1、CNCF云原生专场黄鹤清 2021年07月10日本期议题：拥抱云原生，原有安全需要升级中科院信工所教授，博导Manager,Senior Researcher,字节ByteDance US AI Lab Security Team Founding Member 字节跳动美国硅谷第三位员工Research Staff Member,IBM T.J.Watson Research CenterResearch,Palo Alto Networks，WildFire 2.0 Key ContributorResearch,FireEye LabResearch,Samsung Knox Team

2、曾代表IBM研究院总部领导美国国防部高级研究计划局(DARPA)透明可信云计算安全项目全球计算机安全年会35年来首位华人获奖者(下一代智能企业安全方向)曾是火眼骇客松冠军，FBI采纳并发表其在火眼的研究成果宾夕法尼亚州里大学最佳博士生研究奖2015（全EECS系3位）Hicool全球创业大赛100强，Cisco全球创业大赛一等奖-4000美元，5110-B类；杭州创业大赛复赛 美国杰出人才EB1A,O1A获得者美国审批专利15项,安全领域国际高质量文章数量30+被引用次数:1200+，h-index:15，i10-index:17引用来自5大洲的101所大学和27家研究机构其中包括Stanfo

3、rd、CMU、奥斯丁大学、乔治亚理工大学、UIUC等知名学府，北大、上交以及美国空军实验室、贝尔实验室、微软研究院、Intel研究院,FBIAwards探真科技Co-Founder CTO Background 黄鹤清,美国宾夕法尼亚州立大学博士,云安全专家，国家级海外高层次引进人才企业数字化驱动应用架构的现代化变革数据中心整合数据中心云化应用现代化硬件抽象 资源池化 统一运维计算、存储、网络、资源的虚拟化建设关键应用云化 智能化运维资源交付自动化容器化建设 微服务架构变革 云原生构建DevOps实现IT驱动业务IT服务业务IT支撑业务2020年43.9%的国内用户已在生产环境中采纳容器技术，

4、超过七成的国内用户已经或计划使用微服务架构进行业务开发部署IDC预测，中国软件定义市场在未来五年的复合增长率将达到20.9%，到2025年市场规模将达到30.1亿美元，占据全球软件定义计算软件市场的28.7%，一跃成为仅次于美国的全球第二大市场。中国软件定义市场传统的安全工具无法解决云原生特定场景下的安全问题，这里举个例子，容器内部是基于网桥模式进行通讯，隔离性差，黑客一旦进入，所有容器都成为可被入侵风险点，通过逃逸提权等方式进行大范围入侵，造成数据泄露，集群资源滥用（如：加密矿工）。而基于传统虚拟化场景下，并不存在类似情况。传统安全工具不是云原生的，不能匹配云原生自身灵活、轻量、高效、可伸缩

5、、可随时启停的诉求。这就导致安全防护效率跟不上应用迭代速度，安全防御无法随服务进行动态伸缩随时启停需要重新构建基于云原生的安全目录CONTENTSPart 01 风险的“不确定性”Part 02 云“原生”安全设计理念Part 03 云“原生”安全最佳实践风险的“不确定性”需要“原生”安全01“黑天鹅和灰犀牛”已知的已知已知的未知未知的已知未知的未知不确定性明确可能发生什么风险，且对风险发生的可能性和影响有准确了解，例如：病毒签名库、攻击特征库、漏洞库明确可能发生什么风险，但对风险发生的几率和严重性并不了解，例如：可靠性问题、物理失效问题，针对系统软硬件漏洞和未知攻击（人为构造的后门）我们具备

6、了解和处理风险的知识和海量的数据，但是我们不知道如何很高效的利用它们，例如：数据降噪，APT攻击识别，海量安全事件关联不了解可能发生什么风险，因此也不了解发生的几率和影响的严重性，无法预知也无法举例，例如：0Day漏洞，新技术缺陷黑名单，已知特征匹配基于ATT&CK攻击矩阵的恶意行为模型检测，基于AI/ML的异常偏移侦测和基于“零信任”的动态鉴权云原生开源漏洞：Golang Concurrency BUG自动化检测和响应大数据安全分析，图数据库关联等，例如：SIEM态势感知-SOAR-XDR“原生”安全安全风险的“不确定性”云“原生”安全云“原生”安全设计理念02传统的安全问题在云原生环境依然

7、存在Web攻防和系统攻防，暴力破解和反弹Shell等问题依然存在，但传统工具无法工作在云原生环境中运维管理流程和服务模型变化带来的管理难题云原生资产风险深度可视化难题，DevSecOps流程难题，云服务商和企业的安全防护责任和边界不清晰等云原生化应用引入新的安全风险凭证泄露，微服务的攻击敞口及治理难度，Serverless模型安全，API爆炸产生的权限管控和资源滥用 云原生计算环境引入新的安全风险开发IDE安全，编排系统及组件安全，镜像及镜像仓库安全，容器网络安全，容器逃逸，运行时入侵微服务DevSecOpsCI/CD容器云原生应用架构云原生带来的新的安全隐患储存 ARTIFACTS扩展监控安

