《【邵攀】2023云原生产业大会 -云原生安全-邵攀.pdf》由会员分享,可在线阅读,更多相关《【邵攀】2023云原生产业大会 -云原生安全-邵攀.pdf(13页珍藏版)》请在三个皮匠报告上搜索。
1、中移智家业务云原生安全实践中移智慧家庭运营中心 邵攀2023年12月1日发展历程0102云原生安全治理实践云原生安全思考03云原生发展历程智慧家庭运营中心落实移动集团上云用数赋智,全面推进家庭业务上云用云,基于云原生技术演进持续数智化转型,智家业务网络并发从百万发展至2.9亿、计算实例数从数百台发展到6万+、云存储从GB级发展至EB级。20172017年10月,公司由传统存储架构演进为云化存储架构,公司音视频业务首先完成集成。2018年1月,公司第一版分布式计算架构发布,创建第一个云上租户,拓荒业务上云路径。中国移动移动看家使用新一代云存技术。2019年4月,公司业务用云服务接口调用突破1亿,
2、管理家庭泛屏业务内容文件数突破1000万。2020年6月,公司全业务平台网络并发突破1亿。2021年12月,公司全网并发连接数突破2亿,业务用云服务接口日均调用数突破5千万。2022年6月,云原生文件管理技术、软件负载均衡等开展商业硬件替换工作。2023年3月,公司全网并发云连接数达2.9亿(边界网络设备会话数),用云能力日均调用数达1.5亿,管理视频安防云规模行业第一。发展大事件20202023中国移动集团内通过云原生成熟度优秀级评价中国移动集团内专业公司上云用云规模第一实践锻炼专项提升全面赋能物理裸机建设基于x86物理裸机的IT服务。上云改造技术与云原生理念深化安防等多个承载在传统系统上的
3、业务向云原生架构转型。201720-2021云原生IT体系建立混合云运营平台与云原生技术体系建立云化技术初引入生产云技术上线。2022-2023算存云网IT支撑持续演进云原生安全体系的建立初具雏形数智化架构演进发展历程0102云原生安全治理实践云原生安全思考03云原生安全思考云原生引入了大量新的基础设施,安全防护对象发生了颠覆性变化,容器以及容器云逐渐成为工作负载的主流,容器带来了新的技术,比如镜像的使用和管理、编排工具K8S,OpenShift等。新技术带来新的安全防护对象,需要引入新的安全手段。技术挑战云原生的技术框架背后,是组织协作方式的变革。它采用 Dev
4、Ops 的方式进行快速的开发迭代,进行快速的持续交付。而传统安全工作主要负责线上运行服务的安全,无法适配新的开发节奏和安全要求。安全职责需要重新考虑,责任主体从开发、运维、安全的各司其职,转变成责任共担。组织挑战镜像风险微服务风险运行风险基础设施风险网络安全风险恶意程序软件漏洞敏感信息不安全配置仓库漏洞不可信镜像微服务漏洞微服务越权微服务框架漏洞容器逃逸反弹Shell病毒木马无文件攻击未授权访问K8S权限提升漏洞开启匿名账号登录K8s攻击集群内横向移动越权攻击发展历程0102云原生安全治理实践云原生安全思考03一.云原生交付平台安全能力建设二.云原生镜像安全在云原生发展中,项目的交付都是按代码
5、提交构建镜像的方式,镜像相比之前的构建快,数量多,带来安全的挑战;提供安全的基础镜像,对镜像中操作系统、中间依赖、文件系统的多层次扫描,设立安全基线,只有安全的镜像才能允许同步到生产环境。修复已知漏洞仅安装必要的软件确保安装软件的安全不允许配置默认root用户启动镜像,仅配置所需的最小权限用户.基础镜像安全要求使用确定版本的基础镜像基础镜像因安全原因升级后,应用镜像需同步升级.应用镜像安全要求二.云原生镜像安全Developer基础镜像准入准出阻断阻断镜像安全扫描镜像安全扫描镜像安全扫描镜像安全扫描Yaml Yaml 配置检查配置检查阻断阻断BUILDTESTDEPLOYRUNIDEIDE构建
6、镜像镜像安全扫描DockerfileDockerfile配置检查配置检查推送到仓(DEV)自动化测试人工测试性能测试推送到仓库推送到仓库(TEST)(TEST)自动化部署镜像安全扫描Yaml Yaml 配置检查配置检查持续扫描和监控工作负载持续扫描和监控工作负载生产仓库三.云原生集群安全巡检 针对runC、Kubelet、API Server、Docker、Pods等集群基础设施组件开展例行安全巡检,关注严重高危组件漏洞并及时推送并维修,新增漏洞及时同步检测组件巡检 对workload,service,ingress,configmap等资源进行巡检和访问控制管理,确保只有授权用户可以修改资源
7、以及网络访问符合安全策略配置巡检针对生产集群开展定期巡检,及时发现和纠正有漏洞的组件和不合规的资源配置四.云原生网络隔离通过对业务访问关系的梳理和学习,制定网络隔离策略,确保在云环境中运行的应用程序和服务之间实现有效的隔离和安全性避免流量在集群网络内部的实例间进行横向攻击,致使威胁在集群内扩散云原生场景的隔离策略集群间网络隔离:设置集群与集群、集群与非集群之间的隔离策略,通过配置安全组规则,限制不同实例之间的网络访问集群内网络隔离:通过封装PSP/PS策略控制集群内pod启动安全要求,对集群环境做好网络隔离通过汇总扫描和入侵检测数据,实现安全全局大屏监控,快速了解安全风险;并通过及时推送漏洞数据到责任人形成工单,保证风险及时被处理等,完成闭环五.云原生安全可视化安全大屏漏洞修复工单