- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技研究通讯
《云原生安全》之原生安全
云原生安全的现在和未来如何,笔者不妨从一个较高的视角进行探讨。 与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。 1 面向云原生环境的安全 总体而言,云原生安全的第一阶段是安全赋能于云原生体系,即构建云原生的安全能力。 面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务等系统的安全。 云原生是一种理念上的创新,通过容器化、资源编排和微服务重构了传统的开发运营体系,加速业务上线和变更的速度,因而,云原生系统的种种优良特性同样会给安全厂商带来很大的启发,重构他们的安全产品、平台,改变其交付 这种具有云原生特征的安全机制与当前流行的安全资源池有相似的特性,当然借助业界流行的云原生技术和平台,能提供比安全资源池性能更好、处置更灵活的安全能力。 图1 原生安全的演进 总结 从上可知,原生安全发展会有三个阶段,在最终阶段,当安全设备或平台云原生化后,就能提供(云)原生的安全能力,不仅适用于通用云原生场景、5G、边缘计算等场景,甚至可以独立部署在大型电商等需要轻量级
2.1K40发布于 2021-11-10 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全风险思考
观点一 云原生应用继承了传统应用的风险和API的风险 云原生应用源于传统应用,因而云原生应用风险也就继承了传统应用的风险。 此外,云原生环境中,应用的API交互模式逐渐由“人机交互”转变为“机机交互”,虽然API大量出现是云原生环境的一大特点,但本质上来说,API风险并无新的变化,因而其风险可以参考现有的API风险,主要包含安全性错误配置 3.2云原生业务带来的新风险 在之前的概述小节中,笔者提到应用架构的变革也会为云原生应用业务带来新的风险,说到此处,读者们可能会产生疑问,云原生应用业务风险和上一小节提到的云原生应用风险有何区别,笔者看来 FaaS平台自身负责云环境地安全管理,主要包括数据、存储、网络、计算、操作系统等。 如IaaS平台,PaaS平台一样,FaaS平台也面临未授权访问和数据泄露的风险。 五、总结 本文较为详细的为各位读者分析了云原生应用面临的风险,可以看出,云原生应用相比传统应用面临的风险主要为应用架构变革及新的云计算模式带来的风险,而针对应用本身的风险并无较大变化,因而对云原生应用架构和无服务器计算模式的深度理解将会有助于理解整个云原生应用安全
2.9K33发布于 2021-08-06 - 来自专栏Bypass
《云原生安全攻防》-- 云原生攻防矩阵
在本节课程中,我们将开始学习如何从攻击者的角度思考,一起探讨常见的容器和K8s攻击手法,包含以下两个主要内容: 云原生环境的攻击路径: 了解云原生环境的整体攻击流程。 云原生攻防矩阵: 云原生环境攻击路径的全景视图,清晰每一步采取的攻击技术。 目前,多个云厂商和安全厂商都已经梳理了多个针对容器安全的威胁矩阵,我们可以参考这些成熟的模型,结合个人对云原生安全的理解,构建自己的攻防矩阵。 针对云原生环境的攻击技术,与传统的基于Windows和Linux的通用攻击技术有很大的不同,在这里,我们梳理了一个针对容器和K8s常见攻击技术的云原生攻防矩阵。 视频版:《云原生安全攻防》--云原生攻防矩阵
68311编辑于 2024-04-16 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(二)
,因而针对Serverless应用的安全防护各位读者可以大体参考《【云原生应用安全】云原生应用安全防护思考(一)》一文中传统应用安全的防护方式,尤其是应用程序的代码漏洞缓解、依赖库漏洞防护、数据安全防护 3.2Serverless平台安全防护 针对《云原生应用安全风险思考》一文中提出的Serverless平台风险,我们可以考虑通过以下几种防护方式进行相应缓解。 3.2.1 使用云厂商提供的存储最佳实践 为了尽量避免用户在使用云厂商提供的Serverless平台时因不安全的错误配置造成数据泄露的风险,主流云厂商均提供了相应的存储最佳实践供各位开发者参考,例如Howto 针对《云原生应用安全风险思考》一文提出的Serverless风险,笔者较为系统地从Serverless应用及平台两方面对前述提到的Serverless风险进行了相应防护介绍。 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 【云原生应用安全】云原生应用安全防护思考(一) 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究
