探真科技亮相云原生安全分论坛,分享云原生环境下的安全体系

2022-06-25 16:32:00爱云资讯

2022年6月21日,探真科技技术服务副总裁万云峰受邀参加由信通院主办的云原生产业大会-云原生安全分论坛,分享探真对构建云原生安全体系的探索与实践。

云原生产业大会-云原生安全分论坛以云原生安全为主题,荟聚业内知名专家学者,聚焦云原生安全,从发展趋势、开发交付、管理实践、防护体系等多个视角对云原生安全技术开展研讨与剖析。

探真科技技术服务副总裁万云峰在会议期间,介绍了云原生安全与传统安全之间的区别,并简述了探真践行的云原生安全的构建体系。

传统技术无法解决云原生问题

容器、微服务等云原生技术颠覆了整个IT格局,解决了不少问题,但也带来了在管理、安全性与合规性等方面新的挑战。云原生应用全生命周期的各个阶段都面临安全风险,如镜像安全,运行时安全等。

云原生环境下的持续安全

真正高效的安全左移

在新的挑战下,大多数企业都知道“安全左移”这个概念,大部分人都会通过做镜像扫描来达到安全左移的目的。中心化的扫描器需要把镜像上传到缓存的镜像仓库,然后通过扫描器进行风险扫描。这样的方式,会对存储与算力都带来较大压力,CI流水线中的扫描时长也会成倍增加,严重影响业务正常迭代。探真科技针对此问题,对镜像进行分布式CI扫描,省去了拉取镜像和下载镜像的过程,大大提高了效率。

真正靠谱的可信镜像

镜像在从构建到部署上线的整个分发流程中,存在被篡改和替换的风险,进而绕过之前所有的安全检查能力。

基于可信镜像仓库的普通做法很容易被绕过,如把镜像文件直接传输至容器宿主机本地拉起

单纯依赖镜像仓库自身的镜像签名技术与验证,只能保证存储阶段镜像是完整的、没有被篡改的,并不能保证从镜像构建完成开始到镜像以容器在集群中启动之间的全部过程中保证镜像的分发安全。即仅允许经过镜像扫描,且满足管理员策略设定的,没有被篡改和替换的,符合企业安全基线的镜像才能够最终进入生产环境。

仅允许带有合法、有效签名的镜像上线,实现“上线即安全”

运行时安全

容器在运行时的安全风向不容忽视,一旦单个容器环境存在逃逸漏洞,很可能就会导致整个集群沦陷。

针对这些风险,探真可以做到:已知威胁防护、云原生蜜罐技术,未知威胁防护和事件关联分析。

网络安全

对于K8s容器平台,集群网络是扁平化网络,所有容器之间都可以自由的相互通信,此时,一旦边缘防线被攻破或者绕过,攻击者就可以在集群内部横向移动。而探真科技的微隔离可以有效地阻止这种内部横向攻击,能够大幅度的降低攻击面,降低影响范围。

凭证管理是最容易被忽视的严重问题

凭证 (密码、密钥、证书...) 作为企业核心数据,一直以来都是黑客攻击的主要目标。无论是钓鱼、APT 攻击、暴力破解还是恶意程序,首要目标都是获取凭证。

•凭证内嵌

开发人员在程序代码、配置文件、环境变量中存储凭证信息,极易造成凭证泄露。

•管理混乱

在一段时间后,谁都不清楚到底有多少应用在使用特定凭证,应用已下线但账号及授权依旧存在的现象很普遍

原生工具带来的凭证管理问题

•没有统一的凭证管理界面

•缺少全局的审计手段

•没有统一的 API,每个工具需要独立集成

•工具安全级别、健壮度不一致

•无法支持多云、多中心混合架构

相关文章
热门文章
头条文章
重点文章
推荐文章
热点文章
关于我们|联系我们|免责声明|会展频道
冀ICP备2022007386号-1 冀公网安备 13108202000871号 爱云资讯 Copyright©2018-2023