《基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf》由会员分享,可在线阅读,更多相关《基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf(26页珍藏版)》请在三个皮匠报告上搜索。
1、基于容器服务 ACK 与 ACR构建企业级端到端DevSecOps 流程匡大虎阿里云技术专家01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录Paloalto:The State of Cloud Native Security Report 2023Sysdig:2023 Cloud-Native Security and Usage Report云原生安全 跨部门的安全管理和责任共担 在整个云原生开发生命周期中嵌入安全性 培训 IT/开发/安全人员使用安全工具 对整个云资源的安全漏洞缺乏可见性 找到满足
2、安全需求的正确工具安全87%的容器镜像包含严重或高危等级的漏洞90%的授权并没有被实际使用15%的严重或高危漏洞在生产运行时被使用Top5 挑战90%的企业无法在一小时内发现、止血或处理漏洞78%的受访者表示需要更多开箱即用的可视化安全产品能力,同时希望以最小的学习成本实现风险过滤供应链安全 85%至 97%的企业代码库使用开源软件 62%的企业受到软件供应链攻击的影响Sonatypes state of the software supply chain Gartner 预测:到 2025 年,全球将有 45%的组织的软件供应链受到攻击,比 2021 年增加三倍。数据来源:GARTNER I
3、nnovation Insight for SBOMs云原生安全的发展落后于应用的云原生化改进方向监控和应急响应。t身份和访问控制漏洞和配置管理授予的权限与业务所需的权限之间存在巨大差异,需要基于最小化原则定期排查和管理权限,以减少攻击机会。由于大多数容器镜像在生产中运行时都存在风险漏洞,因此团队必须解决镜像臃肿的问题,并根据实际运行风险确定漏洞的优先级,从而集中精力进行修复。同时云原生的配置安全问题日益突显,企业需要在基线的指导下自动化排查业务负载风险。权限升级和防御规避攻击是企业面临的最大威胁。要想在不断变化的威胁环境中保持领先,就必须定期更新威胁检测规则,采用高效手段动态发现可疑攻击。D
4、evSecOps核心问题01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录威胁分析身份服务数据控制面网络底层硬件内核&OS容器运行时云资源攻击路径K8s容器攻击路径网络攻击不当配置不当配置非授权访问数据窃取漏洞利用应用漏洞内核漏洞运行时漏洞特权利用漏洞利用恶意投毒不当配置漏洞利用缺乏网络隔离主机逃逸初始入侵下发指令持久控制权限提升躲避防御窃取凭证探测信息横向攻击达成目标云账号AK泄露通过kubectl进入容器部署远控容器利用特权容器逃逸容器及宿主机日志清理K8s Secret泄露访问K8s API Serv
5、er窃取凭证攻击云服务破坏系统及数据使用恶意镜像创建后门容器通过挂载目录向宿主机写文件特权RBAC绑定K8s Audit日志清理云产品AK泄露访问Kubelet API通过Service Account访问K8s API劫持资源K8s API Server未授权访问通过K8s控制器部署后门容器K8s cronjob持久化利用挂载目录逃逸利用系统Pod伪装K8s Service Account凭证泄露Cluster内网扫描Cluster内网渗透DoSK8s kubeconfig泄露利用特权Service Account连接API Server执行指令在私有镜像库的镜像中植入后门通过Linux内核
6、漏洞逃逸通过代理或匿名网络访问K8s API Server应用层API凭证泄露访问云厂商服务接口通过挂载目录逃逸到宿主机加密勒索容器内应用漏洞入侵带有SSH服务的容器注入恶意admission controller通过运行时漏洞逃逸清理安全产品Agent获取管理面身份凭据访问私有镜像库CoreDNS投毒私有镜像库暴露通过云厂商CloudShell下发指令利用K8s漏洞进行提权注入恶意admission controller访问ECS Metadata APIARP和IP欺骗攻击Master节点SSH登录凭证泄露Sidecar注入利用Linux Capabilities逃逸通过NodePort访
