小佑-白黎明-主動保護是云原生安全的關鍵（17頁）.pdf

《小佑-白黎明-主動保護是云原生安全的關鍵（17頁）.pdf》由會員分享，可在線閱讀，更多相關《小佑-白黎明-主動保護是云原生安全的關鍵（17頁）.pdf（17頁珍藏版）》請在三個皮匠報告上搜索。

1、主動保護是云原生安全的關鍵白黎明北京小佑科技有限公司內容大綱01傳統安全模型在云原生環境下的問題02為什么主動保護是云原生安全的關鍵？03云原生應用的主動保護如何實現？云原生應用的發布模式云原生應用面臨的風險集群風險集群風險k8s組件/runtime組件自身可能存在漏洞，或不安全的配置；容器基于進程的隔離，隔離性較弱；因此可能導致非法提權和逃逸攻擊鏡像風險鏡像風險鏡像是容器運行的基礎，如果不及時更新或從不可靠的來源獲取，可能會導致鏡像內含漏洞或惡意文件代碼風險代碼風險開源代碼可能存在著 bug 或漏洞，又或者代碼攜帶的許可證與所開發應用本身的許可證相沖突鏡像倉庫風險鏡像倉庫風險鏡像倉庫漏洞和管

2、理問題帶來自身安全風險容器網絡風險容器網絡風險訪問控制粒度無法細化，攻擊者一旦進入集群，可以相對容易地進行東西向移動傳統安全模型的局限運行時檢測：基于零信任構建策略的能力，在運行時檢測并防止容器中的可疑行為；根據用戶行為觀察并實施規則，自動響應容器威脅。系統強化：主機內部的異常檢測或在主機運行基于 VM 的工作負載檢測。漏洞管理：具備檢測工作負載的漏洞能力。網絡安全：通過網絡防火墻、微隔離等工具技術，提供網絡流量可視化及訪問控制到工作負載的能力。合規性：自動化安全控制的能力，以實現數據和權限的持續合規性的治理，通過驗證容器、集群及運行底層系統合規性，從而保障應用的安全運行。事件響應：即使工作負

3、載消失后，也應具備取證分析和事件響應能力。云原生安全模型介紹Gartner 2021年技術成熟度曲線中增加了一個新類別CNAPP，中文全稱“云原生應用保護平臺”。CNAPP包含一組集成的安全性和合規性功能，旨在開發和生產過程中保護云原生應用。CNAPP允許企業使用單個集成平臺來保護云原生應用的整個生命周期。將安全防護覆蓋云原生應用的整個生命周期，從需求分析、軟件開發、軟件測試、軟件發布一直延伸到軟件運維。將安全防護工具集成到軟件開發流程的工具鏈中，以便在創建代碼并在持續集成時對代碼進行自動或手動的安全測試。完美的應用程序是不存在的，代碼漏洞也是不可避免的，因此開發人員應該將注意力集中在最高嚴重

4、性、最高可信度和最高風險漏洞上，以避免浪費開發時間。全面掃描制品（容器鏡像）和云配置，并與運行時的可觀測性和配置安全相結合，以確定風險優先級，合理安排補救措施。與傳統安全模型的對比功能特性功能特性CNAPPCSPM+CWPP工作負載安全工作負載安全平臺配置安全平臺配置安全基礎設施即代碼掃描基礎設施即代碼掃描云基礎設施授權管理云基礎設施授權管理代碼安全代碼安全/成分分析成分分析云原生安全模型的技術優勢整合功能整合功能雙向反饋雙向反饋整合各類功能全局管理基礎設施即代碼(IaC)的掃描容器鏡像掃描云基礎設施授權管理(CIEM)云安全態勢管理(CSMP)從研發反饋至運維：保證制品是安全和合規的識別制品

5、的預期連接和預期行為明確運行時需要保護的殘余漏洞推薦最小權限策略保證審批過的制品沒有變更從運維反饋至研發：識別與預期狀態的偏離識別運行中的有漏洞的組件識別未使用的工作負載組件識別可以裁剪的訪問權限為開發階段掃描提供運行時上下文識別應用誤用和攻擊有些企業使用了10個或更多不同的安全工具手工將DevSecOps縫合在一起，每個工具都有獨立的責任和應用程序風險視圖。如果保護云原生應用需要使用來自多個供應商的多個工具，顯然會降低開發和運維的效率，并造成風險的零散可見性。代碼審計鏡像掃描IASTCSPMIaC掃描云原生應用主動保護流程介紹代碼推送構建鏡像測試驗證鏡像流轉生產部署鏡像供應鏈檢測鏡像漏洞檢測

