1、主动保护是云原生安全的关键白黎明北京小佑科技有限公司内容大纲01传统安全模型在云原生环境下的问题02为什么主动保护是云原生安全的关键？03云原生应用的主动保护如何实现？云原生应用的发布模式云原生应用面临的风险集群风险集群风险k8s组件/runtime组件自身可能存在漏洞，或不安全的配置；容器基于进程的隔离，隔离性较弱；因此可能导致非法提权和逃逸攻击镜像风险镜像风险镜像是容器运行的基础，如果不及时更新或从不可靠的来源获取，可能会导致镜像内含漏洞或恶意文件代码风险代码风险开源代码可能存在着 bug 或漏洞，又或者代码携带的许可证与所开发应用本身的许可证相冲突镜像仓库风险镜像仓库风险镜像仓库漏洞和管

2、理问题带来自身安全风险容器网络风险容器网络风险访问控制粒度无法细化，攻击者一旦进入集群，可以相对容易地进行东西向移动传统安全模型的局限运行时检测：基于零信任构建策略的能力，在运行时检测并防止容器中的可疑行为；根据用户行为观察并实施规则，自动响应容器威胁。系统强化：主机内部的异常检测或在主机运行基于 VM 的工作负载检测。漏洞管理：具备检测工作负载的漏洞能力。网络安全：通过网络防火墙、微隔离等工具技术，提供网络流量可视化及访问控制到工作负载的能力。合规性：自动化安全控制的能力，以实现数据和权限的持续合规性的治理，通过验证容器、集群及运行底层系统合规性，从而保障应用的安全运行。事件响应：即使工作负

3、载消失后，也应具备取证分析和事件响应能力。云原生安全模型介绍Gartner 2021年技术成熟度曲线中增加了一个新类别CNAPP，中文全称“云原生应用保护平台”。CNAPP包含一组集成的安全性和合规性功能，旨在开发和生产过程中保护云原生应用。CNAPP允许企业使用单个集成平台来保护云原生应用的整个生命周期。将安全防护覆盖云原生应用的整个生命周期，从需求分析、软件开发、软件测试、软件发布一直延伸到软件运维。将安全防护工具集成到软件开发流程的工具链中，以便在创建代码并在持续集成时对代码进行自动或手动的安全测试。完美的应用程序是不存在的，代码漏洞也是不可避免的，因此开发人员应该将注意力集中在最高严重

4、性、最高可信度和最高风险漏洞上，以避免浪费开发时间。全面扫描制品（容器镜像）和云配置，并与运行时的可观测性和配置安全相结合，以确定风险优先级，合理安排补救措施。与传统安全模型的对比功能特性功能特性CNAPPCSPM+CWPP工作负载安全工作负载安全平台配置安全平台配置安全基础设施即代码扫描基础设施即代码扫描云基础设施授权管理云基础设施授权管理代码安全代码安全/成分分析成分分析云原生安全模型的技术优势整合功能整合功能双向反馈双向反馈整合各类功能全局管理基础设施即代码(IaC)的扫描容器镜像扫描云基础设施授权管理(CIEM)云安全态势管理(CSMP)从研发反馈至运维：保证制品是安全和合规的识别制品

5、的预期连接和预期行为明确运行时需要保护的残余漏洞推荐最小权限策略保证审批过的制品没有变更从运维反馈至研发：识别与预期状态的偏离识别运行中的有漏洞的组件识别未使用的工作负载组件识别可以裁剪的访问权限为开发阶段扫描提供运行时上下文识别应用误用和攻击有些企业使用了10个或更多不同的安全工具手工将DevSecOps缝合在一起，每个工具都有独立的责任和应用程序风险视图。如果保护云原生应用需要使用来自多个供应商的多个工具，显然会降低开发和运维的效率，并造成风险的零散可见性。代码审计镜像扫描IASTCSPMIaC扫描云原生应用主动保护流程介绍代码推送构建镜像测试验证镜像流转生产部署镜像供应链检测镜像漏洞检测

