《FCIS 2023 红蓝背景下的云原生安全实践-杨宁-share.pdf》由会员分享,可在线阅读,更多相关《FCIS 2023 红蓝背景下的云原生安全实践-杨宁-share.pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、红蓝背景下的云原生安全实践新东方教育科技集团杨宁安全的本质-持续的攻防对抗01云原生安全风险及防护02红蓝实战中的入侵检测和响应03持续改进的方向-数据安全04杨宁:新东方教育科技集团信息安全负责人,15+年信息安全从业经验,曾作为研究员及信息安全负责人就职联想研究院、新奥集团、龙湖集团。专注于企业信息安全管理体系和技术能力建设,致力于数字化安全运营。ISC2信息系统安全专家(CISSP)ISACA信息系统审计师(CISA)Webmaster网络安全分析师(CIW)ISO27001主任审核员中安国发信息技术研究院安全研究专家安全牛网络安全与数字风险专家委员会专家委员新东方教育科技集团,由199
2、3年11月16日成立的北京新东方学校发展壮大而来,目前集团以语言培训为核心,拥有短期培训系统、基础教育系统、文化传播系统、科技产业系统、咨询服务系统等多个发展平台,是一家集教育培训、教育产品研发、教育服务等于一体的大型综合性教育科技集团。新东方教育科技集团于2006年9月7日在美国纽约证券交易所成功上市,成为中国大陆首家海外上市的教育培训机构。新东方信息安全建设历程2014-15事件驱动事件驱动2016-17风险驱动风险驱动2018-20数据驱动数据驱动 漏洞平台通报 网安事件通报 内部安全事件 网络DDoS攻击风险 主机勒索病毒风险 应用攻击入侵风险 数据泄露安全风险 监控告警数据 漏洞检测
3、数据 系统审计数据 用户行为数据 威胁情报数据防护能力建设运营能力建设团队能力建设2021-23攻防驱动攻防驱动 被动参与攻防演练 主动组织红蓝对抗 持续威胁发现 持续能力完善 持续运营提升持续完善优化安全的本质持续的攻防对抗80%敌方力量20%我方力量攻击武器病毒、蠕虫、木马、后门、DDoS、爆破、撞库、社会工程。攻击组织国家组织ATP/黑客团伙竞争对手小黑/小白内部恶意人员攻击时间7X24X60X60(工具+人)攻击范围任何存在漏洞/弱点的攻击点防御系统防火墙、防病毒、NIPS、HIDS、NTA、EDR、DAM、DDM、加解密、SOC、SOAR、AI防御人员通常1-10人团队规模防御时间7
4、*16(人)7*24(系统)防御范围网络、主机、应用、数据、终端、账号、人。需要面面俱到在特定资源条件下(成本),在持续攻防对抗过程中,平衡用户体验和效率(效率),最大程度保护企业业务及资产不受损害(安全)。安全目标检验企业安全水位,充分挖掘风险检测安全防护能力,应急响应能力驱动企业安全建设,持续改进优化红蓝对抗的价值云原生及云原生安全Cloud Native云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。CNCF云原生安全云原生安全是对于云原生环境的安全保护。云原生环境包含了
5、云原生基础设施、云原生应用生命周期和运行环境。生命周期涉及到技术、实践和流程。云原生安全防护云原生环境面临的安全风险容器环境面临的安全攻击风险针对容器环境的MITRE ATT&CK攻击矩阵应用漏洞RCE漏洞执行拉起后门容器特权容器删除攻击日志获取配置文件APIServer南北向访问可用性破坏凭据泄露运维脚本下发容器后门进程特权账户主机创建容器获取SecretKubelet API东西向访问机密性破坏主机失陷容器命令执行主机植入后门容器逃逸创建仿冒资源模拟应用请求计算资源利用常见的针对容器攻击方式云原生应用安全防护传统的应用安全方案已难以在云原生环境下对业务应用提供完善保护,需要在云原生环境中嵌
6、入对应用的安全内生防护。CNAPP是一套用于帮助保障和保护跨开发和生产云原生应用的集成安全和合规功能。集成了多个云原生安全工具和数据源,包括容器扫描、云安全态势管理、基础设施即代码扫描、云基础设施授权管理和运行时云工作负载保护平台。生命周期防护:DevSecOps构件扫描检测:SAST、DAST、API、SCA,暴露面检测云配置安全:网络安全、基础设施安全、K8S安全、数据安全运行时保护:WEB应用、API、工作负载、网络,暴露面防护DevSecOps 安全能力集成云原生容器安全防护红蓝对抗中针对云原生环境的攻击路径分析攻击路径1利用应用漏洞进行远程命令执行攻击攻击路径2利用窃取的凭据对容器集
7、群管理API攻击攻击路径3利用漏洞或窃取凭据控制主机横向攻击攻击路径4对云原生基础服务攻击获取访问凭据红蓝对抗中针对容器环境的入侵检测路径1:利应远程命令执漏洞在容器内命令执,植代理容器运时侵检测路径2:利窃取凭据访问APIServer进Kubectl远程命令执,进应容器APIServer志审计监控路径3:利侵的Node主机,绕过K8S控制,Docker部署恶意容器主机侵检测路径4:利xxl-job脚本下发命令执,建反弹shell容器运时侵检测植代理xxljob命令执进容器查看敏感信息沙箱分析针对容器环境入侵应急响应切断攻击路径容器微隔离入侵分析清除恢复 入站控制:互联网攻击路径内网主机攻击路
8、径集群内POD攻击路径 出站控制:木马脚本下载路径木马反弹远控路径 隔离容器 暂停容器 重启容器 入侵影响 入侵行为 入侵方式 失陷范围 清除入侵遗留数据 更改失陷账号凭据针对云原生安全对抗结果的复盘云原生环境的安全漏洞仍要被重视,避免引入到生产环境DevOps核心基础应用配置数据必须严格保护,避免被直接窃取利用主机及容器防线必须守好,再完善的防护也无法阻止模拟应用窃取数据敏感数据的保护是核心,须加强云原生环境下的应用和配置数据保护1234持续改进云原生环境下的数据安全保护数据资产管理数据地图及血缘数据分类分级数据责任归属数据加解密数据加解密服务密钥管理数据脱敏数据去标识化访问权限管理IAM身
9、份权限管理应用/接口权限数据库权限服务器权限大数据权限数据访问监控应用埋点监控网络流量监控系统访问监控数据库审计监控大数据审计监控数据安全组织及职责数据安全策略及方针数据安全目标治理数据合规管控数据风险处置数据泄露事件响应数据安全审计应用系统/接口数据库大数据/日志平台办公/终端人员数据采集数据存储数据传输数据处理数据交换数据销毁基础安全防护网络层防护应用层防护主机层防护威胁情报数据泄露监控办公/终端管理数据防泄漏文档加密数字水印终端/身份零信任数据资产管理规范数据访问控制流程数据安全意识培训数据安全文化宣传数据访问审核数据安全绩效及考核数据安全资源及支持管理运营技术数据聚焦数据:个人信息数据、敏感配置数据(访问凭据)能力建设:敏感数据检测、数据访问监控、数据加解密THANKS