基于容器服务 ACK与 ACR构建企业级端到端DevSecOps流程匡大虎阿里云技术专家
01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录
Paloalto: The State of Cloud Native Security Report 2023Sysdig: 2023 Cloud-Native Security and Usage Report云原生安全•跨部门的安全管理和责任共担•在整个云原生开发生命周期中嵌入安全性•培训 IT/开发/安全人员使用安全工具•对整个云资源的安全漏洞缺乏可见性•找到满足安全需求的正确工具安全87%的容器镜像包含严重或高危等级的漏洞90%的授权并没有被实际使用15%的严重或高危漏洞在生产运行时被使用Top5 挑战90%的企业无法在一小时内发现、止血或处理漏洞78%的受访者表示需要更多开箱即用的可视化安全产品能力,同时希望以最小的学习成本实现风险过滤
供应链安全•85% 至 97% 的企业代码库使用开源软件•62% 的企业受到软件供应链攻击的影响Sonatype's state of the software supply chain Gartner 预测:"到 2025 年,全球将有 45% 的组织的软件供应链受到攻击,比 2021 年增加三倍。数据来源:GARTNER 《Innovation Insight for SBOMs》
云原生安全的发展落后于应用的云原生化改进方向监控和应急响应。t身份和访问控制漏洞和配置管理授予的权限与业务所需的权限之间存在巨大差异,需要基于最小化原则定期排查和管理权限,以减少攻击机会。由于大多数容器镜像在生产中运行时都存在风险漏洞,因此团队必须解决镜像臃肿的问题,并根据实际运行风险确定漏洞的优先级,从而集中精力进行修复。同时云原生的配置安全问题日益突显,企业需要在基线的指导下自动化排查业务负载风险。权限升级和防御规避攻击是企业面临的最大威胁。要想在不断变化的威胁环境中保持领先,就必须定期更新威胁检测规则,采用高效手段动态发现可疑攻击。DevSecOps核0
?iK
01云原生安全挑战02云原生安全体系方法论03阿里云ACK&ACR 安全产品能力04企业DevSecOps安全最佳实践Contents目录
威胁分析身份服务数据控制面网络底层硬件内核 & OS容器运行时云资源攻击路径K8s容器攻击路径网络攻击不当配置不当配置非授权访问数据窃取漏洞利用应用漏洞内核漏洞运行时漏洞特权利用漏洞利用恶意投毒不当配置漏洞利用缺乏网络隔离主机逃逸
初始入侵下发指令持久控制权限提升躲避防御窃取凭证探测信息横向攻击达成目标云账号AK泄露通过kubectl进入容器部署远控容器利用特权容器逃逸容器及宿
基于容器服务ACK与ACR构建企业级端到端DevSeOps流.pdf