2.3K22发布于 2021-10-15 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(一)
一、概述 应用是云原生体系中最贴近用户和业务价值的部分,笔者在之前《云原生应用安全风险思考》一文中分析了云原生应用面临的风险,相信各位读者已经有所了解,本文为云原生应用安全防护系列的第一篇,主要针对传统应用安全 二、传统应用安全防护 从《云原生应用安全风险思考》一文中对传统应用风险的介绍,我们得知传统应用为云原生应用奠定了基石,因而笔者认为云原生应用安全防护也可参照传统应用安全防护,接下来笔者将为各位读者介绍传统应用的安全防护方法 针对部署模式的区别,传统的API网关通常在虚拟机或Docker容器中进行部署,而云原生API网关则主要在微服务编排平台部署,典型的为Kubernetes。 云原生API网关以开源项目居多,近些年来,随着技术的不断发展,Kubernetes显然已成为容器编排平台的业界标准,因而云原生API网关也都相应支持在Kubernetes上进行部署,目前主流的云原生API 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。
2.5K12发布于 2021-09-27 - 来自专栏云安全社区
云原生安全实践
所以相对于传统安全,云原生安全仍然是真正的挑战。 云原生安全,它是一种保护云原生平台及基础设施和整个应用程序安全实践,包括自动化数据分析,威胁检测,确保应用整个安全性及纵深防御。 刚才提到了云原生安全面临的风险,像Kubernetes一些漏洞,还有一些常见的像k8s上用的组件漏洞,包括其他的内部组件的高危漏洞等都威胁整个云原生平台的安全性。 平台的安全管控,和其他相关联的安全隐患,都会对云平台导致很大的风险。 接下来第二个,就是云原生安全实践,主要讲述在云原生整个过程中,如何应对遇到的风险。 整个云原生平台,整个依赖于基础平台的安全,计算平台的安全,容器,应用微服务方面的安全,任何一个环节的问题,都会导致N起事故的发生,所以都要从多个方面对威胁进行评估和提前主动防御。 DevSecOps和API安全的重要性都会随着云原生的使用进一步地提升。 包括很多安全审计在云原生平台,我们一定要加强每一个安全事件的管理。
1.2K31编辑于 2022-03-17 - 来自专栏北京宏哥
【云安全最佳实践】云原生和云原生安全问题
“云”表示应用程序运行于分布式云环境中,“原生”则是为云设计的,表示应用程序在设计之初就充分考虑到了云平台的弹性和分布式特性。 所以回到最开始的问题,因为云本身具有可见和不可预见的弊端,所以大佬们开发出了因云而生的技术应用,即云原生。充分地发挥云的优势,在云上以最佳的方式运行。那么云原生安全的问题又该如何解决呢? 05 云原生安全问题面对快速开发和部署的迫切需要,基于边界的传统安全保障显得力不从心。 为适应云原生应用的规模扩展以及快速变化,要求使用面向安全的架构设计,云原生安全构建在云原生应用开发、发布、部署、运行的整个生命周期中,涉及云(Cloud)、集群(Cluster)、容器(Container PKI技术及数字证书应用能够提供身份证明、数字签名、数据加解密等安全能力,为云原生应用实现机密性、完整性、真实性、抗抵赖性等安全特性。
37K745编辑于 2022-09-22 - 来自专栏绿盟科技研究通讯
零信任原生安全:超越云原生安全
