云原生安全白皮书Lite.pdf-资料库

jsjwh2010-11949171-4744302543358547917.pdf-第1页.png

第1页 / 共6页

jsjwh2010-11949171-4744302543358547917.pdf-第2页.png

第2页 / 共6页

jsjwh2010-11949171-4744302543358547917.pdf-第3页.png

第3页 / 共6页

jsjwh2010-11949171-4744302543358547917.pdf-第4页.png

第4页 / 共6页

jsjwh2010-11949171-4744302543358547917.pdf-第5页.png

第5页 / 共6页

jsjwh2010-11949171-4744302543358547917.pdf-第6页.png

第6页 / 共6页

云原生安全白皮书 Cloud Native Security White Paper DaoCloud 安全中心 2019 年 5 月

“ 云原生安全根据 Gartner 的研究预测，到 2022 年，超过 75％的全球企业将在生产环境中运行容器化应用。虽然以容器为核心的云原生技术发展速度空前增长，企业采用新兴技术的同时，也需要确保应用在全生命周期的各个关键环节尤其在生产环境运行时的安全问题。 ” 万物互联时代，企业正在面临着日益严峻的网络安全风险，不断升级的网络攻击、数据泄漏等安全挑战。据国家互联网应急中心 2018 年度报告1指出，监测到我国互联网恶意程序传播次数日均达 500 万余次，受攻击的 IP 地址约 5,946 万个，约占我国 IP 总数的 17.5%。其中境外控制服务器控制了我国境内约 526 万台主机。安全漏洞数量共计 14,201 个，高危漏洞为 4,898 个。近年来“零日”漏洞2收录数量持续走高，2018 年收录的“零日”漏洞收录数量占比 37.9%，高达 5,381 个，同比增长 39.6%。大流量分布式拒绝服务攻击（DDoS 攻击）事件数量平均每月超过 4,000 起，超过 60%的攻击事件为僵尸网络控制发起。另外，联网工业设备和工业互联网平台、电力、石化等行业远程监控巡检、互联网金融网站和移动 APP 安全等都存在着可能产生风险包括拒绝服务攻击、远程命令执行、信息泄漏、暴力破解、网络恶意嗅探等安全漏洞。企业需要满足数字化转型的期望，实现快速交付和扩大数字业务增长的成功需求。企业扩展数字化业务时，需要不断投资并引入容器、微服务架构等云原生技术，构建崭新的数字平台，并制定相应的数字发展战略，帮助企业加速数字化创新，以保持竞争中的领先地位。云原生应用作为数字业务应用的最佳载体，伴随着企业数字化转型，被越来越多的企业用户所接受。企业基于云原生技术构建自己的智能混合云数字平台，保持企业在数字经济时代的创新竞争力。容器技术具有行业标准、灵活与轻量的特性，支持微服务架构，提高开发运维效率，实现数字业务应用的快速迭代，并能够在异构的云基础设施之间轻松迁移。Gartner 的最终用户调查研究显示，中国用户对容器技术的热情高于世界其它市场3。汽车、金融、制造、媒体、零售等很多企业都已经将容器运行在了生产环境。 1 http://www.cert.org.cn/publish/main/upload/File/2018situation.pdf 2 零日漏洞通常是指还没有补丁的，被发现后立即被恶意利用的安全漏洞。 3 "Survey Analysis: Container Adoption and Deployment, 2018" 版权所有 © DaoCloud 2

云原生安全云原生环境面临的安全挑战云原生技术作为企业数字业务应用创新的原动力，不仅被引入到云原生应用全生命周期管理中，而且被推到了生产环境。云原生技术为企业带来快速交付与迭代数字业务应用的优势之外，同时也带来了新的安全要求与挑战。传统安全策略和工具在云原生环境下存在盲点传统安全策略与工具未能跟上云原生技术的快速发展，为运行在云原生环境下的业务应用与数据增加了巨大的潜在安全风险。对于云原生环境的动态特征，包括大幅增加的内部网络流量、服务通信端口总量和容器秒级启动或消失的动态变化，增加了安全监控和保护的难度。传统防火墙很难适应这种持续的动态变化，难以洞察到容器之间的网络流量和异常行为，特别是恶意攻击者在容器间的操作。云原生环境需要对容器和主机有深度监控和可视化的容器网络安全防护，对网络攻击自动抓取网络数据包，用于安全审计；也需要安全工具通过自主学习，自动生成网络安全策略等。动态而复杂的云原生网络环境创新业务应用的快速交付迭代与扩展帮助数字业务的快速创新与增长。在规划与交付应用时，会拆分成多个相对独立的微服务应用，每个服务应用都有各自的通信端口、访问权限、授权机制等安全点，不仅会受到外部网络的攻击，也可能会受到内部网络发起的攻击。与保护单一应用安全相比，保障微服务应用与其内部网络变得具有挑战。数字业务应用快速交付需要自动化安全为提高数字业务应用交付与运维效率，企业应用开发与运维部门引入 DevOps 开发运维一体化流程，比如，每个微服务应用会涉及相对独立的开发、测试和部署的全生命周期，并通过持续集成/持续交付的流水线，将应用部署运行在开发测试和生产环境中。在整个业务应用全生命周期中，需要为各个环节引入自动化安全保护，不仅避免各个环节的潜在风险，而且提高应用安全交付效率。版权所有 © DaoCloud 3

