云原生安全威胁分析与能力建设白皮书(来源:中国联通研究院)
CSA 发布的《云原生安全技术规范》中给出了云原生安全框架[6],如图 3 所示。其中,横轴是开发运营安全的维度,涉及需求设计(Plan)、开发(Dev)、 运营(Ops),细分为需求、设计、编码、测试、集成、交付、防护、检测和响 应阶段;而纵轴则是按照云原生系统和技术的层次划分,包括容器基础设施安全、 容器编排平台安全、微服务安全、服务网格安全、无服务计算安全五个部分,二 维象限中列 过程中 遭遇了中间人攻击,导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像, 会造成镜像仓库和用户双方的安全风险。 2.2.4 敏感信息泄露攻击 当开发人员使用默认的或在容器镜像中保留硬编码的敏感数据,比如密码、 API 密钥、加密密钥、SSH 密钥、令牌等,或者在 Dockerfile 文件中存储了固 定密码等敏感信息并对外进行发布,都可能导致数据泄露的风险。攻击者会使用 扫描工具,比如 后进行 操作时没有判断数据的所属对象,致使用户 A 可以访问到属于同一角色的用户 B 的数据。 垂直越权,由于服务端没有设置权限控制或权限控制存在缺陷,导致恶意用 户只要猜测到管理页面的 URL 地址或者某些用于标识用户角色的参数信息等, 就可以访问或控制其他角色拥有的数据,达到权限提升的目的。 数据权限,某些 API 在设计时为兼容多个功能会将过多的数据杂糅到一起 返回至前端,然后由前端去筛选相关的数据。这导致0 码力 | 72 页 | 2.44 MB | 1 年前325-云原生应用可观测性实践-向阳
reserved. 实战 实战1 采集器怎么运行 实战2 BPF和eBPF怎么配合 实战3 如何与eBPF交互 实战4 eBPF kprobe挂在哪 实战5 eBPF uprobe挂在哪 实战6 怎样编码 实战7 怎样传输 实战8 怎样打标签 实战9 怎样存储与检索 simplify the growing complexity © 2021, YUNSHAN Networks Technology Networks Technology Co., Ltd. All rights reserved. 如果你的业务运行在公有云上 关联键值: TraceID、SpanID、 SegmentID、URL 关联键值: Pod、Node、 Service、VPC、 VM Metric WEBHOOK DataSource Plugin Tracing Logging 告警 面向各部门视图0 码力 | 39 页 | 8.44 MB | 6 月前3构建统一的云原生应用 可观测性数据平台
查询 ③ 查询 看云网更清晰 Simplify the growing complexity. Stage-1:采集时的编码 • Controller同步云API、K8s apiserver • 将所有标签编码为Int • Controller向Agent下发编码后的Int标签 • 仅向Agent下发最少的标签 • 标签的“基” • 如何选择基 • VPC:多租户环境下,与IP决定实例、服务 VPC:多租户环境下,与IP决定实例、服务 看云网更清晰 Simplify the growing complexity. Stage-2:存储时的编码 • Controller同步云API、K8s apiserver • 将所有标签编码为Int • Controller向Ingester下发编码后的Int标签 • 仅向Ingester下发需要持久化存储的标签 • 便于检索 • 如何选择需要随观测数据存储的标签 • group=iot owner=xian gyang …… 看云网更清晰 Simplify the growing complexity. Stage-3:查询时的编、解码 • Querier编码自定义标签的Filter和Group查询请求 • Filter:利用CK字典依据系统标签过滤 • Group:利用CK字典依据系统标签翻译 • Querier将系统标签解码为可读字符串 • 使用CK字典解码Int化的系统标签0 码力 | 35 页 | 6.75 MB | 1 年前3中国移动磐舟DevSecOps平台云原生安全实践
善威胁建模知识库,持续优化和维护内部安全需求知识库以适应不断变化的安全挑战。 ①需求分析阶段,分析业务需求,选择相应的安全需求 分类,并添加至安全需求清单列表 ②根据安全需求清单选择安全设计要求,整理为安全设 计清单 ③编码阶段,研发人员基于安全设计文档,落实与本次 需求相关的安全设计要求 安全开发-软件成分分析SCA 开源软件帮助企业快速提升信息化水平,也引入新风险。开源技术应用、国际形势复杂、软件供应链的多样化, 生产运营 生产上线 UAT测试(验收测试) 发版前测试 自动化集成与部署 应用开发阶段 需求阶段 业务需求输入 需求 分析 用户故事拆 分 开发任务拆 分 迭代 规划 IDE 编码 代码 编译 打包 制品库 制作 镜像 镜像库 接口 测试 UI测试 功能系统测 试 测试报告输出 镜像库 性能/容量 测试 功能验收测 试 验收报告输出 镜像库 生产部署验 是提供一个工具抓手。真正要 把安全工作做好,离不开管理、流程和团队的建设。 意识为先,警钟长鸣 通过不断的宣贯,让整个团队建立安全 意识 建立规范,严格执行 制定并发布《平台能力中心安全编码规范》 定期演练,检测有效性 定期演练,检验防护措施的有效性 持续运营,持续更新 漏洞规则要更新,病毒库要更新,防御手段也 要更新 乘舟上云 稳如磐基 CMIT云原生公众号0 码力 | 22 页 | 5.47 MB | 1 年前3consul 命令行
