1、云原生安全防护体系浅谈马德斌中邮信科应用安全产品研发负责人云原生发展与现状云原生发展与现状十二因素应用程序微服务自助服务的������敏捷基础设施基于API的协作抗压性Pivotal Pivotal 最初的定义最初的定义应用容器化面向微服务架构应用支持容器的编排调度CNCF CNCF 最初的定义最初的定义容器服务网格微服务不可变的基础设施�������声明式 APICNCF CNCF 重新定义重新定义201520152018引用:2022云原生技术沙龙 白黎明2云原生发展与现状云原生发展与现状标准化快速发展,互操作能力增强:OCI、CRI社区安全产品孵化加速,CNCF孵化TUF、Notary、in-toto、Falco
2、安全产品云原生化:Acunetix WVS 新技术推动发展:eBPF3挑战与机遇并存挑战与机遇并存挑战挑战网安法、个保法、数安法等保、关基、密评职责单位横向监管,行业主管垂直监管机遇机遇客户信任成本优势人才优势技术优势4安全体系安全体系 国外国外NIST SP800-190 Application Container Security Guide(2017年)5 5+2 21镜像�������2镜像仓库5企业级编排引擎4容器运行时3宿主机7 7自研:企业编排管理平台自研:企业编排管理平台(配置的生产配置的生产&管理管理)6 6自研:自研:DevSecOpsDevSecOps研发平台研发平台(制品的生产制品的
3、生产&管理管理)5安全体系安全体系 国内国内信通院信通院6防护体系核心策略防护体系核心策略大型企业多业务、多部门,IT整合,职能拆分 多层防线长期投资,旧、新异构系统并存 技术负债、架构治理复杂技术中台推广 安全技术入驻和沉淀,一站式,助力深度协同NSA ITAF NSA ITAF 纵身防御战略的核心要素:人、技术和操作�����纵身防御战略的核心要素:人、技术和操作加法:零信任加法:零信任7容器云防护容器云防护容器镜像容器镜像1.访问控制:仓库registry-项目repository-制品artifact2�������.组成分析:镜像组成分析-os sca、app sca&镜像恶意文件特征值检测(木马、病毒、蠕
4、虫、挖矿)3.可信制品:DCT notary/cosign 不可变基础设施 攻击面缩减运行时:小(1MB Alpine)+大(ADD/RUN)攻击面迁移2.访问控制NS轻量级隔离安全隐患-MAC:SeLinux、AppArmor等3.行为监控镜像指纹:进程溯源标准化安装:白名单例外机器学���习9容器云防护容器云防�����护K8S PodK8S Pod1.Container=Pod Bean 共享网络-SideCar-Service Mesh2.屏蔽异构底层:Label+控制面统一调度-K8S DeamonSet3.安全能力热加载:RASP Attach4.自我感知:K8S Pod Downward API
5、10样例容器云防护容器云防护K8S K8S 访问控制访问控制1.资源隔离 NS2.访问控制 RBAC(Role、Cluster Role)-主体分级、操作权限3.访问控制 ABAC-细粒度数据权限11DevSecOpsDevSecOps基础:基础:DevOps底座成熟、人员能力提升。延�������伸:延伸:某活动-安全不懂应用,应用不懂安全-三�������角矩阵,协同提效某活动-CICD+自动化安全测试-快速回溯、快速检测、快速恢复12DevSecOpsDevSecOps旧旧SDLSDL1313DevSecOpsDevSecOps新新SDLSDL培训阶段:快速环境仿真需求阶段:人工智能问答设计阶段:新一代威胁建模技术
6、,如:自动化构建数据流图、自动化攻击面分析开发阶段:全自动化AST+SCA、API元语和API自动化安全测试发布阶段:全自动质量门、最终安全评审权重机器 人14安全运营安全运营核心能力核心能力产品采购部署-产品集成研发(产业合作)-产品自主研发(查缺补漏)安全能力云原生化安全能力云原生化即保护,也借力�����-安全需求快速响应(安全敏捷化)安全�������漏洞安全漏洞&安全情报安全情报产业合作、自身特点:CPVD、Radar、Seeker、Simulate15样例微服务微服务技术路线技术路线Spring Cloud(过渡期)、Service Mesh(下一代)访问控制访问控制Gateway:REST+操作权限控制MicroService:数据隔离+数据权限控制APIAPI风险与检测风险与检测微服务化API激增API元语 OpenAPIRASPRASP最后防线16THANKS!THANKS!
sgpjbg002
工作日 8:30 - 17:30
报告分类
