云原生安全解决方案_第1页
云原生安全解决方案_第2页
云原生安全解决方案_第3页
云原生安全解决方案_第4页
云原生安全解决方案_第5页
已阅读5页,还剩27页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

云原生安全解决方案目录云原生安全风险

0102云原生安全架构

03核心技术

04场景案例

容器逃逸难以检测容器逃逸方式与主机入侵方式有差异。部分逃逸手段使用传统的检测手段难以检出。报警事件处置工作量繁重报警事件数量巨大,难以聚焦于产生高危行为的告警事件。容器生命周期短一台主机之上可能运行上百个容器。检测功能如占用过多资源会占用容器业务资源。镜像漏洞众多修复工作量繁重缺乏有效区分漏洞风险等级的手段,无法在众多漏洞中优先修复高风险漏洞。云原生安全风险痛点目录云原生安全风险

0102云原生安全架构

03核心技术

04场景案例

云原生安全体系架构设计原则全生命周期防护安全内生安全左移更早的投入安全资源和能力,开发、构建、分发阶段进行制品安全静动态扫描;安全能力云原生化,减少资源占用提高系统稳定性;从开发到部署到运营全面融入DevOps体系,实现DevSecOps;Gartner2021年技术成熟度曲线中增加了一个新类别CNAPP(CloudNativeApplicationProtectionPlatforms),中文全称“云原生应用保护平台”。CNAPP包含一组集成的安全性和合规性功能,旨在开发和生产过程中保护云原生应用。云原生安全架构Gartner-CNAPP功能架构安全运营攻防合规DevOps识别主机资产响应风险告警安全报告漏洞告警防护检测Webshell检测病毒检测入侵检测镜像扫描入侵事件告警微隔离进程监测文件监测Docker访问控制技术栈容器资产集群资产软件资产业务场景功能模块KubernetesOpenShift云原生组件CRI-OContainerddockerpodmanCalicoWeavCiliumAntreaCentOSUbuntu基础设施Intel兆芯

SuseKylinUOSEuler海光鲲鹏920FT2000+FT2500容器安全对外呈现安全运营、Devops集成、攻防工具、合规审计工具四个大业务场景;容器安全主要功能包括资产识别、入侵检测、安全防护、响应处置四个大业务模块;容器安全业务以容器形态允许再云原生环境之上支持Kubernets、Openshift等不同集群,可在CRI-O、Containerd、docker、podman四种运行时环境使用;容器安全支持在Linux+x86环境部署,同时支持信创环境Kylin、UOS、Euler操作系统。支持鲲鹏920、FT2000/2500、海光、兆芯等CPU硬件。框架描述:提高安全性:通过将安全集成到每个开发阶段,DevSecOps能够早期发现和修复漏洞,避免漏洞进入生产环境。自动化的安全扫描和持续监控减少了人为疏忽,提升了系统整体的安全性。加速交付:虽然引入了安全实践,但DevSecOps的自动化工具可以有效地减少手动操作,使得安全性验证过程不再成为瓶颈,从而加速软件交付。降低成本:提前识别和修复漏洞相较于后期修复要便宜得多。通过集成SAST和DAST等工具,能够减少后期对生产环境的修复和补丁工作,从而降低了整体的修复成本。增强合规性:DevSecOps能帮助组织确保其软件产品符合各种安全法规和合规要求。通过自动化的安全审计和合规检查,确保产品始终处于符合规定的状态。改进开发人员的安全意识:通过将安全融入开发流程,开发人员能够更加意识到安全问题,并在编写代码时主动避免潜在的安全隐患。安全左移-建设理念DevSecOps旨在将安全作为软件交付过程中的核心要素,并借助安全测试、漏洞扫描、安全审计等实践,提前发现和修复潜在的安全漏洞。构建软件功能的同时,测试和保障安全,最终实现“安全向左移动,上线即安全”流程规范基础镜像无高危漏洞、敏感信息,如源代码、密码等版本管理、命名规范减少层数,优先构建不变层不存放持久化数据技术规范最小化安装最小权限配置通过安全扫描安全能力检测dockerfile文件合规风险;检测镜像开源软件漏洞;检测恶意文件;检测公钥信息、密码等敏感信息;检测弱密码;检测SBOM信息;实施效果建立基础镜像与基础镜像关联关系;建立SBOM软件与漏洞关联关系;安全左移-云原生安全镜像规范可在镜像构建之前、镜像构建CI阶段、镜像存储阶段对dockerfile进行检测检查dockerfile是否符合最佳操作实践,如检查是否避免挂载系统目录、最低权限用户、默认非root启动容器,是否使用sudo,安装软件包是否指定了版本以及是否安装了不必要的软件包等合计26个检测项序号检测项-CN检测内容风险等级检测命令描述1避免WORKDIR挂载系统目录WORKDIR指令中,指定的工作目录不应是系统目录HighWORKDIR/etcWORKDIR/varWORKDIR/rootWORKDIR/binWORKDIR不应挂载系统目录,避免容器逃逸。2最低权限用户镜像中使用‘root’用户

