报告预览

2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf

编号：29443

PDF 18页 2.33MB 下载积分：VIP专享

下载报告请您先登录！

2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf

1、2020北京网络安全大会内生安全从安全框架开始ENDOGENOUS SECURITYSTARTING FROM A CYBERSECURITY FRAMEWORKF000#page#云原生下安全方法的重新构建私有云原生安全的未来思考#page#林晓明嘉宾照片奇安信战略咨询规划部#page#云原生对金融机构网络安全工作的影响云原生安全工作方法的“7个重构金融云原生下的“内生安全”理念#page#越来越多的金融机构在靠近云原生金融机构采用云原生的驱动力开发运行环境一致性业务敏捷与弹性化持续交付Devops，云原生代表了一系列新技术，包括容器编排微服务架构、高度的容错性意0Q不

2、可变基础设施、声明式API、基础设施即代码、持续交助力企业的中台建设混合云部署付/持续集成、DevOps等，且各类技术间紧密关联。CloudNative云原生云原生发展过程中的阻碍过去云的发展极大提升了数据中心的运行效率，而今天的0o0大量新技术与开源软件o08与传统单体应用、SOA应云原生直接面向开发者提供服务，透明化了基础设施运行微服务容器技术用架构不完全兼容环境，屏蔽了运行稳定需求与业务快速变化之间的矛盾#page#云原生开始重新定义IT组织的多个方面云原生表面上是资源的高度测试开发生产开发测试生产集中，而背后是对组织协作交维界面(QA）(sdol（Dev）IDev)(QA）（sdo）方

3、式的变革，从组织责任边界（交维边界），产品选代开发模式（开发模式），业务设计漯布式开发（应用架构）到数据中心0单体基础设施（运行平台）都产应用架构应用皖SB生了影响。最常见的是数据PaaSaPaaS FaaS独立的基础设施资源中心的运维职责变化。运行平台（计算、存储、网络）laasiPaaS l laas#page#云原生对安全团队带来的挑战技术挑战：云原生引入了大量基础设施新技术，导致安全工作者理解难度增加云越来越像个黑盒，过去的安全工作多数只是围着核心业务外围转。组织挑战：安全建设和云基础设施关系紧密，导致安全职责需要重新考虑，安全组织和信息化其他组织的关系无法简单定义为谁主管、谁建设、谁

4、负责。能力服务化挑战：应用上云后也会的提出安全服务化的诉求，开发团队短期找不到现成的安全服务时，可能自行使用开源安全工具，但却难于兼顾安全责任。#page#云原生对金融机构网络安全工作的影响云原生安全工作方法的“7个重构金融云原生下的“内生安全”理念#page#“重新左移1.不可变基础设施导致安全的应用及微服务安全安全构建当前未来38安全测试开发2工作负载安全服水线/开发运行一体化/云管平台安全婴资产安全漏洞及基线问题从开发阶段开始关注未发布时，需要定期在镜像仓库及制品库进行安全检查定期对运行环境进行安全扫描发现资产安全风险在运营过程中，发现漏润需要及时协同运行团队进行修复上线发布即安全，脆弱

5、性修补通过开发重新部署完成对运行发现的安全问题需要在开发测试环境的进行持续跟踪运行态的安全基本上与开发态的安全工作相互割裂#page#2.面向开发全流程安全的“重新构建ST当前未来CCD安在开发过程中有大量安全检测工作需要人工介入自动化是所有安全工具集成到流水线的前提安全测试卡点主要出现在上线前的上线部署环节在DEV/SIT/UAT各个阶段集成必要的安全测试应用构建安全主要关注编译环境与代码安全问题应用构建安全还需要考虑基础镜像、依赖库、构建过程等安全问题大量零散的安全工具相互孤立，没有形成整体形成基于不同开发项目在各阶段的研发安全看板管理#page#3.容器化工作负载安全的重新部署知北安业管

