2020BCS-北京網絡安全大會：云原生下安全方法的重新構建 ———私有云原生安全的未來思考.pdf

《2020BCS-北京網絡安全大會：云原生下安全方法的重新構建 ———私有云原生安全的未來思考.pdf》由會員分享，可在線閱讀，更多相關《2020BCS-北京網絡安全大會：云原生下安全方法的重新構建 ———私有云原生安全的未來思考.pdf（18頁珍藏版）》請在三個皮匠報告上搜索。

1、2020北京網絡安全大會內生安全從安全框架開始ENDOGENOUS SECURITYSTARTING FROM A CYBERSECURITY FRAMEWORKF00010001010010#page#云原生下安全方法的重新構建私有云原生安全的未來思考#page#林曉明嘉賓照片奇安信戰略咨詢規劃部#page#云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重構金融云原生下的“內生安全”理念#page#越來越多的金融機構在靠近云原生金融機構采用云原生的驅動力開發運行環境一致性業務敏捷與彈性化持續交付Devops，云原生代表了一系列新技術，包括容器編排微服務架構、高度的容錯性意0Q不

2、可變基礎設施、聲明式API、基礎設施即代碼、持續交助力企業的中臺建設混合云部署付/持續集成、DevOps等，且各類技術間緊密關聯。CloudNative云原生云原生發展過程中的阻礙過去云的發展極大提升了數據中心的運行效率，而今天的0o0大量新技術與開源軟件o08與傳統單體應用、SOA應云原生直接面向開發者提供服務，透明化了基礎設施運行微服務容器技術用架構不完全兼容環境，屏蔽了運行穩定需求與業務快速變化之間的矛盾#page#云原生開始重新定義IT組織的多個方面云原生表面上是資源的高度測試開發生產開發測試生產集中，而背后是對組織協作交維界面(QA）(sdol（Dev）IDev)(QA）（sdo）方

3、式的變革，從組織責任邊界（交維邊界），產品選代開發模式（開發模式），業務設計漯布式開發（應用架構）到數據中心0單體基礎設施（運行平臺）都產應用架構應用皖SB生了影響。最常見的是數據PaaSaPaaS FaaS獨立的基礎設施資源中心的運維職責變化。運行平臺（計算、存儲、網絡）laasiPaaS l laas#page#云原生對安全團隊帶來的挑戰技術挑戰：云原生引入了大量基礎設施新技術，導致安全工作者理解難度增加云越來越像個黑盒，過去的安全工作多數只是圍著核心業務外圍轉。組織挑戰：安全建設和云基礎設施關系緊密，導致安全職責需要重新考慮，安全組織和信息化其他組織的關系無法簡單定義為誰主管、誰建設、誰

4、負責。能力服務化挑戰：應用上云后也會的提出安全服務化的訴求，開發團隊短期找不到現成的安全服務時，可能自行使用開源安全工具，但卻難于兼顧安全責任。#page#云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重構金融云原生下的“內生安全”理念#page#“重新左移1.不可變基礎設施導致安全的應用及微服務安全安全構建當前未來38安全測試開發2工作負載安全服水線/開發運行一體化/云管平臺安全嬰資產安全漏洞及基線問題從開發階段開始關注未發布時，需要定期在鏡像倉庫及制品庫進行安全檢查定期對運行環境進行安全掃描發現資產安全風險在運營過程中，發現漏潤需要及時協同運行團隊進行修復上線發布即安全，脆弱

5、性修補通過開發重新部署完成對運行發現的安全問題需要在開發測試環境的進行持續跟蹤運行態的安全基本上與開發態的安全工作相互割裂#page#2.面向開發全流程安全的“重新構建ST當前未來CCD安在開發過程中有大量安全檢測工作需要人工介入自動化是所有安全工具集成到流水線的前提安全測試卡點主要出現在上線前的上線部署環節在DEV/SIT/UAT各個階段集成必要的安全測試應用構建安全主要關注編譯環境與代碼安全問題應用構建安全還需要考慮基礎鏡像、依賴庫、構建過程等安全問題大量零散的安全工具相互孤立，沒有形成整體形成基于不同開發項目在各階段的研發安全看板管理#page#3.容器化工作負載安全的重新部署知北安業管