High

userroot以root用户启动容器可能造成容器逃逸。最佳方式是使用非root用户启动容器,可以通过向Dockerfile添加“USER”语句来实现。3避免使用apt-getdist-upgrade

使用apt-getdist-upgradeHighapt-getdist-upgrade执行‘apt-getdist-update’命令会升级系统主版本号,这在Dockerfile中无意义4不允许相同的别名在多个FROM语句中不同镜像定义的别名重复CRITICALFROMalpineASbuild-stageFROMubuntuASbuild-stage#重复定义了build-stage别名不同的FROM指令不能定义相同的别名。5应包含HEALTHCHECK指令未定义HEALTHCHECKLOWHEALTHCHECK[OPTIONS]CMDcommand应该在docker容器镜像中添加HEALTHCHECK指令,以便对正在运行的容器执行健康检查。

6不应包含MAINTAINER指令

使用了废弃的MAINTAINER指令HIGHMAINTAINERYourNameyour.email@自Docker1.13.0版本,MAINTAINER指令被弃用。7无孤立程序包更新

仅运行runupdate指令

HIGH

apt-getupgrade

在同一RUN语句中,指令“RUNupdate”后面应始终跟有“install”。

8无自引用复制

COPY“–from”指向当前自身镜像

CRITICAL

FROMalpineCOPY--from=alpine/path/to/built/files/path/to/destinationCOPY“–from”不应指向当前的from别名,因为不可能从自身进行复制。

