- 1、本文档共13页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
云原生趋势下,金融企业的安全新挑战和防护难点解读
?
?
随着云计算的发展,以容器和微服务为代表的云原生技术受到人们的广泛关注,其中Docker和Kubernetes(K8S)是企业容器运行时和容器编排的首要选择。然而,在应用容器和K8S过程中,大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。
为能更好的解决大家在容器云安全方面的所遇到的难题,twt社区近期持续组织了多场同行交流和话题研讨。现将干货内容整理如下,重点分析解读金融企业面临的安全新挑战,以及容器云安全防护的典型问题及解决办法,最后分享同行共识总结,希望能够帮助更多金融企业做好容器云场景下的安全建设。
一、趋势分析
(一)传统信息安全面临的新挑战及与容器安全的联系和区别
尚峰某大型国有银行资深云计算专家:
传统安全是基础。可以认为传统的安全包裹着容器安全,容器安全不是独立存在的。没有一个体系能够完全脱离传统的安全完成容器云的安全。因此,先要做好传统安全,然后再做容器安全。
那么,针对容器安全能否使用一些传统的安全方案?有一些领域确实是没有办法去适应容器安全。
在容器云中,如果是彻底的原生概念,基于容器的动态肯定会是短平快,即容器的变化会是非常快的。容器是一个不可变基础设施,一般不会基于原有的技术、原有的东西去做变更,而是彻底摒弃掉老的,生成一个新的,对于这种情况,其安全体系需要能够识别新和老的这种更替,必须能够适应这种新的场景。
容器云要监控的对象比传统的全面监控对象要多很多倍,这样就会有很多的关系存在,这张网就会越来越复杂,这也是对容器云安全的的一大挑战。
此外,因为容器是标准化的,标准化就意味着要做的事情几乎是一定的,在运行的过程中间,如果超出了这个范围即是异常,所以这种情况也需要有机制能够去识别,去监测,并且有一定的机制能够去进行阻挡,或是人为的干预等等。
王洪涛?红帽资深解决方案架构师:
传统信息安全和容器安全,其实是两个互补的部分,容器安全不能够解决所有问题,传统安全也不能捎带着把容器安全解决了,因为它们各司其职,或者说各自的侧重点是不一样的。
以一个比较形象的比喻来说:传统的信息安全,就好像一个小区,小区门口设立一个保安;现在在容器云平台上,这个小区太大了,光在门口做保安检查是不够的,需要在这个小区的每栋楼,甚至每户门口都要有保安才能解决问题。这是容器的一些特点所决定的。而像日常的传统信息安全的范畴,比如说操作系统杀毒,其实就不应该放在容器的安全的成本内去考虑。比如平台上的网络抓包分析,如果通过容器云平台的安全机制去解决,其性能损耗其实是不值得的,肯定要借助于之前的传统网络解决方案,传统的走路由器或者做F5。
因此,传统安全和容器安全是互补的关系,需要搞清楚它们各自的职责和角色分工,它们是缺一不可的。
(二)容器云安全防护的需求
在容器云使用过程中,会发现与传统的安全有很大的区别。传统的安全管控,主要是在网络边界或者主机层面使用防火墙进行限制。但是使用容器云之后,所有的容器都运行在集群的内部,传统的防火墙,对该类防护已经无能为力了。需要从容器化基础设施、容器编排平台、云原生应用以及无服务等方面分析云原生安全威胁、云原生安全漏洞风险、容器镜像、容器运行时、容器网络、云原生可观测性、宿主机威胁检测等方面综合考虑,具体体现在如下几点需求:
1)同一个容器云集群中,不同namespace之间的网络防护:默认情况下我们不希望不同的namespace可以直接互相访问,这样不利于安全控制,如果有一个pod失陷,攻击者就可以进行横向移动,造成危害。?
2)怎样对个别Pod进行网络防护:在同一个Namespace中,默认情况下,Pod之间是可以互相访问的,但是有时可能会有特殊需求,不希望该Pod被其他Pod访问到或者只能访问指定的端口。?
3)出容器云集群后的流量识别:在传统应用部署上,应用被部署在特定的几台机器上,出口流量也就是固定的几个IP,但是在容器云上,出口的IP有可能是容器云集群中的任何一个Node,而且与其他在容器云上的应用混杂在一起,那么在网络的边界,传统的防火墙如何去识别这些流量,对不同的应用去做不同的网络策略。
4)Pod之间的流量加密:这个需求在自建私有云上用到的比较少,但是如果是租用公有云的用户,这种需求就可能存在了,毕竟底层的网络流量不能在用户自己的掌控下,被流量抓包和分析的可能性还是很大。?
5)容器基础镜像的安全:基础镜像作为我们的应用运行的底层,如果出现安全漏洞,所有以该镜像所生成的应用镜像都受到影响,如何确保基础镜像的安全。?
6)容器运行状态下的安全检测:当容器在镜像仓库中时,可以通过扫描镜像仓库发现一些可疑镜像,但是如果镜像已经部署在容器云中,那么使用哪些手
您可能关注的文档
- 中国人口年龄结构变化与就业结构问题研究.docx
- 浅谈电力系统综自改造关键回路设计要点.docx
- 一起幼儿园手足口病爆发案例的调查与思考.docx
- 会计电算化的信息安全风险.docx
- 中国国家标准 GB/T 41734.5-2024动物射频识别 第5部分:射频识别读写器读取GB/T 20563和GB/T 22334射频识别标签的能力测试程序.pdf
- 《GB/T 41734.5-2024动物射频识别 第5部分:射频识别读写器读取GB/T 20563和GB/T 22334射频识别标签的能力测试程序》.pdf
- GB/T 41734.5-2024动物射频识别 第5部分:射频识别读写器读取GB/T 20563和GB/T 22334射频识别标签的能力测试程序.pdf
- 《GB/T 16716.6-2024包装与环境 第6部分:有机循环》.pdf
- 中国国家标准 GB/T 16716.6-2024包装与环境 第6部分:有机循环.pdf
- GB/T 4706.82-2024家用和类似用途电器的安全 第82部分:房间加热用软片加热元件的特殊要求.pdf
- 《GB/Z 44363-2024致热性 医疗器械热原试验的原理和方法》.pdf
- GB/T 16716.6-2024包装与环境 第6部分:有机循环.pdf
- 中国国家标准 GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统.pdf
- 《GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统》.pdf
- GB/T 44376.1-2024微细气泡技术 水处理应用 第1 部分:亚甲基蓝脱色法评价臭氧微细气泡水发生系统.pdf
- 中国国家标准 GB/T 44315-2024科技馆展品设计通用要求.pdf
- GB/T 44305.2-2024塑料 增塑聚氯乙烯(PVC-P)模塑和挤塑材料 第2部分:试样制备和性能测定.pdf
- 《GB/T 44315-2024科技馆展品设计通用要求》.pdf
- GB/T 44315-2024科技馆展品设计通用要求.pdf
- GB/T 39560.9-2024电子电气产品中某些物质的测定 第9 部分:气相色谱-质谱法(GC-MS)测定聚合物中的六溴环十二烷.pdf
文档评论(0)