《张涛-助力企业安全拥抱云原生(GOTC深圳会场)(16页).pdf》由会员分享,可在线阅读,更多相关《张涛-助力企业安全拥抱云原生(GOTC深圳会场)(16页).pdf(16页珍藏版)》请在三个皮匠报告上搜索。
1、开源云原生计算时代专场张涛 2021年08月01日助力企业安全拥抱云原生企业数字化驱动应用架构的现代化变革数据中心整合数据中心云化应用现代化硬件抽象资源池化统一运维计算、存储、网络、资源的虚拟化建设关键应用云化智能化运维资源交付自动化容器化建设微服务架构变革云原生构建DevOps实现IT驱动业务IT服务业务IT支撑业务2020年43.9%的国内用户已在生产环境中采纳容器技术,超过七成的国内用户已经或计划使用微服务架构进行业务开发部署2020年12月8日,全球最大的网络安全公司之一FireEye(火眼)披露遭遇黑客入侵,黑客成功窃取了FireEye渗透测试客户网络的黑客工具RedEye,又被称为
2、网络安全界的“核武泄露”。虽然这次疑似国家级黑客组织花费巨大技术成本进行的APT攻击很可能是一场“赔本买卖”,但也预示着新一代信息技术的快速发展环境下,网络攻击愈发有组织,国家化甚至是武器化,大国网空博弈的战势从未被搁置,资金雄厚的对手暗潮涌动,网络空间防御时刻枕戈待旦。我们需要以新思路的、最优解的技术共同防御和应对资金雄厚的对手。从FireEye被入侵看信息安全攻防的体系化、国家化、武器化北约机密云平台遭到入侵2021 年 5 月,北约机密云平台的重要供应商Everis遭网络攻击,与云平台相关的重要代码、文档等数据全部失窃,攻击者勒索超10亿欧元赎金,甚至要把数据发给俄情报机构。以下为DDo
3、Secrets的报道:2021年5月,有黑客入侵一家名为Everis的西班牙企业及其位于南美洲的子公司,成功窃取多套数据集,包括与北约云计算平台相关的源代码及文档。除了拿到数据副本之外,黑客团伙还宣称已经删除了公司内的原始数据,并有能力修改代码内容甚至在项目中植入后门。攻击方还打算勒索Everis公司,甚至开玩笑称要把数据发送给俄罗斯情报部门。01.风险的“不确定性”02.03.云原生安全设计理念云原生安全最佳实践风险的“不确定性”01“黑天鹅和灰犀牛”已知的已知已知的未知未知的已知未知的未知不确定性内生安全明确可能发生什么风险,且对风险发生的可能性和影响有准确了解,例如:病毒签名库、攻击特征
4、库、漏洞库明确可能发生什么风险,但对风险发生的几率和严重性并不了解,例如:可靠性问题、物理失效问题,针对系统软硬件漏洞后门的未知攻击(人为的)我们具备了解和处理风险的知识,但是我们不知道如何很高效的利用它们,例如:数据降噪,APT攻击识别,海量安全事件关联不了解可能发生什么风险,因此也不了解发生的几率和影响的严重性,无法预知也无法举例,例如:0Day漏洞,新技术缺陷黑名单,已知特征匹配基于AI/ML的异常偏移侦测和基于“零信任”的动态鉴权基于ATT&CK攻击矩阵的恶意行为模型检测自然语言关联,图数据库关联等,例如:SIEM,态势感知,SOAR平台等安全风险的“不确定性”云原生安全设计理念02传
5、统的安全问题在云原生环境依然存在Web攻防和系统攻防,暴力破解和反弹Shell等问题依然存在,但传统工具无法工作在云原生环境中运维管理流程和服务模型变化带来的管理难题云原生资产风险深度可视化难题,DevSecOps流程难题,云服务商和企业的安全防护责任和边界不清晰等云原生化应用引入新的安全风险凭证泄露,微服务的攻击敞口及治理难度,Serverless模型安全,API爆炸产生的权限管控和资源滥用 云原生计算环境引入新的安全风险开发IDE安全,编排系统及组件安全,镜像及镜像仓库安全,容器网络安全,容器逃逸,运行时入侵微服务DevSecOpsCI/CD容器云原生应用架构云原生带来的新的安全隐患云原生
6、安全最佳实践03Continuous Monitoring DevSecOps安全闭环云原生基础架构层安全云原生应用层安全云原生数据层安全Host K8s&Container AISecOps平台合规检查智能微隔离凭证管理CI/CD自动化资产自动发现&风险感知服务自动发现&风险感知智能告警中心容器加固及运行时安全审计取证权限管理镜像安全分布式应用防火墙服务动态鉴权业 务流 量 分 析敏 感数 据 识 别数据自动发现&风险感知安全事件响应中心安全策略配置中心云原生基础架构层安全探真云原生安全方案云原生基础架构层安全-TensorCS安全左移智能微隔离容行运行时安全容器自动加固代码安全扫描,静动态
7、镜像和组件安全扫描配置安全性及合规检查基于流量学习的自动策略推荐能力智能容器环境网络隔离方案整合ATT&CK防御和以AI画像偏移侦测为依据的免疫防御已知威胁的检测及防护通过学习容器画像后自动加固容器嵌入CICD流程的自动化加固方案云原生安全-基础能力高效的云原生AISecOps能力演进控制通用风险组织建设和人员管理安全工具链基础设施管理数据管理第三方管理度量与反馈改进控制开发过程风险需求管理设计管理开发过程管理控制交付过程风险配置管理构建管理测试管理部署与开发管理控制运营过程风险安全监控运营安全应急响应运营反馈人人为安全负责 安全左移 全流程的安全内生 安全闭环AISecOpsd 异常检测|聚
8、类分析|预测机器学习|智能响应|无人值守在 DevOps 框架下,将安全防护机制贯穿至整个应用生命周期的每一个环节。DevSecOps意味着从一开始就要考虑应用和基础架构的安全性,选择合适的工具集,持续集成安全防护,构建完整的应用全生命周期安全解决方案。云原生智能运维中台 d 日志|指标|监控|APM业务链|泛安全|DevOps完整的系统指标监控应用性能监控故障解决和根因定位高性能日志检索全业务链故障跟踪自动化运维平台全维度运维工具链集成云原生日志分析 d 日志|大数据|实时告警秒级检索|分析|可视化基础设施/云/容器/应用的日志采集和分析,故障定位和实时告警泛安全大数据分析 d 安全态势|行
9、为分析|SOC威胁情报|ATT&CK|资产资产漏洞、安全攻击事件、网络威胁情报、主机网络访问行为、容器访问行为等泛安全分析云原生安全能力 d 镜像安全|容器加固|运行时安全微隔离|动态鉴权|WAF 构建云原生安全能力,并这些安全能力自动嵌入CI/CD流程云原生智能安全运维的支撑系统云原生安全方案最佳实践等 保 2.0 一 键 对 齐检查所有云原生环境,帮助客户分析与等保2.0各级的差距,并通过解决方案满足等保相关技术要求重 要 活 动 攻 防 对 抗帮助客户确保在红蓝对抗中,自动发现薄弱点,自动化加固容器,确保减少不必要的风险敞口和攻击通道基 于“零 信 任”的 动 态 鉴 权业界领先的云原生应用动态鉴权方案,辅助客户完善软件开发流程以及大幅度增强安全性重 要 时 期 安 全 保 障基于操作系统内核级别的数据探测与服务级AI免疫画像技术,实时监控云原生环境运行状态,检测并防护已知和未知威胁