9无SSH端口

暴露端口22

MEDIUMEXPOSE22

暴露端口22可导致用户通过SSH连接到容器中。

10无SudoRunrun使用sudo

CRITICALsudo

避免将“RUN”与“sudo”命令一起使用,因为这会导致不可预测的行为。

11仅一个cmd

出现多个CMD

HIGH

错误的Dockerfile示例CMD["command1"]CMD["command2"]Dockerfile中只能有一条CMD指令。如果列出多个CMD,则只有最后一个CMD才会生效。安全左移-安全能力建设dockerfile检测同步镜像列表镜像名称镜像tag镜像体积镜像构建时间拉取镜像文件镜像名称镜像tag镜像id镜像层文件扫描镜像文件镜像名称镜像tag镜像id镜像层文件SBOM漏洞富化CVEIDCVSSEXP/POC漏洞分类漏洞详情CVEID恶意文件名称敏感信息弱密码修复版本支持检测的范围:镜像中存在需修复的漏洞;镜像构建时使用了包含恶意文件的镜像作为基础镜像,恶意文件包含:webshell、木马病毒文件;镜像构建时安装的软件应用存在漏洞;镜像中存在敏感文件;镜像包含的开源软件的许可证,提供软件供应链风险识别;服务端使用镜像元数据进行仓库镜像、主机镜像所包含的软件成分分析,根据软件版本比对生成风险列表;安全左移-安全能力建设镜像风险检测原理:采用云原生BPF技术获取进程、系统调用,匹配规则中定义的进程名、进程命令行、父进程等参数,命中则判断为入侵行为;支持检测的范围:逃逸类:特权容器、挂载敏感目录、特殊权限;操作敏感文件:cat/etc/passwd;web应用执行系统命令:生成交互式shell;bash、lua、ruby、perl、python、awk执行反弹shell;疑似使用黑客工具:nmap、nc;容器内安装软件:容器内下载并安装软件行为;安全内生能力建设-基于eBPF入侵检测IDE开发环境CodeBuildImage推送到仓库基础镜像仓库测试环境测试仓库生产环境生产仓库阻断CI阶段准入CD阶段准出DockerHUB自动化部署Dockerfile检测Yaml配置检查阻断弱密码扫描漏洞扫描恶意文件扫描合规检测入侵检测集群组件扫描基线检测访问控制漏洞扫描软件协议SBOM阻断推送到仓库推送到仓库漏洞扫描软件协议SBOM弱密码扫描漏洞扫描恶意文件扫描合规检测镜像扫描-基础镜像镜像扫描-CI镜像准出控制入侵检测访问控制集群加固镜像扫描-仓库镜像扫描-节点镜像风险识别全生命周期防护-流程建设全生命周期防护-开源软件检测统一管理可视化&可追溯策略管控安全与合规软件供应链管控代码仓库构建系统制品仓库运行环境开发人员工作负载IaC扫描镜像成分分析OCI制品签名校验*基于云原生的部署策略管理与控制*源代码成分分析构建物成分分析流水线配置扫描*CI

Plugin扫描及控制制品/构建过程元数据签名*自研制品成分扫描第三方制品成分扫描制品上传/下载控制源代码成分分析代码仓库配置扫描许可证扫描敏感信息泄露扫描IaC模板扫描基于Commit扫描及拦截04030201云原生安全风险云原生安全架构核心技术场景案例目录技术优势-漏洞库维度丰富优势1:覆盖了国内外各OS厂商、软/硬件厂商的漏洞信息>5万条,支持在产品页面逐条查询全部漏洞详情;优势2:漏洞库具备40+字段支持武器化维度标识(如POC|EXP状态,在野利用情况、技术泄漏等多维度),给出最合理的漏洞评分及处置建议;优势3:兼容CVE、CNVD、CNNVD等漏洞库,一键关联到对应漏洞原始站点信息,方便溯源;漏洞库开放:>7W云原生相关漏洞库均可在页面展示查询详情评分:40+漏洞字段信息,支持是否武器化维度评分兼容:CVE,CNNVD,CNVD技术优势-基于eBPF的容器入侵检测优势1.检测能力:在高版本的内核(4.14及其以上)借助于eBPF能力,在系统内核视角检测到140多种常见的系统调用,针对容器及操作系统的异常行为、容器逃逸、提权行为等检测的更深入;可检测到Linux内核漏洞利用行为;优势2.安全性:eBPF检测程序运行于沙箱之中,不占用沙箱之外的计算资源;运行权限最小化,通过JIT编译器与验证器安全验证,避免影响业务程序;eBPF只为用户态提供Linux操作系统通用的系统调用数据采集能力;优势3.高性能:eBPF在内核空间执行,避免了用户态和内核态之间的频繁切换,提高了性能;编译后的eBPF代码可以直接在内核中执行,进一步提高效率;优势4.可扩展性:适配了国内外15+Linux发行版,2000+内核版本。针对5.8以上版本的内核,借助于BPFCO-RE一次编译,到处运行的特性,不用重复编译适配;eBPF可以通过加载不同的程序到内核中,实现对不同功能的扩展,而无需修改内核源码;2022年容器安全使用报告中,大约50%的容器镜像在一周内被替换,小于5分钟的微服务寿命比例在增大。容器的生命周期很短,且业务变化很快,需要对容器守护进程进行审计,对容器相关的文件和目录进行审计。记录容器内的行为事件,以供分析和溯源。痛点容器生命周期短暂,缺少docker生命周期安全审计,包括容器、运行、停止、销毁等操作;缺乏对容器内执行命令审计的能力;安全能力记录容器全生命周期内,对容器的多种操作;记录容器内操作命令优势特点使用Agent记录对容器的操作、容器内执行命令的操作,不需要额外安装其他组件;可作为取证溯源依据技术优势-日志记录审计AI降噪:AI智能体内置攻击向量知识库,通过对报警事件进行分析研判将报警事件降低70%。极大降低了人工研判的工作量;AI研判通过AI智能体关联分析,反馈检测过程、判定依据;降低对运维人员技术水平的要求;技术优势-AI降噪及研判04030201云原生安全风险云原生安全架构核心技术场景案例目录应用场景(超过去10种行业应用场景)提供合规能力,等保合规,租户计算环境合规-云市场等安全运维场景需求,包括日常安全运维,驻场+远程安全运维等容器资产检测、容器镜像安全、容器边界安全管控、容器安全威胁监测HW攻防,网络安全攻防实战演练DevOps流程安全加固资产清点、安全运维XDR联动协防等保合规一云多芯异构容器云编排管理……典型应用场景标准化方案镜像全生命周期防护,安全左移云原生基础设施风险检测勒索、挖矿攻击防护云数据中心算力网络安全支持集群环境、非集群Docker环境混合部署;Server端、Agent端均使用容器方式部署;支持鲲鹏、飞腾、海光、麒麟V10、UOS、欧拉等信创平台;镜像仓库TFS部署模式虚拟机麒麟V10/UOSDockerengineAPPAPPx86/鲲鹏/飞腾

