热门搜索：

云原生安全测试探索_潘立峰

信息技术2023-04-142023中国DevOps社区峰会·武汉站李***

AI智能总结

云原生安全测试

一、背景与必要性

网络安全现状：国内IP遭受恶意攻击数量达5946万，中国网民规模为8.29亿；数据泄露事件频繁，每月发生4000次以上，攻击数量超过60%由僵尸网络发起。
安全漏洞：移动互联网恶意程序增长显著，达到1.24亿次；安全漏洞总数为4898个，其中高危漏洞5381个，零日漏洞39.6%，较去年增长5.3万。
云原生安全测试：云环境的安全测试面临弹性伸缩、内部流量暴增、复杂内部攻击等问题，传统安全测试方法和工具难以应对。

二、开源工具箱及测试示例

工具箱基础：
- 镜像安全测试：Dagda、Clair、Anchore。
- 容器安全测试：ClamAV。
- 网络测试工具：Kubescape。
- 渗透测试工具：Sqlmap、Metasploit framework。
- 运行时安全测试：Sysdig Falco。
NeuVector：
- 功能：实时容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全等。
- 测试案例：
  - 集群漏洞扫描：发现多个中高级别CVE漏洞，系统安全评分为47分。
  - 网络攻击模拟：成功记录Ping Death攻击。
  - 可疑进程测试：检测到Nginx容器被篡改。

三、云原生DEVSECOPS

DevSecOps：将安全融入DevOps流程，实现全生命周期安全自动化。
测试流程：CI/CD流水线集成、测试策略、漏洞利用测试、权限控制测试、网络安全测试等。

四、实践案例

某银行：
- 测试周期：1周准备 + 8周实施 + 1周整理 + 1天提交报告。
- 发现缺陷：共136个，其中高严重度21个。
- 改进建议：提出82条安全改进建议。

五、使用开源工具的优势

灵活性：开源工具可根据需求灵活调整。
成本效益：开源工具免费或成本较低。
社区支持：拥有活跃的开发者社区和技术支持。

总结

云原生安全测试已成为企业安全工作的重点之一。通过使用开源工具和结合渗透测试工具，可以有效提升云平台和云上应用的安全性。企业应重视云原生DEVSECOPS，将安全融入DevOps流程，以实现全生命周期的安全管理。

