《黃鶴清-擁抱云原生原有安全需要升級(GOTC上海會場)(21頁).pdf》由會員分享,可在線閱讀,更多相關《黃鶴清-擁抱云原生原有安全需要升級(GOTC上海會場)(21頁).pdf(21頁珍藏版)》請在三個皮匠報告上搜索。
1、CNCF云原生專場黃鶴清 2021年07月10日本期議題:擁抱云原生,原有安全需要升級中科院信工所教授,博導Manager,Senior Researcher,字節ByteDance US AI Lab Security Team Founding Member 字節跳動美國硅谷第三位員工Research Staff Member,IBM T.J.Watson Research CenterResearch,Palo Alto Networks,WildFire 2.0 Key ContributorResearch,FireEye LabResearch,Samsung Knox Team
2、曾代表IBM研究院總部領導美國國防部高級研究計劃局(DARPA)透明可信云計算安全項目全球計算機安全年會35年來首位華人獲獎者(下一代智能企業安全方向)曾是火眼駭客松冠軍,FBI采納并發表其在火眼的研究成果賓夕法尼亞州里大學最佳博士生研究獎2015(全EECS系3位)Hicool全球創業大賽100強,Cisco全球創業大賽一等獎-4000美元,5110-B類;杭州創業大賽復賽 美國杰出人才EB1A,O1A獲得者美國審批專利15項,安全領域國際高質量文章數量30+被引用次數:1200+,h-index:15,i10-index:17引用來自5大洲的101所大學和27家研究機構其中包括Stanfo
3、rd、CMU、奧斯丁大學、喬治亞理工大學、UIUC等知名學府,北大、上交以及美國空軍實驗室、貝爾實驗室、微軟研究院、Intel研究院,FBIAwards探真科技Co-Founder CTO Background 黃鶴清,美國賓夕法尼亞州立大學博士,云安全專家,國家級海外高層次引進人才企業數字化驅動應用架構的現代化變革數據中心整合數據中心云化應用現代化硬件抽象 資源池化 統一運維計算、存儲、網絡、資源的虛擬化建設關鍵應用云化 智能化運維資源交付自動化容器化建設 微服務架構變革 云原生構建DevOps實現IT驅動業務IT服務業務IT支撐業務2020年43.9%的國內用戶已在生產環境中采納容器技術,
4、超過七成的國內用戶已經或計劃使用微服務架構進行業務開發部署IDC預測,中國軟件定義市場在未來五年的復合增長率將達到20.9%,到2025年市場規模將達到30.1億美元,占據全球軟件定義計算軟件市場的28.7%,一躍成為僅次于美國的全球第二大市場。中國軟件定義市場傳統的安全工具無法解決云原生特定場景下的安全問題,這里舉個例子,容器內部是基于網橋模式進行通訊,隔離性差,黑客一旦進入,所有容器都成為可被入侵風險點,通過逃逸提權等方式進行大范圍入侵,造成數據泄露,集群資源濫用(如:加密礦工)。而基于傳統虛擬化場景下,并不存在類似情況。傳統安全工具不是云原生的,不能匹配云原生自身靈活、輕量、高效、可伸縮
5、、可隨時啟停的訴求。這就導致安全防護效率跟不上應用迭代速度,安全防御無法隨服務進行動態伸縮隨時啟停需要重新構建基于云原生的安全目錄CONTENTSPart 01 風險的“不確定性”Part 02 云“原生”安全設計理念Part 03 云“原生”安全最佳實踐風險的“不確定性”需要“原生”安全01“黑天鵝和灰犀?!币阎囊阎阎奈粗粗囊阎粗奈粗淮_定性明確可能發生什么風險,且對風險發生的可能性和影響有準確了解,例如:病毒簽名庫、攻擊特征庫、漏洞庫明確可能發生什么風險,但對風險發生的幾率和嚴重性并不了解,例如:可靠性問題、物理失效問題,針對系統軟硬件漏洞和未知攻擊(人為構造的后門)我們具備
6、了解和處理風險的知識和海量的數據,但是我們不知道如何很高效的利用它們,例如:數據降噪,APT攻擊識別,海量安全事件關聯不了解可能發生什么風險,因此也不了解發生的幾率和影響的嚴重性,無法預知也無法舉例,例如:0Day漏洞,新技術缺陷黑名單,已知特征匹配基于ATT&CK攻擊矩陣的惡意行為模型檢測,基于AI/ML的異常偏移偵測和基于“零信任”的動態鑒權云原生開源漏洞:Golang Concurrency BUG自動化檢測和響應大數據安全分析,圖數據庫關聯等,例如:SIEM態勢感知-SOAR-XDR“原生”安全安全風險的“不確定性”云“原生”安全云“原生”安全設計理念02傳統的安全問題在云原生環境依然