营商必须选择允许这些检查。如果启用,建议还启用ACL以控制允许哪些用户注册新检查以执行脚本 这是在Consul 0.9.0中添加的。 ● encrypt:指定用于加密Consul网络流量的密钥。该密钥必须是16字节的Base64编码。创建加密 钥的最简单方法是使用 consul keygen。群集中的所有节点必须共享相同的加密密钥才能进行通信。 供的密钥将自动持久保存到数据目录,并在重新启动代理时自动加载。这意味着要加密Consul的八卦 元数据键必须仅包含字母数字-和_字符。 ● 元数据键不能以consul-前缀开头; 保留供Consul内部使用。 ● 元数据值的长度必须介于0到512(含)之间。 ● 开头的密钥的元数据值rfc1035-在DNS TXT请求中逐字编码,否则元数据kv对根据RFC1464编 。 ● -pid-file:此标志提供代理程序存储其PID的文件路径。这对于发送信号很有用(例如,SIGINT 关 代理或SIGHUP更新检查确定 ●0 码力 | 5 页 | 346.62 KB | 1 年前322-云原生的缘起、云原生底座、PaaS 以及 Service Mesh 等之道-高磊
未来趋势是通过将所有传统的中间件功能移至其他运行时来 全面发展,最后的目标是在服务中只需编写业务逻辑。 思路大体是:Smart Runtime, Dumb Pipes。 阿里MOSN负责人敖小剑:“业务逻辑在编码开始阶段应该 是“裸奔”的,专注于业务逻辑的实现,而尽量不涉及到底 层实现逻辑;而在运行时,则应该装备“机甲”,全副武装, 大杀四方。熟悉的味道是吧?标准而地道的云原生思想” 但是,可以预见的是它很占用资源,所以这个问题需要得0 码力 | 42 页 | 11.17 MB | 6 月前3云原生图数据库解谜、容器化实践与 Serverless 应用实操
fg function�sample�serving-9sszk $ kubectl get ksvc NAME URL LATESTC function�sample�serving-9sszk�ksvc�xlfkz build: builder: openfunction/builder:v1 env: FUNC_NAME: "siwi_api" FUNC_SRC: "main.py" srcRepo: url: "https:��github.com/wey�gu/nebula�si sourceSubPath: "src" serving: runtime: Knative params: NG_ENDPOINTS:0 码力 | 47 页 | 29.72 MB | 1 年前336-云原生监控体系建设-秦晓辉
yaml,大盘可以参考 k8s/cm- dash.json • rest_client_request_duration_seconds 请求 apiserver 的耗时分布,histogram类型,按 照 url + verb 统计 • workqueue_adds_total 各个 controller 已处理的任务总数 • workqueue_depth 各个 controller 的队列深度,表示一个 k8s/scheduler- dash.json • rest_client_request_duration_seconds 请求 apiserver 的耗时分布,histogram类型,按照 url + verb 统计 • scheduler_framework_extension_point_duration_s econds 调度框架的扩展点延迟分布,按 extension_point 统计0 码力 | 32 页 | 3.27 MB | 6 月前3SBOM 为基础的云原生应用安全治理
API链路调用威胁阻断 • OWASP API安全 TOP 10(权限控制、注入等) RASP——应用出厂免疫 轻量级探针端 + 统一管控中心 + 积极防御插件 运营时威胁与攻击 注入攻击 URL黑名单 跨站脚本攻击 …… 恶意文件访问 反序列化攻击 扫描器攻击 OWASP Top 10 文件读写 数据库访问 表达式执行 本地命令执行 … 检测/响应 虚拟补丁 攻击分析 扫描拦截 威胁出厂免疫0 码力 | 30 页 | 2.39 MB | 1 年前3
共 9 条
- 1