中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉云原生安全测试探索演讲嘉宾：潘立峰中国DevOps社区峰会2022·武汉 Thoughtworks架构师曾任道客网络科技质量总监，飞利浦软件质量经理。先后为国内外通信、金融、能源等行业的客户提供Iot软件质量改进，PaaS平台敏捷测试、云原生安全测试等咨询服务。中国DevOps社区峰会2022·武汉目录 1 云原生安全测试背景和必要性 2 3 云原生安全测试工具和测试示例云原生DEVSECOPS 中国DevOps社区峰会2022·武汉 4 5 云原生安全测试实践使用开源工具的优势中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉 01 云原生安全测试背景和必要性木马和僵尸网络 4.9万控制端 526万中国境内被控制主机数 655万受感染主机 3710个大规模僵尸网络 5946万受恶意攻击国内IP总数万物互联时代，企业面临日益严峻的网络安全风险 8.29亿中国网民规模 8.17亿中国手机网民规模拒绝服务攻击 4000次每月10Gbit/s以上的攻击数量 60%由僵尸网络发起 2108个命令控制端数据泄露数据泄露事件频繁发生，导致隐私问题，网络欺诈和诈骗 283万移动互联网恶意程序 11.7% 较去年增长 1.24亿次恶意程序传播移动互联网恶意程序安全漏洞 14201安全漏洞 4898高危漏洞 5,381零日漏洞 39.6%较去年增长网页仿冒/篡改 5.3万仿冒页面 7049个网站被纂改 216个政府网站被纂改 1.7万网站植入后门中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉云上攻安全事故频发，云上攻击手段升级，加强云击手段升级，加强云上安全刻不容缓数字时代，政企行业，面临不断升级的网络攻击、数据泄漏等安全挑战。中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉特斯拉云服务器遭黑客劫持，变为加密货币矿机，机密数据遭泄漏中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉网络安全导致美国征信公司Equifax约1.48亿美国公民数据遭泄露这是美国历史上规模最大和影响最深的数据泄露安全事件之一。政府将其总结为“这完全是一起可以避免的事故，但是Equifax并没有做好安全措施来保护用户的敏感数据”。安全漏洞网络安全安全合规中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉 GuestOS GuestOS OS 云时代安全视角发生了变化 Bins/Libs App Bins/Libs App Bins/Libs App GuestOS App Bins/Libs Docker Bins/Libs App Bins/Libs App Bins/Libs App App App App 主机虚拟机容器 OS Hypervisor Host Host Host 应用之间无隔离应用依赖虚拟机相互隔离容器带来新的安全挑战中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉云时代终端时代互联网时代微服务架构带来大量东西向内部网络流量单体架构 SOA架构中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉微服务架构中国DevOps社区峰会2022·武汉动态复杂的网络环境，使得传统的网络安全测试手段不能起效建议您仔细查看您的容器环境特别是容器内网的行为以及数据 “Iwouldrecommendthatyoutakeaseriouslookatwhatisrunninginsideyourcontainernetwork.”–JONDEEMING,VPofSecurity 中国DevOps社区峰会2022·武汉云环境带来的安全测试挑战 •弹性伸缩 •东西向内部流量暴增 •可视化程度低 •开源软件漏洞 •复杂的内部攻击 •应用快速迭代传统安全测试方法和工具无法适应云原生环境下的安全测试无法测试容器漏洞无法测试东西向容器流量无法模拟和测试容器运行时攻击无法测试镜像是否被恶意植入后门无法测试镜像是否是否存在病毒安全测试边界模糊中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉 02 云原生安全测试开源工具箱和测试示例云原生安全测试工具箱运行安全测试： •Kubernetes异常进程测试：SysdigFalco 服务运行时安全基础架构安全云原生基础架构总体安全： NeuVector 容器安全测试: •容器病毒扫描测试:ClamAV 应用和容器安全云原生安全测试工具箱镜像安全镜像审计和漏洞扫描测试： •镜像漏洞：Clair、 •镜像审计：Anchore •镜像病毒扫描：Dagda 渗透测试工具： •数据库渗透测试：Sqlmap •系统渗透测试工具：Metasploitframework 渗透测试工具云原生网络安全云原生网络安全测试： •网络漏洞测试工具：Kubescape 中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉镜像安全测试：Dagda、Clair、Anchore Dagda简介： •Dagda对已知的漏洞、木马、病毒、恶意软件和容器镜像中的其他恶意威胁进行静态分析。 Clair简介： •于分析appc和docker容器中的漏洞。 Anchore简介： •Anchore是一个强大的镜像扫描工具，它使用CVE数据和用户定义的策略检查容器安全。