7、存在Web攻防和系統攻防,暴力破解和反彈Shell等問題依然存在,但傳統工具無法工作在云原生環境中運維管理流程和服務模型變化帶來的管理難題云原生資產風險深度可視化難題,DevSecOps流程難題,云服務商和企業的安全防護責任和邊界不清晰等云原生化應用引入新的安全風險憑證泄露,微服務的攻擊敞口及治理難度,Serverless模型安全,API爆炸產生的權限管控和資源濫用 云原生計算環境引入新的安全風險開發IDE安全,編排系統及組件安全,鏡像及鏡像倉庫安全,容器網絡安全,容器逃逸,運行時入侵微服務DevSecOpsCI/CD容器云原生應用架構云原生帶來的新的安全隱患儲存 ARTIFACTS擴展監控安
8、全測試構建“Continuous Integration&Continuous Delivery”OrchestrationDoD Enterprise AISecOps Technology Stack 計劃&發展部署&運行Container and Container Management安全左移安全運維閉環安全智能化基于AI的風險免疫安全內生零信任用零信任的邏輯對所有資源訪問做鑒權,并且有能力持續監控與控制利用云原生的不可變性,基于“初信任”狀態,利用機器學習能力生成系統調用,文件系統訪問,進程,網絡,數據交換等多層次行為免疫畫像,運行時開啟偏移偵測,當發現行為異常時進行智能告警和阻斷。
9、智能發現、自動掃描,智能加固、智能生成ACL、自動部署、自動化處置安全不止于發現、告警。最終的安全是要有安全運維的持續閉環能力,在海量數據信號中高效的尋找核心安全事件做響應深度內生于CICD流程,左移于上線前進入安全流程。上線前,開發、分發、構建階段做鏡像與容器安全靜動態掃描準入與加固將安全能力的部署、數據獲取、檢測及防御內生到云原生環境中,利用云原生能力圍繞數據、服務、容器等動態工作負載做到可自動發現,持續觀測,風險態勢感知、與處置閉環。云“原生”安全6大核心設計理念云“原生”安全-基礎能力代碼和鏡像安全:鏡像掃描、鏡像簽名、鏡像一致性認證、鏡像準入管理及唯一可信鏡像制品庫集中密碼密鑰和to
10、ken等憑證管理容器加固與一致性網絡微隔離安全合規基線檢查云“原生”安全需要具備的13大能力云“原生”安全-基礎能力鏡像安全:鏡像掃描、鏡像簽名、鏡像一致性認證、鏡像準入管理及唯一可信鏡像制品庫集中密碼密鑰和token等憑證管理容器加固與一致性網絡微隔離安全合規基線檢查云“原生”安全-進階能力運行時持續監控和保護ATT&CK和已知特征威脅檢測云原生API安全:統一API 調度網關及微網關服務動態鑒權,服務之間的強訪問控制策略云“原生”安全需要具備的13大能力云“原生”安全-進階能力運行時持續監控和保護ATT&CK和已知特征威脅檢測云原生API安全:總線架構的統一API 調度網關及微網關服務動態
11、鑒權,服務之間的強訪問控制策略云“原生”安全-基礎能力鏡像安全:鏡像掃描、鏡像簽名、鏡像一致性認證、鏡像準入管理及唯一可信鏡像制品庫集中密碼密鑰和token等憑證管理容器加固與一致性網絡微隔離安全合規基線檢查L7微隔離(資源訪問隔離)基于AI免疫的未知威脅檢測云原生分布式WAF:業務邊界定義安全邊界數據庫審計及保護,文件操作審計云“原生”安全-高階能力云“原生”安全需要具備的13大能力云“原生”安全-進階能力運行時持續監控和保護ATT&CK和已知特征威脅檢測云原生API安全:總線架構的統一API 調度網關及微網關服務動態鑒權,服務之間的強訪問控制策略云”原生”安全-基礎能力鏡像安全:鏡像掃描、
12、鏡像簽名、鏡像一致性認證、鏡像準入管理及唯一可信鏡像制品庫集中密碼密鑰和token等憑證管理容器加固與一致性網絡微隔離安全合規基線檢查L7微隔離(資源訪問隔離)基于AI免疫的未知威脅檢測云原生分布式WAF:業務邊界定義安全邊界數據庫審計及保護,文件操作審計云“原生”安全-高階能力云“原生”安全需要具備的13大能力云“原生”安全最佳實踐03Continuous Monitoring DevSecOps安全閉環云原生基礎架構層安全云原生應用層安全云原生數據層安全Host K8s&Container AISecOps平臺合規檢查智能微隔離憑證安全CI/CD自動化資產自動發現&風險感知服務自動發現&風
13、險感知智能告警中心容器加固及運行時安全審計取證修復知識庫鏡像安全分布式應用防火墻服務動態鑒權業務安全敏感數據識別數據自動發現&風險感知安全事件響應中心安全策略配置中心云原生基礎架構層安全探真云“原生”安全方案探真科技憑借自身過硬的云原生安全技術實力、創新的技術理念以及豐富的實踐經驗,在云原生安全領域屢獲殊榮。探真科技入選CNCF Landscape榮獲CNCF推薦的國產云原生安全廠商。探真科技出品的鏡像安全掃描器榮獲HARBOR官方認證探真科技入選騰訊云原生加速器30強探真科技榮獲Hicool全球創業大賽優勝獎探真科技榮獲中國-南寧 2020海(境)外人才創新創業大賽三等獎中國-南京 2021海(境)外人才創新創業大賽一等獎獲得獎項探真科技入選開源GitOps產業聯盟