IT评测·应用市场-qidao123.com
标题:
云原生期间下,容器安全的“四个挑衅”和“两个关键”,2024年最新背景开发
[打印本页]
作者:
八卦阵
时间:
2024-9-1 16:32
标题:
云原生期间下,容器安全的“四个挑衅”和“两个关键”,2024年最新背景开发
先自我先容一下,小编浙江大学结业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索发展,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技能停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初志也很简单,就是盼望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上履历的小同伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,而且后续会连续更新
如果你必要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
缺少应用侧全生命周期的安全防护手段:容器技能在为企业应用架构提供了弹性、敏捷和动态可扩展等特性的同时,也改变了应用的摆设模式。首先应用自身的生命周期被大幅收缩,一个容器应用的生命周期通常是分钟级;与此同时,随着存储网络和异构资源利用率等基础设施能力上的提升,容器应用的摆设密度也越来越高,传统的面向虚机维度的安全防护策略和监控告警手段已经无法适应容器技能的需求。
缺少对云上安全责任共担模型的明白:企业应用上云后的安全必要遵循责任共担模型,在企业应用架构云原生话的转型过程中,必要企业应用管理者和安全运维职员明白企业自身和云服务商之前的责任界限。这个过程中也必要云服务商面向企业应用侧输出更全面的容器安全最佳实践并提升安万能力的易用性,低沉使用门槛。
构建容器安全体系的基本原则
==================================================================================
为了应对上述企业应用在容器化历程中的安全挑衅,云服务商和企业应用安全管理运维职员必要携手共建容器应用安全体系:
图 1 - ACK 容器服务安全责任共担模型
1. 云服务供给侧
对于
云服务商
,首先必要依托于云平台自身的安万能力,构建安全稳固的容器基础设施平台,而且面向容器应用从构建,摆设到运行时刻的全生命周期构建对应的安全防护手段。整个安全体系的构建必要遵循如下基本原则:
1)包管容器管控平台基础设施层的默认安全
容器平台基础设施层承载了企业应用的管控服务,是保障业务应用正常运行的关键,容器平台的安全性是云服务商应该格外关注的。
完备的平台安万能力:首先云服务商自身基础设施的安全性是容器平台是否安全的基础,比如 VPC 的安全配置能力,SLB 的访问控制,DDoS 能力和账号系统对云资源的访问控制能力等都是平台侧面向企业应用必要提供的基础安万能力。
版本更新和漏洞应急响应机制:虚机 OS 的版本更新和漏洞补丁的安装能力也是包管基础设施安全的基本防护措施,除此之外如 K8s 等容器相关开源社区的风险漏洞,都大概成为恶意攻击者首选的攻击路径,必要厂商提供漏洞的分级响应机制并提供必要的版本升级能力。
平台的安全合规性:这也是很多金融企业和政府部门应用上云的硬性条件条件。云服务商必要基于业界通用的安全合规标准,包管服务组件配置的默认安全性,同时面向平台用户和安全审计职员,提供完备的审计机制。
2)面向容器应用侧提供纵深防御能力
云服务商不仅要在自身管控侧建立完善的安全武装,同时也必要面向业务应用负载,提供适合云原生场景下容器应用的安全防护手段,帮助终端用户在应用生命周期各阶段都能有对应的安全管理方案。由于云原生具有动态弹性的基础设施,分布式的应用架构和创新的应用交付运维方式等特点,这就要求云服务商能够结合自身平台的基础安万能力,将云原生能力特性赋能于传统的安全模型中,构建面向云原生的新安全体系架构。
2. 企业安全侧
对于企业的安全管理和运维职员来说,首先必要明白云上安全的责任共担模型界限,究竟企业自身必要承担起哪些安全责任。云原生微服务架构下企业应用在 IDC 和云上进行摆设和交互,传统的网络安全界限已经不复存在,企业应用侧的网络安全架构必要遵循零信任安全模型,基于认证和授权重构访问控制的信任基础。对于企业安全管理职员来说可以参考关注如下方向加固企业应用生命周期中的生产安全:
包管应用制品的供应链安全
云原生的发展使得越来越多的大规模容器应用开始在企业生产情况上摆设,也大大丰富了云原生应用制品的多样性,像容器镜像和 helm charts 都是常见的制风致式。对于企业来说制品供应链环节的安全性是企业应用生产安全的源头,一方面必要在应用构建阶段包管制品的安全性;另一方面必要在制品入库,分发和摆设时刻建立对应的访问控制,安全扫描、审计和准入校验机制,包管制品源头的安全性。
权限配置和凭证下发遵循权限最小化原则
基于统一的身份标识体系进行认证授权是在零信任安全模型下构建访问控制能力的基础。对于企业安全管理职员来说,必要利用云服务商提供的访问控制能力,结合企业内部的权限账号体系,严格遵循权限最小化原则配置对云上资源和容器侧应用资源的访问控制策略;另外严格控制资源访问凭证的下发,对于大概造成越权攻击举动的已下发凭证要及时吊销。另外要避免容器应用模板配置如特权容器如许的过大权限,确保最小化攻击面。
关注应用数据和应用运行时刻安全
应用的乐成摆设上线并不意味着安全工作的竣事。除了配置完备的资源哀求审计外,安全管理运维职员还必要利用厂商提供的运行时刻监控告警和变乱关照等机制,保持对容器应用运行时安全的关注,及时发现安全攻击变乱和大概的安全隐患。对于企业应用自身依赖的敏感数据(比如数据库密码,应用证书私钥等)必要根据应用数据的安防等级采取对应的密钥加密机制,利用云上的密钥管理方案和落盘加密,机密计算等能力,包管数据在传输和落盘链路上的数据安全性。
及时修复安全漏洞和进行版本更新