中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉使用NeuVector开展云原生基础架构安全测试 NeuVector简介: NeuVector是一个开源容器安全平台，可以提供实时深入的容器网络可视化、东西向容器网络监控、主动隔离和保护、容器主机安全以及容器内部安全，适用于各种云环境、跨云或者本地部署等容器环境。 NeuVector主要功能概览: ●安全漏洞扫描 ●合规分析 ●容器网络流量可视化 ●网络安全策略定义 ●L7防火墙 NeuVector项目地址： https://github.com/neuvector/neuvector 中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉使用NeuVector开展云原生基础架构安全测试 NeuVector本身是一个云平台安全防护工具，安全防护一个很重要的点是发现云平台存在的风险，然后发出告警和提示。从这个角度，结合渗透测试和平台攻击方法，我们可以使用NeuVector对云平台开展以下安全测试，解决传统安全测试工具无法覆盖的盲点：测试内容： •容器行为，白名单安全策略测试 •容器内文件系统行为测试 •恶意进程的检测测试 •容器网络安全测试 •服务运行时安全测试，恶意进程扫描测试中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉 •主机安全合规测试 •Docker/KubernetesCIS合规性测试 •镜像漏洞扫描测试 •镜像合规审计测试使用NeuVector对云原生环境开展安全测试示例测试案例1：集群漏洞扫描和CIS基准测试测试场景对当前集群进行主机和集群的CIS扫描，检查其是否符合CIS基准要求，是否存在中高严重度CVE漏洞，同时集群进行安全评分测试。期望结果平台日志显示被测集群无相关高中级别 CVE漏洞，系统安全评分高于80分测试步骤 1.检查集群，云平台集群运行正常。 2.在NeuVector接入集群 3.在NeuVector选择安全隐患→漏洞 →CIS，选择CIS基准扫描，点击确定，等待扫描结束 4.检查集群是否存在中高严重度漏洞实际结果存在多个中高级别CVE漏洞，系统安全评分为47分，平台存在严重的安全风险，需要修复相关安全问题。中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉使用NeuVector对云原生环境开展安全测试示例测试案例2：测试网络攻击测试场景测试步骤要模拟攻击，登录到Node.js容器中，然后创建PingofDeathshell脚本对另外一个应用——如2048或其他容器，进行攻击。 1.找到game2048容器内网IP地址，如192.168.1.1 2.打开Node.js容器控制台，输入./pingdeath.sh 3.打开「通知→安全事件」页面，查看告警信息期望结果实际结果告警信息有PingDeath攻击容器的相关内容，NeuVector自动记录该违规动作。告警信息有PingDeath攻击容器的相关内容，NeuVector自动记录该违规动作。中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉使用NeuVector对云原生环境开展安全测试示例测试案例3：产生可疑进程 20 测试场景测试步骤模拟安装可疑进程（如常见端口扫描程序nmap、或挖矿程序等），登录到Nginx容器中，然后尝试升级和安装nmap程序，并查看告警信息。 1.在Nginx容器中安装namp程序，apt-getinstallnmap 2.运行nmap扫描Node.js容器IP地址， nmap-O10.1.213.79 3.打开「通知→安全事件」页面，查看告警信息期望结果实际结果安全事件有Nginx容器被篡改相关告警记录安全事件有Nginx容器被篡改相关告警记录中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉20 云原生安全测试已成为企业安全工作重点之一使用开源安全工具结合一些渗透测试工具、方法和手段，通过设计良好的安全测试策略，就能很好的开展云平台基础架构合规测试、容器网络安全测试，容器运行时安全测试、镜像安全测试等云原生环境下特有的安全测试。从而了解云平台和云上应用存在的安全隐患和风险，通过修复相关的安全隐患和风险，来不断提升我们云平台和云上应用的安全性。未经授权的文件系统活动测试可疑程序测试容器编排系统攻击测试特权升级测试漏洞利用测试基础架构和主机加密挖矿程序测试横向渗透测试 DDoS攻击测试数据窃取测试内部威胁测试应用程序攻击测试外部攻击测试网络中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉中国DevOps社区峰会2022·武汉 03 云原生DEVSECOPS DevSecOps-应用全生命周期安全自动化DevOps 应用全生命周期安全自动化DevOps安全安全中国DevOps社区峰会2022·武汉 CI/CD流水线集成 TestShiftLeft/Right安全策略 减少应用攻击面 标准对接监控、告警系统中国DevOps社区峰会2022·武汉开发 Ship交付 Run运行构建扫描镜像仓库扫描测试 CISBenchmark 基线安全测试权限控制测试 AdmissionControl 运行时扫描容器、主机、集群安全测试安全合规PCI，GDPR， NIST测试网络安全测试：容器第七层防火墙DPI/DLP 违规报告容器工作负载安全测试告警、响应规则全生命周期安全—云原生安全测试在DevOps的运行时中国

点击免费查看完整报告