6、理号位部分云平台虚把机可通过当前未来金拟c8。服务器资源房院8888器废机代以物理机、虚拟机为主的云工作负载安全以防病毒、主机入侵防护为主的工作负载安全以安全加固、完整性保护、异常检测为主的安全防护主机应用安全软件部署/升级大多在运行态完成RASP等安全软件的部署可以打包进Dockerfile进行镜像构建主机系统安全软件直接嵌入到操作系统内部虚拟机和容器的安全部通过Sidecar部署，对应用无侵入不同安全等级的容器编排至对应的Ingrress入口#page#4.云运行环境安全服务化的“重新思考密朗管理服务云安全服务管理（统一策略管理、面向租户展示）安全服务（隐性）安全服务（显性）当前未来云运行

7、环境被保护资产同编排调度私有云的安全能力基本以虚拟化的安全设备为主私有云的安全服务本身需要原生化安全防护资产信息难于与云资产信息进行打通形成安全安全策略集中管理控制，隐性安全服务只为租户提供结果展示入侵防护、WAF、安全审计等安全服务直接面向租户提供策略管理大量安全服务的云内集成很多时候变成租户的困扰需要考虑安全显性化服务，AM、KMS、凭据及证书管理、恶意代码/显性化服务的特点是直接可被应用调用敏感数据检测API或SDK等，#page#5.云内基于业务属性横向隔离的“重新设计业务区：用于部署各类8810服务M开发测试区：用于业务当前未来联网业务国国外联网区：用于部署与第三方外联机构业务广域网

8、区：用于与内态分支机构互联；管理网区：用于数据中传统数据中心第一层隔离逻辑基于网络区域属性实现安全访问控制云数据中心的第一层隔离逻辑是基于业务单元（租户）资源隔离云数据中心通过双层（物理+VPC）网络构建多租户网络基础设施大规模数据中心环境容器网络下沉至虚机网络是主要方向容器网络和微服务通讯架构的出现增加了数据中心网络复杂性基于业务属性标签进行安全访问控制隔离将是主要机制传统网络隔离机制在新的数据中心无法维续沿用，安全边界模化租户内虚机/容器网络基于属件的微障离，VPC间安全防护隔离、DMZ与业务域间安全防护隔离是云内实现隔离的主要位置#page#6.微服务框架下服务安全边界重新定义AP消费者

9、一单体应用裂构服务架构当前未来S乐西商通讯单体应用基于微服务理念进拆分，使用松糊合应用开发框架开放服务安全形成面向互联网，组织内，微服务架构内三层边界侵入式（Springcloud）微服务架构向无侵入式（服务网格）微服务内部，服务治理与微服务安全访问控制的整合发展越来愈多的AP/SDK对内开放的同时还需要对外进行开放微服务外部，实现面向三方访问场景的认证授权架构OID安全防护仅仅依赖企业互联网边界过去的安全能力建设AP1与Web成助防护在WAF侧能力的集成（WAAP#page#7.金融云各类访问通道的“重新建设“应用代理应用代理务投权当前未来动态访问控制持续认现有持续信任评估终璃环境感业务环境

10、感知开发及运维接入包括互联网远程、办公网、生产网直接接入等互联网远程的开发与运维接入变成后疫情时代的主旋律主要以转入NAC和VPN为主的接入控制方法确保无论从互联网接入还是办公网接入都具备相同的安全控制措施面向云生产环境、研发流水线平台的运维通道基于接入过程的风险变化实时对访间的授权进行动态控制研发人员的开发测试环境的接入通道简单化的用户体验与基于零信任的安全访问控制#page#云原生对金融机构网络安全工作的影响云原生安全工作方法的“7个重构金融云原生下的“内生安全”理念#page#“内生安全”理念指导云原生安全落地，开发运行一体化安全，在开发测试与运行阶段的需要安全能力的一致性安全与信息化的协同，云原生安全建设运行需要与相关的IT组织高度协同。安全基础设施透明化，大部分安全措施需要如云基础设施一样对应用透明。软件定义的原生安全，在云高度软件定义的当前，安全也需要软件定义安全能力内生于云上，Paas能力建设代表了企业中台化能力，安全也需Paas化事生#page#谢谢#page#

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf）为本站（X-iao）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf

2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf