- 1、本文档共11页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
基于容器特点和传统网络安全能力进行容器云安全规划设计
?
?
相比于传统应用而言,容器天然是弱安全的,这些不足随着容器一起跑在企业内网中,如果不能很好地识别并修复,分分钟就会成为“马奇诺防线”上的缺口,发生数据泄露、安全漏洞等,给企业带来不可估量的损失。很多早期建设容器云的企业已经深深感知到,面对容器技术的全新架构,“高筑城墙以御外敌”的传统安全方案已经不合时宜,更多的攻击面、监控和防护难度大、安全管控难度高,企业必须重新审视容器云环境的安全策略。
容器安全防护范围需要前移,防护粒度需要更细,也需要静态安全与动态安全防护相结合。具体体现在容器的开发、部署、运行的全生命周期中,从容器云平台的大边界,到租户小边界,再往内深入到虚拟机容器的微边界,对10+层的潜在攻击面进行安全防护加固,覆盖到代码安全审计、主机安全、镜像安全、容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎等领域。联盟容器云安全课题组的目标是帮助企业健全容器安全防护工作体系,提供镜像安全、基础设施安全、运行时安全等能力建设参考,减少摸索时间,让更多重要生产应用运行在安全的容器环境中。
本期介绍联盟容器云安全课题组阶段性研究成果“容器云安全规划”。
?导读??
本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结和思考,仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技术体系中的关键技术,对其的不同定位会带来安全规划的不同要求。云原生安全和传统安全能力的需求也有不同,因此认识到容器和云原生安全的特点来规划容器云安全,会更有针对性。本文的方案可以作为容器云安全规划时的参考,同时需要理解笔者所整理的《你需要知道的云原生架构体系内容》和《云原生架构实施路线图》,才能更好的理解本文内容。
执笔专家
汪照辉容器云安全用户委员会委员
云原生应用创新实践联盟——容器云安全方向课题组专家。专注于容器云、微服务、DevOps、数据治理、数字化转型等领域,对相关技术有独特的理解和见解。擅长于软件规划和设计,提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容,受到了广泛关注和肯定。
顾问专家
罗文江容器云安全用户委员会委员
云原生应用创新实践联盟——容器云安全方向课题组组长。招商银行云计算架构师,当前从事银行私有云和公有云基础设施、以及混合云架构的建设,参与包括容器云等相关云服务的规划、技术选型、架构设计和实施,以及业务连续性等保障体系的建设工作。
常青容器云安全用户委员会委员
云原生应用创新实践联盟——容器云安全方向课题组专家。任职于中国光大银行信息科技部,主要负责项目管理和开发安全体系建设方面的相关工作。主要擅长web应用安全威胁与防治,容器云安全风险排查与评估。
越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用,而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理工具平台,使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架构上来说,围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和容易实施的方案。
一、容器云定位
不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准化的运行时环境来说,它支撑的是应用生命周期过程中的运行阶段的需求。最初笔者提出的“以应用管理为核心”的容器云平台建设思路,也在信通院刚刚发布的《云原生新一代软件架构的变革》白皮书中的“一个中心”得到了体现。因此可以说容器云平台是应用运行时的支撑和管理平台。不过要实现应用的可见性、可管理性等,需要围绕容器云平台构建额外众多的基础设施工具和平台支撑,比如日志平台、监控平台、认证权限平台、消息平台等等。需要将容器云平台置于整个云原生DevOps体系之中,它承担的是应用生命周期过程中的运行阶段。在这个体系中,每个平台、组件和工具都会涉及安全的问题。而安全又分了不同的层次和机制,比如认证授权、加密解密、网络防护、病毒防护、应用安全等等;采用容器又带来了新的对象、新的流程和新的问题,比如镜像安全、容器安全、DevOps安全等。这是一个相互关联、相互影响而又相辅相成的一个体系。
笔者一直也在思考如何来规划容器云平台的安全。一直想解决的一个问题是:安全团队通过传统安全工具和方法扫描出来的漏洞如何和跟应用管理人员直接关联。采用大二层网络,服务的IP对所有人是可见的。由于传统网络安全往往是基于IP的机制,比如防火墙、白名单设置等,而容器带来了新的机制,容器IP往往是变化的,而服务是弹性的、可迁移的,往往不会和某个固定
您可能关注的文档
- 引产术后乳房胀痛的护理及退奶闫玉红.docx
- 以体能训练为核心的田径训练方法的优化与创新.docx
- 短暂性脑缺血发作并发眩晕60例临床分析.docx
- 现代城市生活垃圾处理处置的现状与对策.docx
- 浅谈初中语文自主合作探究课堂模式.docx
- 桃红醒脑丸防治利培酮所致闭经的疗效观察.docx
- 全面外科护理对低位直肠癌保肛手术患者的影响观察.docx
- 电力公司中财务预算管理现实困境与优化对策.docx
- 三门核电配置SIMOCODE的MCC抽屉误合现象分析及处理.docx
- 互联网+道路客运发展趋势分析.docx
- 2024至2030年中国人造棉面料行业投资前景及策略咨询报告.docx
- 重庆市渝中区遴选公务员2024年国家公务员考试考试大纲历年真题10340笔试历年典型考题及解题思路附.docx
- 2024至2030年中国甲基苯乙酮行业深度调研及发展预测报告.docx
- 2024至2030年中国羚羊角类饮片行业深度调查与前景预测分析报告.docx
- 重庆市面向中国农业大学定向选调2024届大学毕业生2024年国家公务员考试考试大纲历年真题14笔试历.docx
- 重庆市面向西北工业大学定向选调2024届大学毕业生00笔试历年典型考题及解题思路附答案详解.docx
- 中国不动杆菌感染治疗药行业市场现状分析及竞争格局与投资发展研究报告2024-2029版.docx
- 2024至2030年全球与中国ETL软件市场现状及未来发展趋势.docx
- 初中八年级(初二)生物下册期末考试1含答案解析.docx
- 干簧式继电器项目申请报告.docx
文档评论(0)