本文从信任的定义开始,探讨(零)信任的内涵,然后分析云原生安全和零信任安全的关系,云上的成功会将零信任原生安全融合更多安全防护手段,应用各类复杂应用场景。 其中,如认证和访问控制机制是云计算系统原生提供的,如Openstack提供了Keystone认证服务、安全组、防火墙即服务,Kubernetes支持多种认证、授权机制和网络策略,所以这些云平台控制平面和数据平面都是原生支持零信任的 虽说这不是云平台原生提供的安全能力,但SDP借助云平台的开放接口,可以容易得对接到各大公有云。 3 云原生应用的零信任 上一节主要谈的是IaaS和PaaS平台的零信任,在SaaS场景中,随着敏捷开发、高效运营的驱动下,用户越来越多地使用服务网格(Service Mesh)等云原生的架构开发应用 六、零信任原生安全 从实践来看,云原生安全和零信任安全是有一定相关性的: 云原生的信任机制都是零信任的,云计算的开放环境,云服务的开放接口,必然要求云原生的安全首先要做好信任管理,全局、业务一致的白名单机制就是零信任的
2.5K20发布于 2020-02-17 - 来自专栏绿盟科技研究通讯
【云原生安全】从分布式追踪看云原生应用安全
四、云原生应用安全 前文介绍了在云原生架构下,可以通过分布式追踪系统,实现对云原生应用的可观察性追踪。根据追踪数据,进而实现对应用的性能分析、故障定位等。 接下来本章将介绍,基于分布式追踪系统获取的可观察性数据,如何实现云原生应用的安全检测与防护。 4.1什么是云原生应用安全 应用安全是指应用级别的安全措施,旨在保护应用内的数据或代码免遭窃取和劫持。 4.4云原生应用的API安全 回到云原生应用的本身,基于微服务的架构设计,使得应用之间的交互模式从Web请求/响应为主转向各类API的请求/响应,API通信在云原生应用交互中占据了重要的地。 因此,API安全也成为了云原生应用安全中尤为重要的一个部分。 图9 基于Jaeger的API异常检测示例 五、总结 基于微服务的云原生架构,使得服务间的通信变的异常复杂,给云原生应用的安全检测和防护带来了巨大的挑战。
1.2K10发布于 2020-12-30 - 来自专栏ThoughtWorks
探索云原生安全测试
背景 容器和云原生平台使企业能够实现自动化应用部署,从而带来巨大的业务收益。但是,这些新部署的云环境与传统环境一样,容易受到黑客和内部人员的攻击和利用。 勒索软件、加密货币挖矿、数据窃取和服务中断的攻击持续发生在针对基于容器的云原生环境之中。由于云平台安全缺陷导致频繁发生的重大网络安全事故,使得云平台下的安全测试显得尤为重要。 当我们设计云原生安全测试方案前,首先让我们先了解下云原生安全测试的内容。 总结 当我们使用开源的云原生安全测试工具结合渗透测试工具、方法和手段,通过设计良好的安全测试策略,就能很好地开展云平台基础架构合规测试、容器网络安全测试、容器运行时安全测试、镜像安全测试等云原生环境下特有的安全测试 从而了解云平台和云上应用存在的安全隐患和风险,通过修复相关的安全隐患和风险,来不断提升我们云平台和云上应用的安全性。 ----
74920编辑于 2023-04-28 - 来自专栏CNCF
集群的云原生安全
作者:Pushkar Joglekar 在过去的几年中,一个关注安全的小型社区一直在努力工作,以加深我们对安全的理解,并给出了不断发展的云原生基础设施和相应的迭代部署实践。 相反,其目的是将安全性建模并注入云原生应用生命周期的四个逻辑阶段:开发、分发、部署和运行时。 ? CA在集群内进行通信 秘密管理:与内置或外部秘密存储集成 云原生互补安全控制 Kubernetes直接参与部署阶段,较少参与运行时阶段。 根据公认的安全基线扫描节点、工作负载和协调器的配置 先了解,后安全 云原生方式(包括容器)为其用户提供了巨大的安全优势:不变性、模块化、更快的升级和跨环境的一致状态。 意识到“做事方式”的这种根本性变化,促使我们从云原生的角度来看待安全问题。
86210发布于 2020-11-25 - 来自专栏湛卢工作室
云原生安全系列(一) | Kubernetes云原生靶场搭建
在云原生架构的演变过程中也带来了一些新的风险和挑战,如容器逃逸、容器/K8S配置安全、容器镜像安全、Serverless安全、DevOps安全等。 而云原生场景下的攻击路径也与传统的系统架构的攻击路径有所不同,比如从容器到容器,从容器到宿主机,从容器到其他node节点,从node节点到master节点等,更多的围绕云原生技术的特性,如下图所示。 云原生安全系列文章将记录笔者云原生安全学习心得,本期为第一期。 俗话说“工欲善其事必先利其器”,要研究云原生安全,首先需要搭建一个云原生的安全靶场,本文将介绍如何搭建一个K8S云原生靶场,后续的攻防研究均在本靶场开展。 ,后续将在靶场上开展云原生架构攻击面、攻击路径、横向移动手段和安全防护研究、实践。