7、问Service攻击第三方K8s插件利用应用漏洞远程命令攻击获取云资源访问权限阿里云容器安全ATT&CK攻防矩阵漏洞管理基础设施和控制面配置安全管理安全资产管理云安全威胁检测安全合规CSPM(云安全态势管理)云上访问控制服务:管理身份和权限默认权限校验不当授权监控CIEM(云基础设施授权管理)主机漏洞管理云原生漏洞管理容器和K8s运行时安全K8s安全基线管理Serverless安全主机和容器威胁检测CWPP(云工作负载保护平台)云安全威胁检测容器和K8s运行时安全主机威胁检测CDR(云安全态势管理)CNAPPCNAPP(Cloud Native Application Protection P
8、latform)云原生应用保护平台通过静态安全扫描和软件成分分析等手段保证制品的安全合规通过基线分析等手段识别制品的默认行为和预期连接基于漏洞和恶意代码扫描明确剩余漏洞,采取运行时安全防护措施基于最小化权限原则授权通过策略治理等手段保证制品的安全完整性通过动态安全扫描和交互式监视等安全工具识别应用代码漏洞基于云原生安全态势感知方案识别安全资产,收敛权限并设置安全策略基于云原生应用负载安全防护手段发现并阻断运行时安全攻击事件基于云原生运行时安全监控手段为开发阶段提供应用运行时安全上下文基于云原生安全巡检工具识别应用高危配置和潜在攻击风险开发生产DevOpsIaC基础设施即代码扫描网络配置和安全策
9、略云基础设施资源管理Kubernetes安全态势管理云安全态势管理安全配置制品扫描SAST/DASTAPI安全扫描软件成分分析CVE扫描RBCA权限扫描敏感信息扫描恶意软件扫描网络应用和API安全防护应用安全监控云应用防护平台容器网络隔离CVE扫描RBCA权限扫描敏感信息扫描恶意软件扫描攻击溯源分析CNAPP安全能力运行时防护云原生应用生命周期安全开发构建部署运行应急和取证IaC基础设施即代码扫描代码安全扫描依赖三方库安全扫描敏感信息硬编码扫描风险配置扫描漏洞管理Admission准入校验配置管理身份和访问控制威胁检测应急响应CI/CD 自动化使用安全的镜像仓库和构建环境漏洞风险和等级管理审计
10、和阻断风险镜像审计和阻断风险配置通过云服务或CSPM平台自动化巡检风险配置安全资产管理严格遵守最小化权限原则CIEM 访问控制授权管理和监控主机和容器威胁检测应用运行时安全监控完备审计溯源分析容器和主机进程风险阻断应用生产运行时相关的安全上下文信息开发安全左移 循环反馈发现和纠正错误的复杂性、时间和风险构建运行反馈01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录安全可信软件供应链研发KMS镜像构建ACK私钥公钥安全扫描源代码更新应用发布自动触发镜像签名容器应用云安全中心集群安全概览(节点漏洞、容器镜像、策
11、略配置、运行时风险)运行时防护ACR EE 策略阻断策略通过一键修复New节点漏洞自动修复Secure and Trusted Supply Chain准入控制治理审计配置巡检任务云效代码扫描质量红线开发阶段交付阶段运行阶段DevSecOps 安全洞察ACR EE OPA PolicyGatekeeperBinary AuthZ PolicyKritispolicy-controllerAdmission Webhook镜像漏洞校验镜像签名校验应用部署模版校验KMS signACK集群策略部署安全管理员策略仓库配置巡检任务主机和容器监控Node运行时安全监控安全概况策略治理报告安全配置巡检报告
12、RRSA2 基于OIDC协议验证Token1 使用OIDC Token扮演RAM角色获取STS Tokenack-pod-identity-webhookSTS用户应用RAM云资源3 使用STS临时凭证访问云资源0 自动注入应用挂载OIDC Token和环境变量配置不推荐应用内直接使用AK访问云资源不推荐在ECS RAM Role上绑定节点维度的云资源访问权限最小化收敛节点默认云资源访问权限通过serviceaccount 以应用维度最小化隔离授权云资源访问权限节点默认安全ack-secret-manager密钥管理应用Pod挂载secretack-secret-manager专属KMS凭据管
13、家ClientKeyExternalSecretsSecretStore自动刷新避免在应用中硬编码敏感信息支持对接阿里云专属KMS凭据管家支持解耦的KMS多实例访问凭据配置支持自动化的密钥轮转同步alibabacloud-secret-store-csi-provider密钥管理node-driver registrarsecrets-store-csi-driver应用PodInline Volumesecret-store-csi-providerKMSRRSA OIDCAuthSecretProviderClassInline Volume避免在应用中硬编码敏感信息避免创建secrets
