云原生安全白皮书Lite.pdf

所需积分/C币:45 2019-11-01 11:07:56 880KB PDF
123
收藏 收藏
举报

云原生技术作为企业数字业务应用创新的原动力, 不仅被引入到云原生应用全生命周期管理中,而且被推到了生产环境。云原生技术为企业带来快速交付与迭代数字业务应用的优势之外, 同时也带来了新的安全要求与挑战。
云原生安全 云原生环境面临的安全挑战 云原生技术作为企业数字业务应用创新的原动力,不仅被引入到云原生应用全生命周期管理 中,而且被推到了生产环境。云原生技术为企业带来快速交付与迭代数字业务应用的优势之 外,同时也带来了新的安全要求与挑战 传统安全策略和工具在云原生环境下存在盲点 传统安全策略与工具未能跟上云原生技术的快速发展,为运行在云原生环境下的业务应用与 数据增加了巨大的潜在安全风险。 对于云原生环境的动态特征,包括大幅增加的內部网络流量、服务通信端口总量和容器秒级 启动或消失的动态变化,增加了安全监控和保护的难度。传统防火墙很难适应这种持续的动 态变化,难以洞察到容器之间的网络流量和异常行为,特别是恶意攻击者在容器间的操作。 厶原生环境需要对容器和主机有深度监控和可视化的容器网络安全防护,对网络攻击自动抓 取网络数据包,用于安全审计;也需要安全工具通过自主学习,自动生成网络安全策略等。 动态而复杂的云原生网络环境 创新业务应用的快速交付迭代与扩展帮助数字业务的快速创新与增长。在规划与交付应用 时,会拆分成多个相对独立的微服务应用,每个服务应用都有各自的通信端口、访问权限、 授权机制等安全点,不仅会受到外部网络的攻击,也可能会受到内部网络发起的攻击。与保 护单一应用安全相比,保障微服务应用与其内部网络变得具有挑战。 数字业务应用快速交付需要自动化安全 为提高数字业务应用交付与运维效率,企业应用开发与运维部门引入 DevOps开发运维一体 化流程,比如,每个微服务应用会涉及相对独立的开发、测试和部署的全生命周期,并通过 持续集成/持续交付的流水线,将应用部署运行在开发测试和生产环境中。在整个业务应用全 生命周期中,需要为各个环节引入自动化安全保护,不仅避免各个环节的潜在风险,而且提 高应用安全交付效率。 版权所有 Daocloud 云原生安全 如何实现云原生安全 数字经济时代下,企业运用云原生技术加速数字业务创新与增长的同时,应引入云原生安全 策略和工具,作为企业安全规划建设的重点;从关注容器的隔离能力转变为容器现在所属的 云原生生态系统,来完善企业安全体系。 云原生安全体系 风险控制 第7层 主动学习容器行为,自动产生白名单安全策略 网终协议 容器内文件系统行为监视 恶意进程的检测 容器恶意行为保护 监视进程权限的提升为rot的行为 自动安全策略,系统行为监 见,恶意进程检测等 可定制白名单黑名单安仝策略 容器防火墙 深度网终包检测(DP),容器微隔离 自由切換发现学习模式、监视模式与保护模式 本安全 网络威胁检测和保护实时容器石扑图 支持应用程序协议识别和保护 捕获效据包以进行调试和威胁调查 微服务/ Service mesh 可视化内部网络流量控制 安全合规审计 ccD集成 基础安全 镜像漏泂扫描,白动实时扫描,支持篤三方日志工具集成,支持 主机漏洞扫 LDAP和SAML集成 恶意进程监视 Docker/Kubernetes Ey 准合规性检测和报告 主机安全 主机漏洞扫描,实时扫捏,自动触发,恶意进程监视,C|SK8S标准合规性检 测和报合 云原生容器网络安全与第7层应用安全保护 在企业传统安全策略和工具的基础上,引入云原生安全,完善企业安全领域和体系。云原生 安全工具能够保护时刻动态变化和复杂的云原生环境 云原生环境下的攻击面不再是单服务器|P地址,而是分布在大量容器之上,而且微服务应用 之间存在大量东西向的内部网络流量。传统网络防火墙不仅难以看到容器之间的网络流量, 而且随着容器的快速启动和消失,也无法适应这种快速变化。正如一位网络安全架构师所说: 在一个容器的世界里,你无法手动配置 ipta bles或手动更新防火墙规则。 对于保护单体应用相比,云原生安全工具能够保护和隔离应用容器和服务。即使在容器动态 扩展的情况下也会自动实现发现、跟随和保护。还可以像传统的网关防火墙一样保护从外部 网络以及传统应用到容器环境之间的网络通信 版权所有 Daocloud 云原生安全 云原生安全工具需要有深度可视化和管理容器网络的能力,能够对容器进行细粒度的安全管 控和隔离,具有捕捉容器之间的网络数据包的能力,达到第7层即应用层的网络安全保护。 数字应用全生命周期与全流程自动化安全 企业在提高应用开发运维效率的同时,也对应用全生命周期和全流程自动化安全保护提出了 新的要求。企业通过在持续集成与持续交付(CCD)关键步骤中集成安全控制来全面地保护 云原生应用。一方面,开发运维人员通过安全自动化工具保证应用在开发测试过程中,消除 潜在的安全漏洞风险;另一方面,在运行环境中,运维人员通过安全工具自动化保障容器应 用和容器网络运行时安全,以及主机的安全加固、检测和防护。在整个 DevOps敏捷开发运 维过程中,无缝集成安全策略与工具保障整个流水线的自动化安全,实施 DevSecOps的理 念 代碉依赖包 容器网络服务网格 构延服务器 源代码库 6 EW章 m f鲁 测试部署环境 生产环境容器集群 数字应用全生命周期与全流程自动化安全 版权所有 Daocloud 云原生安全 结论 随着云环境和云原生技术的不断发展,恶意攻击者们总会找到与新系统和新架构相应的或更 先进的攻击破坏方法,不断开发新的恶意工具或病毒或利用零日漏洞实施网络攻击。企业现 有的传统安全策略和攻击会存在盲点,无法完全覆盖云原生环境下的安全问题。 运用和实施云原生安全策略与工具,可以有效降低企业在数字化转型过程中引入新兴技术的 风险,与传统安全策略与工具相互结合,共同完善和保障企业的应用、网终以及数据安全。 数字经济发展需要网络安全保驾护航。在国家深入发展互联网+、大数据、人工智能,壮大 数宁经济的政策指导下,企业已经认识到传统安全策略与工具已经不能满足快速变化发展的 云原生安全需求,已经将云原生安全定为企业安全规划建设的重点,完善企业安全策略与工 具。企业在建设数字业务应用的同时,必须要考虑引入适应云原生环境的安全解决方案。这 可以极大降低企业生产环境的未知安全隐患,避免发生企业安全事故。 如何安全保障云原生环境下的容器及网络安全? 预了解更多情况,请访问www.daocloud.jo 请联系ino@ daocloud. jo 版权所有 Daocloud

...展开详情
试读 6P 云原生安全白皮书Lite.pdf
立即下载 身份认证后 购VIP低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
  • 签到新秀

关注 私信
上传资源赚钱or赚积分
最新推荐
云原生安全白皮书Lite.pdf 45积分/C币 立即下载
1/6
云原生安全白皮书Lite.pdf第1页
云原生安全白皮书Lite.pdf第2页

试读结束, 可继续阅读

45积分/C币 立即下载