沈勇-云原生安全管窥与展望

云原生安全管窥与展望

安全控制点

• 数据安全：数据发现、资产清单、数据分类分级、访问控制、完整性、隐私保护、DLP、数据加密（传输、物理盘、卷存储、对象存储、数据库、文件）、脱敏、密钥管理。
• 业务流程：BCP、BIA、威胁列表、风险评估、RTO、RPO、WRT、MTD、Command Center、继任计划、呼叫树、演练。
• 应用：应用清单（自研/三方/开源）、SSDLC、CI/CD集成、SAST、IAST、Pen-Test、组件扫描、编码规范、安全SDK、RASP、API安全、Web安全。
• 容器运行时：Pod安全、准入控制器、安全上下文（指定 capability）、网络策略、服务账号、Secret管理。
• 容器镜像：镜像清单（基础/三方/应用）、镜像间依赖关系、归属、签名、扫描、更新及通知。
• 容器编排：编排系统自身安全、资源隔离、资源限额、节点安全（Seccomp、AppArmor、SELinux）、非特权账号运行容器、卷加密、用户认证授权、Namespace、证书管理。
• 云主机：安全组、OS加固、热补丁、授权扫描、HIDS、EDR、堡垒机、特权账号、密码轮换。
• 云主机镜像：镜像清单（基础/三方/用户）、归属、签名、镜像扫描、更新及通知。
• 云主机编排：编排系统自身安全、资源隔离、资源限额、虚拟化安全、热补丁、元结构安全、用户认证授权、凭证管理。
• 机房/设施环境：安全、防洪、防震、线路冗余（电力、通信）、供水、消防、物理访问控制、HAVC、CCTV。

优势与困境

优势

• 不可变基础设施
• 高可用架构
• 微服务架构

困境

• 现象
  • 人才：短缺
  • 工具：零散、需适配
  • 流程：初期阶段
• 原因
  • 云原生应用及系统快速建设、扩张和迭代：让应用上线更快，属于/支撑战略、紧急项目，容易批预算，但更省钱。
  • 云原生安全建设相对缓慢：共享安全预算，未出事时延迟购买，成本高昂。

需求和展望

• 方案整合
  • 纵向：安全功能之间的整合
  • 横向：与云原生系统整合
• 百花齐放
  • 纵向：专注某领域被集成
  • 横向：形成整体解决方案
• 功能特性
  • 强一体化：功能强大
  • 模块化：功能灵活
  • 功能弱：一体化
  • 低成本：DIY技术、人力、钞能力

欢迎交流共进

• 微信：66341024
• 邮件：66341024@qq.com

关注我们

• 安世加：专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发展。