CentOS/Ubunt/SuseDockerengine容器安全AgentAPPAPPAPP业务容器APP业务容器容器安全Server容器安全AgentKubernetes部署架构框架描述:集群A内网Masternode1Masternode2Masternode3APIservernode2集群B内网Masternode1Masternode2Masternode3APIservernode2容器安全管理平台浏览器node3node3HTTPS6443node1C1C2node1C1C2安全管理区PaaS云计算平台TCP443TCP4222TCP5222TCP5432HTTPS6443容器安全管理平台部署于安全管理区可同时对集群A,B的容器安全Agent进行管理;集群A/B服务代理需将K8S的API端口进行正向代理资产发现Pods(容器)请求方式:post访问地址:/v1/k8s/pods列表展示Namespace(命名空间)请求方式:post访问地址:/v1/k8s/namespaces列表展示Deployment请求方式:post访问地址:/v1/k8s/deployment列表展示Service请求方式:post访问地址:/v1/k8s/services列表展示Node(节点)请求方式:post访问地址:/v1/asset/hosts列表展示集群配置检查

请求方式:post访问地址:/v1/k8s/config/get·镜像仓库

Harbor地址3集群A/BAPI服务6443与容器安全管理平台服务端以下端口通信:TCP服务443,4222,5222,5432安全左移实践:以镜像安全为核心的安全左移和CI软件联动集成供应链安全解决方案源码管理构建平台可信镜像仓库1构建阶段:可信镜像仓库拉取/推送可信基础镜像;镜像构建过程溯源审计;推送构建完成的业务镜像到测试镜像仓库;122测试镜像仓库3安全检测及修复:镜像扫描、镜像仓库扫描,配置CI阻断策略;测试镜像风险修复;完成扫描并完成安全风险修复后上传生产镜像仓库;生产仓库镜像确认扫描、仓库扫描、可信镜像管理456生产镜像仓库563云原生容器安全平台417POD1POD2节点1节点2容器集群8安全上线:配置镜像实例化运行阻断策略,防止危险镜像进入运行环境;容器集群节点上镜像扫描、可信镜像管理等;9897安全左移实践基础设施安全:以集群安全、仓库安全、运行时安全为核心构建基础设施安全体系容器集群检测:支持对集群组件进行安全加固,如编排系统(K8S和OpenShift);容器运行时检测:对docker进行漏洞扫描,发现其漏洞风险;仓库检测:对仓库漏洞扫描,发现镜像仓库的漏洞风险。VM/Server/IAASHostOSDockerengine安全容器APPAPPAPPX86HostOSDockerengine安全容器APPAPPAPPAPP云原生安全平台容器编排平台容器集群安全评估Harbor仓库控制器业务容器业务容器安全扫描安全扫描安全扫描云基础设施风险检测程序投放程序执行横向扩散勒索病毒、挖矿程序攻击链服务器防御挖矿程序的思路由“事后补救”转变为“事前防御”,从“病毒投放-病毒执行-横向扩散”的攻击链切断挖矿程序的传播途径。防投毒:通过微隔离-端口白名单,防止危险端口暴露,阻断非白名单IP访问服务器通过暴力破解防护,防御黑客非法登录服务器传播恶意程序通过微隔离防御利用漏洞上传恶意程序防程序执行:通过应用白名单,防御恶意程序执行通过文件监控与防护防篡改能力,防御已经存在的恶意软件修改或加密关键文件通过反程序引擎,检查文件共享或供应链夹带的恶意程序并删除、隔离勒索、挖矿攻击防护项目背景:北京(昌平、丰台)+珠海两地三中心架构; 2024年采购青云K8S平台,集群数量~20个,~1200个节点;