2.2K11编辑于 2022-11-11 - 来自专栏运维启示录
云原生安全DevSecOps思考
近年来,云原生技术应用日益广泛,而容器编排平台Kubernetes(k8s)的出现,使得我们的服务具备了前所未有的灵活性和扩展性。然而,这同时也带来了诸多云原生安全问题。 本文的目的是深入探讨云原生环境下的安全脆弱性,并介绍配套的工具和方法,帮助企业在步入云原生大门时关好每扇安全窗。 云原生技术架构的安全挑战云原生技术架构下,一些常见的容器应用、K8s编排和其他构建模块的复杂性可能给系统安全带来挑战:宿主机:宿主机是容器运行的基础,如果宿主机的安全性不能得到保障,那么运行在其上的所有容器都可能面临风险 此外,2023年的云栖大会指出,多数企业目前的云原生安全发展程度还远远滞后于应用的云原生化程度。 有效的安全方法论和云原生的安全最佳实践,可以帮助我们在云原生环境中构建一个更安全、更可靠的未来。
53610编辑于 2024-02-06 - 来自专栏yuancao博客
云平台使用安全
目录 1.典型IT系统架构介绍 IT基础架构演讲的趋势 传统IT 与云计算的区别 云计算的三种服务方式 企业云上常见架构 2.信息安全现状和形势 重点安全事件回顾 阿里云的安全监测报告 阿里云安全态势分析 IT系统风险构成 按照等保的划分维度 云上的安全服务方式 云上安全防护的关键点 注意事项 应用与数据分离 应用集群部署 动静资源分离 云计算面临的主要安全威胁 产生安全风险的主要原因 4.阿里云安全解决方案 阿里云的服务器安全防护 阿里云的网络安全防护 阿里云的数据安全防护 阿里云的应用安全防护 阿里云的监控管理 5.安全法概要 背景 对企业的影响 对个人的影响 趋势 1.典型IT系统架构介绍 IT基础架构演讲的趋势 传统IT 与云计算的区别 ? 云计算的三种服务方式 SAAS、PAAS、IAAS ? 企业云上常见架构 ? ? 2.信息安全现状和形势 重点安全事件回顾 ? ? ? 阿里云的安全监测报告 ? 4.阿里云安全解决方案 阿里云的服务器安全防护 ? 阿里云的网络安全防护 ? 阿里云的数据安全防护 ? 阿里云的应用安全防护 ? 阿里云的监控管理 ? 5.安全法概要 背景 ? 对企业的影响 ?
3.6K53发布于 2020-10-10 - 来自专栏CNCF
网研会:云原生安全平台的时代(视频+PDF)
讲者:Keith Mokris,技术营销工程师 @Palo Alto Networks 云原生是第6代企业计算(大型机,mini,x86裸金属,虚拟化,云IaaS),但我们仍然处于它的生命周期的早期。 在这一节中,我们将回顾几年,并想象一个典型的企业是如何使用云原生的,他们从云原生获得了什么价值,以及我们作为一个社区需要做些什么来确保这一切的发生。
66810发布于 2019-12-19 - 来自专栏Docker项目实战
云原生安全实践:基于Docker搭建HarborGuard镜像扫描平台
一、HarborGuard介绍1.1HarborGuard项目简介HarborGuard是一个功能全面的容器安全扫描平台,集成多种主流安全工具,通过直观的Web界面帮助开发者和团队轻松管理与可视化Docker jeven192.168.3.88Ubuntu24.04.2LTS28.5.0HarborGuard——2.2本次实践介绍1.本次实践部署环境为个人测试环境,生产环境请谨慎;2.在Docker环境下部署HarborGuard容器安全扫描平台 如果无法访问,请确保宿主机的防火墙已关闭或已放行相关端口,对于云服务器还需配置相应的安全组规则。 等待一段时间,扫描完成后,结果如下所示:八、总结本次实践通过Docker成功部署了HarborGuard容器安全扫描平台,整个过程简单高效,仅需几步操作即可完成环境搭建。 通过实际操作验证了平台的可用性,其直观的界面和多样化的扫描工具让容器安全管理更加便捷。HarborGuard是一款实用的容器安全扫描工具,适合各类场景下的容器镜像安全检测工作。