6、理號位部分云平臺虛把機可通過當前未來金擬c8。服務器資源房院8888器廢機代以物理機、虛擬機為主的云工作負載安全以防病毒、主機入侵防護為主的工作負載安全以安全加固、完整性保護、異常檢測為主的安全防護主機應用安全軟件部署/升級大多在運行態完成RASP等安全軟件的部署可以打包進Dockerfile進行鏡像構建主機系統安全軟件直接嵌入到操作系統內部虛擬機和容器的安全部通過Sidecar部署，對應用無侵入不同安全等級的容器編排至對應的Ingrress入口#page#4.云運行環境安全服務化的“重新思考密朗管理服務云安全服務管理（統一策略管理、面向租戶展示）安全服務（隱性）安全服務（顯性）當前未來云運行

7、環境被保護資產同編排調度私有云的安全能力基本以虛擬化的安全設備為主私有云的安全服務本身需要原生化安全防護資產信息難于與云資產信息進行打通形成安全安全策略集中管理控制，隱性安全服務只為租戶提供結果展示入侵防護、WAF、安全審計等安全服務直接面向租戶提供策略管理大量安全服務的云內集成很多時候變成租戶的困擾需要考慮安全顯性化服務，AM、KMS、憑據及證書管理、惡意代碼/顯性化服務的特點是直接可被應用調用敏感數據檢測API或SDK等，#page#5.云內基于業務屬性橫向隔離的“重新設計業務區：用于部署各類8810服務M開發測試區：用于業務當前未來聯網業務國國外聯網區：用于部署與第三方外聯機構業務廣域網

8、區：用于與內態分支機構互聯；管理網區：用于數據中傳統數據中心第一層隔離邏輯基于網絡區域屬性實現安全訪問控制云數據中心的第一層隔離邏輯是基于業務單元（租戶）資源隔離云數據中心通過雙層（物理+VPC）網絡構建多租戶網絡基礎設施大規模數據中心環境容器網絡下沉至虛機網絡是主要方向容器網絡和微服務通訊架構的出現增加了數據中心網絡復雜性基于業務屬性標簽進行安全訪問控制隔離將是主要機制傳統網絡隔離機制在新的數據中心無法維續沿用，安全邊界?；鈶魞忍摍C/容器網絡基于屬件的微障離，VPC間安全防護隔離、DMZ與業務域間安全防護隔離是云內實現隔離的主要位置#page#6.微服務框架下服務安全邊界重新定義AP消費者

9、一單體應用裂構服務架構當前未來S樂西商通訊單體應用基于微服務理念進拆分，使用松糊合應用開發框架開放服務安全形成面向互聯網，組織內，微服務架構內三層邊界侵入式（Springcloud）微服務架構向無侵入式（服務網格）微服務內部，服務治理與微服務安全訪問控制的整合發展越來愈多的AP/SDK對內開放的同時還需要對外進行開放微服務外部，實現面向三方訪問場景的認證授權架構OID安全防護僅僅依賴企業互聯網邊界過去的安全能力建設AP1與Web成助防護在WAF側能力的集成（WAAP#page#7.金融云各類訪問通道的“重新建設“應用代理應用代理務投權當前未來動態訪問控制持續認現有持續信任評估終璃環境感業務環境

10、感知開發及運維接入包括互聯網遠程、辦公網、生產網直接接入等互聯網遠程的開發與運維接入變成后疫情時代的主旋律主要以轉入NAC和VPN為主的接入控制方法確保無論從互聯網接入還是辦公網接入都具備相同的安全控制措施面向云生產環境、研發流水線平臺的運維通道基于接入過程的風險變化實時對訪間的授權進行動態控制研發人員的開發測試環境的接入通道簡單化的用戶體驗與基于零信任的安全訪問控制#page#云原生對金融機構網絡安全工作的影響云原生安全工作方法的“7個重構金融云原生下的“內生安全”理念#page#“內生安全”理念指導云原生安全落地，開發運行一體化安全，在開發測試與運行階段的需要安全能力的一致性安全與信息化的協同，云原生安全建設運行需要與相關的IT組織高度協同。安全基礎設施透明化，大部分安全措施需要如云基礎設施一樣對應用透明。軟件定義的原生安全，在云高度軟件定義的當前，安全也需要軟件定義安全能力內生于云上，Paas能力建設代表了企業中臺化能力，安全也需Paas化事生#page#謝謝#page#