《江虎-云环境安全检测挑战与机会(16页).pdf》由会员分享,可在线阅读,更多相关《江虎-云环境安全检测挑战与机会(16页).pdf(16页珍藏版)》请在三个皮匠报告上搜索。
1、云环境安全检测挑战与机会江 虎腾讯数据安全架构师2021.5.14自我简介 江虎 腾讯数据安全架构师 互联网企业安全高级指南作者之一 一线大厂十多年安全从业经验 专注入侵检测、取证、攻防技术研究目录攻击面的变化云架构安全产品适配云攻防运营的变化云环境-攻击面Overlay 业务 PaaSSaaSFaaS 云控制台 API 混布 VpckvmdockerUnderlay 宿主机物理机 裸金属 智能网卡 网络设备 可编程交换机 模糊的网络边界 传统的流量安全产品部署在机房出入口 云架构混布下的流量监测盲点 同城VPC之间 同VPC的CVM之间 流量转发隧道“代理”VPC物理交换机更细粒度的东西向流
2、量监测 传统的流量安全产品+智能网络设备流量转发 同宿主机-裸金属设备流量copy 同城VPC-可编程交换机VPC物理交换机SOC四顾不睱的EDR容器轻量生命周期短非标物理机虚机非标系统各类版本kernel智能网络设备可编程交换机智能网卡全栈主机EDR智能(网络)设备 多平台版本支持非标物理机虚机 兼容性较好的内核方案(kprobeaudit)容器 云原生 容器化部署 daemonusermode libc kernelHIDSfakelibc.sofake_sshd rootkit.ko call_usermodehelper_exec HACKERinsmod builtin shell
3、ommand sec_shell cmdlogC2HiddencommandsHidden ProcessConnection auditloginotify更敏捷(碎片化)的应用发布Serverless安全产品部署外挂式部署笨重部署流程冗长资产识别滞后镜像打包发布生命周期短缺乏资产数据Serverless+devsecops IAST代码安全扫描嵌入发布流程 Soar+DAST Docker(imagefile)+RASPEDRfuncfuncfuncfuncService(php/java/python/go/js)+raspKVMpodpodSOCLog serverKernelLKMD
4、evsecopsKona JDKDAST&SAST安全左移IAST默认安全RASP+onionEDR运行时安全+soar安全服务自动(助)化攻防维度下沉 Talk is cheap,show me the shell AKSK Environment,AKSK Kubecongfig,AKSK API,redismysqlelasticsearch 拖库才是正事 Namespace,k8s同namespace横向渗透,容器逃逸 PaaSSaaSFaaS维度的战场 云环境fileless攻击 没有木马 没有webs hell 不需要也不存在持久化 云上的“宝藏”*aas的能力,“白嫖CDN”、代理 资源:计算、流量、存储 资产:数据数据运营更细粒度*aaS审计能力 风险识别,漏洞检测 数据使用盗用审计 历史“现场还原”SaaSFaaS:资产识别粒度必须更细 宿主机 容器 APPID 风险出现在的代码行总结融入云架构cwpp云原生落地devSECops切换风险视角保护云资产聚焦云服务风险Thanks