10400编辑于 2026-04-05 - 来自专栏腾讯云原生团队
初探云原生私有化容器云平台
在云计算逐渐成为传统行业 IT 基础架构的选择时,应用向云原生迁移成为企业数字化转型的利器,利用 Docker、Kubernetes 、Service Mesh等项目构建私有云或混合云的云原生平台正在成为业界的主流选择 容器云平台 ? 作为云原生架构的重要载体,容器的易用性和可用性需要得到足够的保障,原生的 Kubernetes 虽然可以做到生产级别的业务保障,但作为一个业务平台来使用还是显得太单薄。 不过幸好,在云原生迅猛发展的今天,各大厂商都投入了大量的精力建设容器云平台,我们无需重复建设,有很多种现成的方案可以选择: 公有云容器平台 对于可以把业务放在公有云的用户,直接使用云厂商提供的云服务是最佳选择 私有云部署在企业防火墙内,数据放置于本地数据中心,可以极大的保障安全性问题。银行、政企、金融这种对安全监管有要求的行业也会选择私有云容器平台来部署他们的服务。 使用 Service Mesh 等云原生技术也可以方便地将混合云容器平台管理的服务打通,在保证安全的同时提供混合云场景下服务级别的通信与治理能力,将混合云容器平台打造成一个真正的云原生平台。
8.7K41发布于 2020-02-14 浅谈云原生下的安全
小德将于大家探讨云原生的概念、优势以及安全性如何解决,这边跟大家讲解一下小德对于云原生的浅薄认知云原生的定义和历史背景云原生是什么? 云原生人工智能云原生的弹性扩展和高可靠性特性使其成为人工智能和机器学习应用的理想平台。通过容器化和微服务架构,可以快速部署和管理复杂的AI模型和算法。 云原生的安全性云原生下安全性分析上面了解了云原生的关键技术,与传统安全相比,这些技术的引入也增加了新的安全风险。 运行时安全运行时安全包括了容器逃逸,容器隔离,网络攻击等风险今天这边简单针对容器构建部署运行时的安全问题给出一个完美的解决方案蜂巢解决云原生容器安全定义:原生安全平台由德迅云安全自主研发,能够很好集成到云原生复杂多变的环境中 ,如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。
35200编辑于 2024-04-26- 来自专栏科技云报道
云原生安全,没那么简单
结合我国产业现状与痛点,中国信通院认为“云原生安全”是指:云平台安全原生化和云安全产品原生化。 云平台安全原生化 一方面通过云计算特性帮助用户规避部分安全风险,另一方面能够将安全融入从设计到运营的整个过程中,向用户交付更安全的云服务。 另外,也提倡云服务商从研发阶段关注安全问题,前置安全管理。 云安全产品原生化 能够内嵌融合于云平台,解决用户云计算环境和传统安全架构割裂的痛点。 这类原生安全产品需要具备四大特性和优势,才能为用户云上安全建设提供更有力保障:采用内嵌的方式而无需外挂部署;充分利用云平台原生的资源和数据优势;可以与用户云资源、其它原生安全产品有效联动;能够解决云计算面临的特有安全问题 第三类则是基于云原生应运而生的“新安全”产品和服务 与云天生具有较好的亲和力,比如云工作负载保护平台CWPP(Cloud Workload Protection Platform)、云安全态势管理CSPM
87030编辑于 2022-04-16 - 来自专栏红蓝对抗
云原生安全全攻略
Docker守护进程的安全问题 Docker这个词被大范围、多场合提及,在容器技术及云原生技术行业的人都非常的熟悉。 平台中需要使用Docker守护程序来管理和运行容器,所以Docker守护进程是一个长期运行的进程。Docker守护进程需要以root根用户身份来运行。 另外,BuildKit的安全也较为便捷,仅需要容器运行时就能运行。当前BuildKit所支持的容器运行时有containerd和runc,这两个容器运行时也都是云原生平台首推的两个主流选择。 BuildKit由buildkitd daemon和buildctl两个进程组成,buildkitd需要在平台中预先安装runc或containerd。 以上内容截取自《云原生安全》 作者:李学峰
1.6K20编辑于 2023-04-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号