无论是虚机系统,容器镜像或是容器平台自身的安全漏洞,都有大概被恶意攻击者利用成为入侵应用内部的跳板,企业安全管理运维职员必要根据云服务商推荐的指导方案进行安全漏洞的修复和版本更新(比如 K8s 集群版本,应用镜像版本等)。此外企业要负责内部员工的安全培训工作,居安思危,提升安全防护意识也是企业安全生产的基础要务。
端到端的云原生容器安全架构
==================================================================================
阿里云 ACK 容器服务面向广大的企业级客户,构建了完整的容器安全体系,提供了端到端的应用安万能力。
在今年 Forrester IaaS 安全评测中,阿里云容器安万能力与谷歌并列满分,领先其他厂商
。下图为阿里云容器服务的安全体系架构图:
图 2 - ACK 容器服务安全体系架构图
首先整个容器安全体系依托于阿里云强盛的平台安万能力,包括物理/硬件/假造化以及云产物安万能力,构建了夯实的平台安全底座。
在云平台安全层之上是容器基础设施安全层,容器基础设施承载了企业容器应用的管控能力,其默认安全性是应用能够稳固运行的紧张基础。首先面向集群 host 节点 OS 镜像自己阿里云操纵系统团队做了很多安全加固相关工作,Alibaba Cloud Linux 2 (原 Aliyun Linux 2) 不仅是阿里云官方操纵系统镜像,也是 ACK 的首选默认系统镜像。Alibaba Cloud Linux 2 在 2019 年 8 月 16 日正式通过了 CIS 构造的全部认证流程并发布对应的 CIS Aliyun Linux 2 Benchmark version 1.0.0。ACK 正在支持对基于 Alibaba Cloud Linux 操纵系统的集群进行 CIS 安全加固来满意简单、快捷、稳固、安全的使用需求。除 CIS 合规外,2021 年 1 月,ACK 已经正式支持对基于 Alibaba Cloud Linux 操纵系统的集群进行等保加固。
在容器管控侧,阿里云容器服务基于 CIS Kubernetes 等业界安全标准基线对容器管控面组件配置进行默认的安全加固,同时遵循权限最小化原则收敛管控面系统组件和集群节点的默认权限,最小化攻击面。
三月,阿里云容器服务提交的 CIS Kubernetes benchmark for ACK 正式通过 CIS 社区构造的认证考核,成为国内首家发布 CIS Kubernetes 国际
安全标准基线
的云服务商
。
统一的身份标识体系和访问控制策略模型是在零信任安全模型下构建安全架构的核心,ACK 管控侧和阿里云 RAM 账号系统打通,提供了基于统一身份模型和集群证书访问凭证的自动化运维体系,同时面对用户凭证泄露的风险,创新的提出了用户凭证吊销的方案,帮助企业安全管理职员及时吊销大概泄露的集群访问凭证,避免越权访问攻击变乱。
针对密钥管理、访问控制、日记审计这些企业应用交互访问链路上关键的安全要素,ACK 容器服务也提供了对应的平台侧安万能力:
访问控制:ACK 基于 K8s RBAC 策略模型提供集群内应用资源的访问控制能力,在包管非主账号或集群创建者默认无权限的安全条件下,集群管理员可以通过控制台或 OpenAPI 的方式对指定的子账号或 RAM 角色进行集群和账号维度的批量 RBAC 授权,ACK 面向企业常见授权场景,提供了四种预置的权限模板,进一步低沉了用户对 RBAC 及 K8s 资源模型的学习成本。对于应用容器中通常依赖的集群访问凭证 serviceaccount,ACK 集群支持开启针对 serviceaccount 的令牌卷投影特性,支持对 sa token 配置绑定 audience 身份,而且支持过期时间的设置,进一步提升了应用对管控面 apiserver 的访问控制能力。
密钥管理:针对企业客户对数据安全自主性和合规性的要求,ACK Pro 集群支持对 K8s Secret 的落盘加密能力,同时支持使用 BYOK 的云盘加密能力,包管企业核心数据安心上云;同时 ACK 集群支持将用户托管在阿里云 KMS 根据管家中的敏感信息实时同步到应用集群中,用户在 K8s 应用中直接挂载根据同步的指定 secret 实例即可,进一步避免了对应用敏感信息的硬编码问题。
日记审计:ACK 除了支持 K8s 集群 audit 审计,controlplane 管控面组件日记等基本的管控面日记采集外,还支持对 Ingress 流量的日记审计和基于 NPD 插件的非常变乱告警。以上日记审计能力均对接了阿里云 SLS 日记服务,通过 SLS 服务提供的快速检索、日记分析和丰富的 dashboard 展示能力,大大低沉了对容器应用开发运维和安全审计的难度。
面向容器应用层在供应链和运行时刻的安全挑衅,阿里云从容器应用的构建、摆设到运行全生命周期,提供全方位覆盖的安万能力:
图 3 - ACK 容器服务应用全生命周期安万能力
应用构建阶段
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技能提升。
必要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!岂论你是正从事IT行业的老鸟或是对IT行业感爱好的新人,都欢迎加入我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、口试辅导),让我们一起学习发展!
术提升。**
必要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-VXfrV7X2-1713214390011)]
一个人可以走的很快,但一群人才能走的更远!岂论你是正从事IT行业的老鸟或是对IT行业感爱好的新人,都欢迎加入我们的的圈子(技能交流、学习资源、职场吐槽、大厂内推、口试辅导),让我们一起学习发展!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)
Powered by Discuz! X3.4