6、SATA源代码检测镜像入库检测镜像签名上传仓库测试联调KSPM 安全态势管理镜像检测镜像运行控制镜像校验镜像加密同步相关资产可视化管理、安全事件分析、DevSecOps流程管控开发发布运行CI/CD 管道SCA开源组件检测流程控制入侵检测IAST交互式应用安全测试流程控制IaC 编排文件检测开发阶段-SASTSAST 源代码缺陷检测缺陷种类全24大类约1000种缺陷种类覆盖主流编程语言兼容CWE、OWASP开源组件检测开源组件漏洞检测兼容CVE及CNNVD漏洞库检测性能支持多用户并发检测支持百万行级代码扫描容错机制用户直接提交源代码自有编译器、不依赖编译环境提高分析的容错性易用字节码扫描技术J

7、AVA字节码扫描技术没有源代码也能进行扫描开发流程整合代码库集成开发IDE集成Jenkins集成Bug管理系统集成SAST需求输入需求管理平台开发阶段测试业务系统详细设计线下需求评审功能开发代码入库Git/Svn发布计划单架构师审核开发自测提测单开发阶段-IaCIaC 编排文件扫描编译生成Yaml文件dockerfile镜像运行状态的业务容器在镜像创建之前预防镜像安全风险,在容器运行之前预防容器配置风险安全左移，抢先一步发现问题，降低修复成本支持对代码仓库内的编排文件进行自动发现、识别与扫描支持风险报告导出和统一管理构建阶段-SCASCA 开源组件漏洞检测供应链威胁检测代码同源检测清单检测二进

8、制检测第三方开源组件检测应用包检测（后门、信息泄漏）开源许可协议CI/CD流程IDE编码、编译构建应用打包、应用部署源头控制、准入准出集成 SCA检测自动化的 SCA 工具可以帮助研发团队开发和发布高质量的代码，并为参与者提供一种积极主动的风险管理方法。在软件开发过程的初期，SCA 工具通过识别安全漏洞和风险，使软件开发人员提前无缝地选择更为安全的组件。在应用程序中引入第三方组件和库的初期就充分考虑了安全性评估，降低了重复进行安全评估的需要，从而加快开发过程。如果具有已知风险和漏洞的组件对于开发工作来说是不可或缺的，那么开发团队可以在首次引入该组件时对其进行判断，并找出更好的解决方法来安全地使

9、用该组件。构建阶段-镜像供应链与漏洞检测123获取黄金镜像基于黄金镜像构建业务镜像上传测试仓库45镜像漏洞修复6审批通过后将镜像同步到生产仓库扫描漏洞和病毒7节点镜像的扫描及基础镜像的识别配置镜像运行策略并进行阻断8构建扫描及修复上线黄金镜像仓库构建服务器代码库Dockerfile测试镜像仓库生产镜像仓库云原生安全平台容器集群POD仓库镜像扫描仓库镜像扫描POD36容器镜像 节点镜像扫描784152发布阶段-IASTIAST 交互式应用安全测试开发阶段CICD 阶段运行阶段容器集群代码库Jenkins镜像构建黄金镜像仓库测试镜像仓库生产镜像仓库测试联调自测-系统-冒烟-回归测试云原生安全平台P

10、ODPOD IAST检测IAST主要关键技术插桩检测模式+流量检测模式+实时Web日志无需专业技术背景，普通测试人员透明众测完成业务安全测试旁路部署不影响正常业务流执行和通信效率。IAST低门槛低侵入低消耗透明部署，不影响正常测试工作和用户使用流程。运行阶段-Kubernetes Kubernetes 安全态势管理漏洞扫描无害化POC安全检查安全插件1.支持所有主流编排工具的CVE漏洞检查，包括Kubernetes、OpenShift V3/V4；2.支持以无害化POC验证集群安全风险；3.对1day漏洞快速响应，提供安全插件进行验证；4.支持对配置进行合规检查；配置合规（隶属于IaC）运行阶段-容器行为学习通过对容器内行为进行学习，建立安全模型当监测到模型外的进程、文件访问、异常网络连接和系统调用时，会通过关联分析产品风险事件列表。人工响应处理，及时阻断异常行为或纠正误报。在测试环境里生成模型，直接应用在生产环境，无需重新学习零漏报，支持防御0day风险进程网络连接系统调用文件配置监控风险事件列表容器内行为实时监控产生告警处置人工安全标记响应处置安全容器模型建立THANKS!THANKS!