《江虎-云環境安全檢測挑戰與機會(16頁).pdf》由會員分享,可在線閱讀,更多相關《江虎-云環境安全檢測挑戰與機會(16頁).pdf(16頁珍藏版)》請在三個皮匠報告上搜索。
1、云環境安全檢測挑戰與機會江 虎騰訊數據安全架構師2021.5.14自我簡介 江虎 騰訊數據安全架構師 互聯網企業安全高級指南作者之一 一線大廠十多年安全從業經驗 專注入侵檢測、取證、攻防技術研究目錄攻擊面的變化云架構安全產品適配云攻防運營的變化云環境-攻擊面Overlay 業務 PaaSSaaSFaaS 云控制臺 API 混布 VpckvmdockerUnderlay 宿主機物理機 裸金屬 智能網卡 網絡設備 可編程交換機 模糊的網絡邊界 傳統的流量安全產品部署在機房出入口 云架構混布下的流量監測盲點 同城VPC之間 同VPC的CVM之間 流量轉發隧道“代理”VPC物理交換機更細粒度的東西向流
2、量監測 傳統的流量安全產品+智能網絡設備流量轉發 同宿主機-裸金屬設備流量copy 同城VPC-可編程交換機VPC物理交換機SOC四顧不睱的EDR容器輕量生命周期短非標物理機虛機非標系統各類版本kernel智能網絡設備可編程交換機智能網卡全棧主機EDR智能(網絡)設備 多平臺版本支持非標物理機虛機 兼容性較好的內核方案(kprobeaudit)容器 云原生 容器化部署 daemonusermode libc kernelHIDSfakelibc.sofake_sshd rootkit.ko call_usermodehelper_exec HACKERinsmod builtin shell
3、ommand sec_shell cmdlogC2HiddencommandsHidden ProcessConnection auditloginotify更敏捷(碎片化)的應用發布Serverless安全產品部署外掛式部署笨重部署流程冗長資產識別滯后鏡像打包發布生命周期短缺乏資產數據Serverless+devsecops IAST代碼安全掃描嵌入發布流程 Soar+DAST Docker(imagefile)+RASPEDRfuncfuncfuncfuncService(php/java/python/go/js)+raspKVMpodpodSOCLog serverKernelLKMD
4、evsecopsKona JDKDAST&SAST安全左移IAST默認安全RASP+onionEDR運行時安全+soar安全服務自動(助)化攻防維度下沉 Talk is cheap,show me the shell AKSK Environment,AKSK Kubecongfig,AKSK API,redismysqlelasticsearch 拖庫才是正事 Namespace,k8s同namespace橫向滲透,容器逃逸 PaaSSaaSFaaS維度的戰場 云環境fileless攻擊 沒有木馬 沒有webs hell 不需要也不存在持久化 云上的“寶藏”*aas的能力,“白嫖CDN”、代理 資源:計算、流量、存儲 資產:數據數據運營更細粒度*aaS審計能力 風險識別,漏洞檢測 數據使用盜用審計 歷史“現場還原”SaaSFaaS:資產識別粒度必須更細 宿主機 容器 APPID 風險出現在的代碼行總結融入云架構cwpp云原生落地devSECops切換風險視角保護云資產聚焦云服務風險Thanks