共部署4套云原生安全管理平台;项目痛点云原生平台面临以下安全风险:未与CI平台对接,无法在构建阶段阻断风险镜像;缺失镜像漏洞、节点漏洞、集群漏洞管理工具;运行时容器异常行为事件众多无法管理;解决方案与测试环境CI系统对接,阻止镜像漏洞风险向下游蔓延;提供镜像漏洞扫描、节点Docker漏洞扫描、集群漏洞扫描能力能力;通过eBPF方式分析容器异常行为,并基于AI智能体分析降噪;案例•国家农业FZ银行云原生安全平台珠海合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden云原生安全平台北京合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden项目背景:HR银行是一家中型商业银行,业务涉及零售银行、财富管理、对公业务等。2020年,该银行建立了以Kubernetes为主的内部业务支撑云原生平台,用于运行核心业务系统。该云原生平台规模达多个Kubernetes集群,共涉及近100个计算节点。平台上运行的主要系统包括手机银行、网上银行、核心系统等与业务直接相关的应用和服务。项目痛点在云原生平台建设过程中,该银行面临以下安全风险:安全检测流程未与CI/CD系统集成,无法在流水线阻断风险;X86\ARM异构平台统一安全运营;无法细颗粒度控制集群中pod之间相互访问。解决方案与现场PaaS平台CI系统对接,阻止镜像漏洞风险向下游蔓延;实现信创与X86云原生安全环境统一管理;通过K8S原生NetworkPolicy技术实现pod、Service之间精细化网络访问控制。案例•HR银行项目背景:中电科xx所承建某信创云原生基础设施防护项目。PaaS平台-凤凰云芯片-鲲鹏920操作系统-麒麟V10SP2项目痛点在云原生平台建设过程面临以下安全风险:凤凰云平台自身安全风险基线合规、集群组件漏洞检测能力缺失容器运行时入侵行为实时检测;能力缺失;集群风险未与态势感知平台对接;解决方案通过部署与凤凰云集群的探针完成集群基线、漏洞扫描;识别运行时阶段对容器及集群的入侵行为产生实时报警信息;集群风险通过Syslog发送至态势感知平台,通过态势感知平台洞察云原生环境的安全风险及安全事件;态势感知平台页面与云原生安全平台做API免密登录对接,可由态势感知平台直接跳转至云原生安全平台首页;案例•中电科xx所信创云防护云原生安全平台合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden合规审计容器集群1管理节点镜像扫描入侵检测安全态势管理Node1Noden态势感知平台项目背景:2022年中国LT软研院应用安全合规管理隐患整治购置项目、2022年中国LT软研院云安全服务器安全防护系统应用软件扩容项目.以K8S平台为主建立云原生基础设施支撑平台;全国5个IDC数据中心多个K8S集群~5

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论