8、全测试构建“Continuous Integration&Continuous Delivery”OrchestrationDoD Enterprise AISecOps Technology Stack 计划&发展部署&运行Container and Container Management安全左移安全运维闭环安全智能化基于AI的风险免疫安全内生零信任用零信任的逻辑对所有资源访问做鉴权，并且有能力持续监控与控制利用云原生的不可变性，基于“初信任”状态，利用机器学习能力生成系统调用,文件系统访问，进程，网络，数据交换等多层次行为免疫画像，运行时开启偏移侦测，当发现行为异常时进行智能告警和阻断。

9、智能发现、自动扫描，智能加固、智能生成ACL、自动部署、自动化处置安全不止于发现、告警。最终的安全是要有安全运维的持续闭环能力，在海量数据信号中高效的寻找核心安全事件做响应深度内生于CICD流程，左移于上线前进入安全流程。上线前，开发、分发、构建阶段做镜像与容器安全静动态扫描准入与加固将安全能力的部署、数据获取、检测及防御内生到云原生环境中，利用云原生能力围绕数据、服务、容器等动态工作负载做到可自动发现，持续观测，风险态势感知、与处置闭环。云“原生”安全6大核心设计理念云“原生”安全-基础能力代码和镜像安全：镜像扫描、镜像签名、镜像一致性认证、镜像准入管理及唯一可信镜像制品库集中密码密钥和to

10、ken等凭证管理容器加固与一致性网络微隔离安全合规基线检查云“原生”安全需要具备的13大能力云“原生”安全-基础能力镜像安全：镜像扫描、镜像签名、镜像一致性认证、镜像准入管理及唯一可信镜像制品库集中密码密钥和token等凭证管理容器加固与一致性网络微隔离安全合规基线检查云“原生”安全-进阶能力运行时持续监控和保护ATT&CK和已知特征威胁检测云原生API安全：统一API 调度网关及微网关服务动态鉴权，服务之间的强访问控制策略云“原生”安全需要具备的13大能力云“原生”安全-进阶能力运行时持续监控和保护ATT&CK和已知特征威胁检测云原生API安全：总线架构的统一API 调度网关及微网关服务动态

11、鉴权，服务之间的强访问控制策略云“原生”安全-基础能力镜像安全：镜像扫描、镜像签名、镜像一致性认证、镜像准入管理及唯一可信镜像制品库集中密码密钥和token等凭证管理容器加固与一致性网络微隔离安全合规基线检查L7微隔离（资源访问隔离）基于AI免疫的未知威胁检测云原生分布式WAF：业务边界定义安全边界数据库审计及保护，文件操作审计云“原生”安全-高阶能力云“原生”安全需要具备的13大能力云“原生”安全-进阶能力运行时持续监控和保护ATT&CK和已知特征威胁检测云原生API安全：总线架构的统一API 调度网关及微网关服务动态鉴权，服务之间的强访问控制策略云”原生”安全-基础能力镜像安全：镜像扫描、

12、镜像签名、镜像一致性认证、镜像准入管理及唯一可信镜像制品库集中密码密钥和token等凭证管理容器加固与一致性网络微隔离安全合规基线检查L7微隔离（资源访问隔离）基于AI免疫的未知威胁检测云原生分布式WAF：业务边界定义安全边界数据库审计及保护，文件操作审计云“原生”安全-高阶能力云“原生”安全需要具备的13大能力云“原生”安全最佳实践03Continuous Monitoring DevSecOps安全闭环云原生基础架构层安全云原生应用层安全云原生数据层安全Host K8s&Container AISecOps平台合规检查智能微隔离凭证安全CI/CD自动化资产自动发现&风险感知服务自动发现&风

13、险感知智能告警中心容器加固及运行时安全审计取证修复知识库镜像安全分布式应用防火墙服务动态鉴权业务安全敏感数据识别数据自动发现&风险感知安全事件响应中心安全策略配置中心云原生基础架构层安全探真云“原生”安全方案探真科技凭借自身过硬的云原生安全技术实力、创新的技术理念以及丰富的实践经验，在云原生安全领域屡获殊荣。探真科技入选CNCF Landscape荣获CNCF推荐的国产云原生安全厂商。探真科技出品的镜像安全扫描器荣获HARBOR官方认证探真科技入选腾讯云原生加速器30强探真科技荣获Hicool全球创业大赛优胜奖探真科技荣获中国-南宁 2020海（境）外人才创新创业大赛三等奖中国-南京 2021海（境）外人才创新创业大赛一等奖获得奖项探真科技入选开源GitOps产业联盟