云原生安全如何实现云原生安全数字经济时代下，企业运用云原生技术加速数字业务创新与增长的同时，应引入云原生安全策略和工具，作为企业安全规划建设的重点；从关注容器的隔离能力转变为容器现在所属的云原生生态系统，来完善企业安全体系。云原生安全体系云原生容器网络安全与第 7 层应用安全保护在企业传统安全策略和工具的基础上，引入云原生安全，完善企业安全领域和体系。云原生安全工具能够保护时刻动态变化和复杂的云原生环境。云原生环境下的攻击面不再是单服务器 IP 地址，而是分布在大量容器之上，而且微服务应用之间存在大量东西向的内部网络流量。传统网络防火墙不仅难以看到容器之间的网络流量，而且随着容器的快速启动和消失，也无法适应这种快速变化。正如一位网络安全架构师所说: “在一个容器的世界里，你无法手动配置 iptables 或手动更新防火墙规则。” 对于保护单体应用相比，云原生安全工具能够保护和隔离应用容器和服务。即使在容器动态扩展的情况下也会自动实现发现、跟随和保护。还可以像传统的网关防火墙一样保护从外部网络以及传统应用到容器环境之间的网络通信。版权所有 © DaoCloud 4

云原生安全云原生安全工具需要有深度可视化和管理容器网络的能力，能够对容器进行细粒度的安全管控和隔离，具有捕捉容器之间的网络数据包的能力，达到第 7 层即应用层的网络安全保护。数字应用全生命周期与全流程自动化安全企业在提高应用开发运维效率的同时，也对应用全生命周期和全流程自动化安全保护提出了新的要求。企业通过在持续集成与持续交付（CI/CD）关键步骤中集成安全控制来全面地保护云原生应用。一方面，开发运维人员通过安全自动化工具保证应用在开发测试过程中，消除潜在的安全漏洞风险；另一方面，在运行环境中，运维人员通过安全工具自动化保障容器应用和容器网络运行时安全，以及主机的安全加固、检测和防护。在整个 DevOps 敏捷开发运维过程中，无缝集成安全策略与工具保障整个流水线的自动化安全，实施 DevSecOps 的理念。数字应用全生命周期与全流程自动化安全版权所有 © DaoCloud 5 构建服务器测试部署环境镜像仓库代码依赖包源代码库Dockerfile镜像PodPodPodPodPodPodPodPod生产环境容器集群容器网络服务网格

结论云原生安全随着云环境和云原生技术的不断发展，恶意攻击者们总会找到与新系统和新架构相应的或更先进的攻击破坏方法，不断开发新的恶意工具或病毒或利用零日漏洞实施网络攻击。企业现有的传统安全策略和攻击会存在盲点，无法完全覆盖云原生环境下的安全问题。运用和实施云原生安全策略与工具，可以有效降低企业在数字化转型过程中引入新兴技术的风险，与传统安全策略与工具相互结合，共同完善和保障企业的应用、网络以及数据安全。数字经济发展需要网络安全保驾护航。在国家深入发展互联网+、大数据、人工智能，壮大数字经济的政策指导下，企业已经认识到传统安全策略与工具已经不能满足快速变化发展的云原生安全需求，已经将云原生安全定为企业安全规划建设的重点，完善企业安全策略与工具。企业在建设数字业务应用的同时，必须要考虑引入适应云原生环境的安全解决方案。这可以极大降低企业生产环境的未知安全隐患，避免发生企业安全事故。如何安全保障云原生环境下的容器及网络安全？预了解更多情况，请访问 www.daocloud.io 请联系 info@daocloud.io 版权所有 © DaoCloud 6

资料库

云原生安全白皮书Lite.pdf

相关推荐

安全技术

热门标签

最新资料