累的豐富威脅情報庫資源，縱深防御，利用非入侵式誘捕系統溯源，無懼微服務的復雜性；3、智能防護引擎定時學習正常業務，更新模型，無懼持續集成/持續部署業務更新造成的干擾；4、利用離線的API

3、安全模塊和風險分析模塊，深度挖掘攻擊行為和業務潛在風險，適配云原生安全模型；5、利用多種數據安全防護技術，防止敏感信息泄露，保障數據隱私和合規。通過安全能力容器化實現動態擴容高可用，利用多引擎技術和離線分析模塊，有效進行API安全防護，保護隱私數據，應對云原生應用安全挑戰。層層防護，無死角防御規則防護引擎智能防護引擎語義分析引擎動態防護引擎SQL注入XSSPHP注入CC攻擊敏感文件webshell動態令牌動態封裝動態混淆白規則機器學習行為分析詞法分析語法分析關聯分析場景判斷離線分析非侵入式誘捕系統返回包誘捕特定行為誘捕云原生API安全防護自動梳理API資源，構建API畫像，從全生命周期監控、A

4、PI風險、訪問異常、基線異常四個角度對API安全進行離線分析。API通信數據全生命周期監控API風險訪問異?；€異常用戶畫像資產總數活躍API失活API機器API新增API內部接口暴露缺乏異常處理缺乏限速機制缺乏訪問控制過度數據暴露缺乏鑒權機制境外地區調用異常源IP異常終端異常時段登錄接口暴破批量注冊高頻訪問驗證碼暴破請求參數請求頻率響應狀態碼響應頭字段響應體內容訪問源IP客戶端類型地理位置遍歷爬取接口對象級越權API自動梳理識別API用途云原生數據安全防護技術?；诿舾袛祿撁?、敏感路徑攔截、風險自動化分析等多維度進行數據安全防護，防止數據泄露。敏感信息脫敏JS、json、html等返回包身

5、份證、手機號等敏感信息脫敏敏感路徑攔截config、HeapDump、test等敏感路徑攔截異常返回攔截報錯、異常頁面、命令執行頁面等返回包攔截敏感信息監測利用帶外監測能力針對github、瀏覽器、網盤進行關鍵字以及源碼搜索風險自動化分析風險分析模塊針對敏感信息風險進行分析，例如弱密碼等1.非入侵式誘捕通過返回包敏感信息誘導：通過在響應包中嵌入“入侵誘導信息”的方式誘導真實黑客攻擊通過識別特定行為自動跳轉誘導：識別特定行為，引流入人機識別系統，排除自動化探測掃描工具的請求后，無感知誘捕2.溯源反制誘餌容器可按需彈性部署，環境豐富容器內系統調用、文件讀寫等行為捕捉識別持續監控，反制溯源云原生非侵

6、入式誘捕系統通過應用安全防護系統主動流量牽引，在零實施、零改造的基礎上輕松擁有誘捕能力，實現快速溯源、反制黑客的目的。應用效果截止2023年11月安全能力調用總量2.9萬億 攻擊攔截總量7.5億用戶規模7500+專利7落地省份31助力漏洞整改2500+網絡保障80+（數據來源于中國移動智慧家庭運營中心）云原生安全運營中心實現安全事件從監測、分析、研判到處置的全流程閉環響應管理，提供集中化、智能化、自動化的安全威脅運營防護能力，可有效提升企業安全運營工作成效及安全防護水平。應用效果截止2023年11月告警總量139億 處置事件1.7萬告警壓降率99%專利4響應效率分鐘級網絡保障20+（數據來源于中國移動智慧家庭運營中心）