6、SATA源代碼檢測鏡像入庫檢測鏡像簽名上傳倉庫測試聯調KSPM 安全態勢管理鏡像檢測鏡像運行控制鏡像校驗鏡像加密同步相關資產可視化管理、安全事件分析、DevSecOps流程管控開發發布運行CI/CD 管道SCA開源組件檢測流程控制入侵檢測IAST交互式應用安全測試流程控制IaC 編排文件檢測開發階段-SASTSAST 源代碼缺陷檢測缺陷種類全24大類約1000種缺陷種類覆蓋主流編程語言兼容CWE、OWASP開源組件檢測開源組件漏洞檢測兼容CVE及CNNVD漏洞庫檢測性能支持多用戶并發檢測支持百萬行級代碼掃描容錯機制用戶直接提交源代碼自有編譯器、不依賴編譯環境提高分析的容錯性易用字節碼掃描技術J

7、AVA字節碼掃描技術沒有源代碼也能進行掃描開發流程整合代碼庫集成開發IDE集成Jenkins集成Bug管理系統集成SAST需求輸入需求管理平臺開發階段測試業務系統詳細設計線下需求評審功能開發代碼入庫Git/Svn發布計劃單架構師審核開發自測提測單開發階段-IaCIaC 編排文件掃描編譯生成Yaml文件dockerfile鏡像運行狀態的業務容器在鏡像創建之前預防鏡像安全風險,在容器運行之前預防容器配置風險安全左移，搶先一步發現問題，降低修復成本支持對代碼倉庫內的編排文件進行自動發現、識別與掃描支持風險報告導出和統一管理構建階段-SCASCA 開源組件漏洞檢測供應鏈威脅檢測代碼同源檢測清單檢測二進

8、制檢測第三方開源組件檢測應用包檢測（后門、信息泄漏）開源許可協議CI/CD流程IDE編碼、編譯構建應用打包、應用部署源頭控制、準入準出集成 SCA檢測自動化的 SCA 工具可以幫助研發團隊開發和發布高質量的代碼，并為參與者提供一種積極主動的風險管理方法。在軟件開發過程的初期，SCA 工具通過識別安全漏洞和風險，使軟件開發人員提前無縫地選擇更為安全的組件。在應用程序中引入第三方組件和庫的初期就充分考慮了安全性評估，降低了重復進行安全評估的需要，從而加快開發過程。如果具有已知風險和漏洞的組件對于開發工作來說是不可或缺的，那么開發團隊可以在首次引入該組件時對其進行判斷，并找出更好的解決方法來安全地使

9、用該組件。構建階段-鏡像供應鏈與漏洞檢測123獲取黃金鏡像基于黃金鏡像構建業務鏡像上傳測試倉庫45鏡像漏洞修復6審批通過后將鏡像同步到生產倉庫掃描漏洞和病毒7節點鏡像的掃描及基礎鏡像的識別配置鏡像運行策略并進行阻斷8構建掃描及修復上線黃金鏡像倉庫構建服務器代碼庫Dockerfile測試鏡像倉庫生產鏡像倉庫云原生安全平臺容器集群POD倉庫鏡像掃描倉庫鏡像掃描POD36容器鏡像 節點鏡像掃描784152發布階段-IASTIAST 交互式應用安全測試開發階段CICD 階段運行階段容器集群代碼庫Jenkins鏡像構建黃金鏡像倉庫測試鏡像倉庫生產鏡像倉庫測試聯調自測-系統-冒煙-回歸測試云原生安全平臺P

10、ODPOD IAST檢測IAST主要關鍵技術插樁檢測模式+流量檢測模式+實時Web日志無需專業技術背景，普通測試人員透明眾測完成業務安全測試旁路部署不影響正常業務流執行和通信效率。IAST低門檻低侵入低消耗透明部署，不影響正常測試工作和用戶使用流程。運行階段-Kubernetes Kubernetes 安全態勢管理漏洞掃描無害化POC安全檢查安全插件1.支持所有主流編排工具的CVE漏洞檢查，包括Kubernetes、OpenShift V3/V4；2.支持以無害化POC驗證集群安全風險；3.對1day漏洞快速響應，提供安全插件進行驗證；4.支持對配置進行合規檢查；配置合規（隸屬于IaC）運行階段-容器行為學習通過對容器內行為進行學習，建立安全模型當監測到模型外的進程、文件訪問、異常網絡連接和系統調用時，會通過關聯分析產品風險事件列表。人工響應處理，及時阻斷異常行為或糾正誤報。在測試環境里生成模型，直接應用在生產環境，無需重新學習零漏報，支持防御0day風險進程網絡連接系統調用文件配置監控風險事件列表容器內行為實時監控產生告警處置人工安全標記響應處置安全容器模型建立THANKS!THANKS!