14、实例避免etcd中出现明文secrets信息避免大规模场景下的secrets实例堆积应用仍旧保持文件路径方式读取密钥,避免额外改造机密计算可信容器运行时可信数据存储可信软件供应链机密沙箱容器(Intel TDX NewNew)进程级机密容器(Intel SGX2)KBS/AS租户级应用远程证明服务Guest OS KernelDragonball(rund with cc-shim)Kata-agentimage-rsattestation-agent用户应用Occlum/Gramineenclave-agentimage-rsattestation-agent用户应用Inclavare Co
15、ntainer(rune)ACR镜像服务(加密)OSS/EBS存储端到端可信运行环境,提供全数据链路AI模型保护KMS密钥管理服务KMS密钥管理服务机密主机容器(Intel TDX New)用户应用Containerd(runc)PCK证书缓存服务金融风控医疗健康人工智能LLM/AIGCIoT数据隐私保护应用场景可疑攻击活动审计Worker NodeIn-container operation log(malicious exec ops)Log AgenteBPF AgentExec ControllerCVE vulnerability tracing 支持审计攻击者在容器内执行的可疑活动
16、基于eBPF技术实现高效安全可观测集成SLS可视化报表自动化highlight K8s CVE相关的可疑活动集成SLS溯源时间线K8s CVE利用活动审计exec活动审计ack-ram-authenticatorkubectl等客户端4.发起Webhook请求RamIdentityMappingsKubernetes APIRAM5.请求GetCallerIdentity验证请求身份RBAC6.返回RBAC鉴权结果3.生成签名后的STS请求URLRamIdentityMappings云SSO身份审计ack-ram-toolack-ram-authenticatorK8s webhook旁路认证
17、模式适配企业SSO角色接入场景,提供灵活可控的数据面RBAC认证鉴权方式满足企业客户IDP身份下发和审计的合规需求自动清理离职员工的数据面RBAC权限2.云SSO Auth1.exec 基于本地credentials配置获取sts tokenContents目录01云原生安全挑战02云原生安全体系方法论03 阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践坚守安全原则零信任 权限最小化安全左移“Never Trust,Always Verify.”安全是:在不加剧安全漏洞的情况下,您能否继续高效/安全地工作。安全的好坏取决于 最薄弱的环节。安全是对企业资源(计算机/人员
18、)、所需专业知识、时间管理、实施成本、数据备份/恢复等的 风险管理安全是全天候的.持续不断的.永无止境的安全就是“在不对网络、生产效率和预算造成负面影响的情况下,以最快的速度学习所有可以学习的知识。开发构建&部署运行时反馈&规划全生命周期安全覆盖配置扫描:模版安全配置、权限配置、参数配置等漏洞扫描:基础镜像、开源软件、三方依赖库等拒绝硬编码:数据库密码、证书等 建立循环反馈机制:建立开发和生产之间的双向持续反馈机制,通过团队规划避免重复风险自动化CI/CD:使用云服务或开源软件构建自动化扫描和卡点能力漏洞和风险管理:风险分级、建立漏洞清单、及时更新漏洞库准入校验机制:制品漏洞校验、应用配置安全
19、校验等容器和主机运行时监控告警:高效采集安全上下文,实时监控风险云原生安全资产管理:覆盖云原生集群、容器和镜像等资产,建立安全运营机制自动化应急响应机制:建立内部安全分级应急预案、及时阻断容器和主机风险、溯源分析上海品茶安全培训:安全和开发运维团队双向的知识共享,建立真正的安全责任共担平衡目标:从组织到个人都需要设定和评估安全和生产效率之间适当的平衡点持续学习:云原生是复杂和不断创新的,需要组织和个人掌握最新的漏洞和安全策略将DevSecOps的实施列入团队绩效考核,纳入生产安全分级问题,平均修复时间等指标重视生产部署效率的平衡,保证生产的版本迭代是安全检查的前提Coding:防御性编程,从源头上解决问题是最高效和节省成本的集成到IDE和构建过程中:本地构建、提交合并、CI/CD流程均可实现自动化集成覆盖到云上部署流程:实施策略治理流程,打破运维和开发的gap合规性:集成合规基线校验工具开发:集成安全IDE插件或CLI工具,安全最佳实践指导构建和部署:确保知悉CI/CD流程中的安全卡点和自动化流程,专人负责卡点答疑运行时:规划突发安全问题的分级应急流程反馈和规划:确保相关人全部知悉变更带来的安全影响,注重安全培训,建立安全意识人员流程工具绩效THANKS