第一期-云原生安全趋势演进(1).pptxVIP

云原生安全趋势演进长亭科技 – 陈靖远2022 发展历程01安全治理02目录CONTENTS 发展历程PART 1 Cgroup 和 NamespaceCgroup 和 Namespace，熟悉云原生技术的同学一定不陌生。这是来自 Linux 内核所提供的功能，Cgroup 支持了对于进程资源的使用限制，Namespace 则提供了对进程资源的隔离限制。 沙盒化应用上述的提到的两项虚拟化技术，其实很早就投入了实际的应用。比如早在 2009 年，就诞生了 Linux Containers(简称 LXC)这个项目，该项目允许使用者以虚拟化的方式运行自己的应用。 Docker 横空出世2014 年，一个叫 Docker 的项目在 github 社区上开源，该项目改变了云原生领域的发展历程。 聪明的微创新Docker 本质上和当时的其他容器化项目没有特别大的区别，但是却做了一个非常巧妙的微创新，那就是将操作系统的文件系统也打包到应用当中。这个微创新使得所有基于 Docker 打包的 Application，真正做到了 build once, run everywhere。 Toy然而 Docker 这个项目的本身，即使收获了大量的社区关注，依然被外界认为仅仅只是玩具。原因在于，Docker 本身并没有办法帮助开发者实现大规模场景下的应用部署。 Kubernetes vs Swarm很明显，刚才这个问题很多厂商都注意到了，于是纷纷推出自家的集群产品。其中以两个产品最为突出，一个是 Google 开源的 Kubernetes，一个是 Docker 开源的 Docker Swarm。 成熟的工作流 (以 Kubernetes 为例)这场战争的胜负也显而易见，目前 Kubernetes 以统治级的地位成为了开源集群的佼佼者。下图为 Kubernetes 的架构，不难看出，对于容器运行时的管理，使得大规模的容器化部署变成了可能。 百家争鸣随着云原生技术的发展，越来越多的项目被盖章到 CNCF 当中，整个社区生态也逐渐丰富，渐渐的呈现为百家争鸣的态势。 标准化的轨道云原生普及的根本在于生产力的提高，而提高生产力的核心在于 “标准化”。镜像使得应用标准化，容器又可以运行标准化的镜像。集群又可以调度标准化的容器。这一系列流程降低了开发的成本，从而提高了生产效率。在肉眼可见的未来当中，基础设施的技术栈只会越来越统一，最终形成业界通用标准。 OCI2017年，正式发布了开放容器标准(OCI)。这个标准的公布也意味着，容器的全生命周期都被纳入到标准化轨道当中。 安全能力演进随着云原生技术的发展，社区也是围绕不断出现的新兴技术，诞生了很多新的安全工具，比如 trivy/tetragon/kubiscan 等等。 安全治理PART 2 产品复杂度集群镜像容器镜像仓库主机CI/CD代码仓库PodNodeEtcd…. 云原生的基石在面对错综复杂的云原生对象时，我们可以发现，存在着所谓技术基石的概念，这些概念支撑着整个庞大的云原生技术体系。找到基石就是找到安全的切入点。 标准化适配以基础对象进行粒度切割之后，会发现基础对象有大量的差异化实现，比如容器运行时就有 docker/containerd/podman 等等，不可能每一种差异化实现都特殊处理，因此需要进行标准化的适配。 资产梳理资产是安全风险的指南针，但是云原生对象之间关系比较复杂，比如仓库和镜像之间，镜像和容器之间，容器和集群之间，都存在数据关联关系。 数据取舍假设我们现在收到了某一个和 Pod 产生的安全事件(如某个 Pod 上面有反弹 shell)，那基于 pod 出发可以关联到的数据是非常多的，这个时候更重要的是进行取舍。 数据取舍我们再来看一个例子，假设我们要将镜像扫描集成到 CICD 的自动化构建流程当中，我们应该怎么进行告警？首先有一个前提条件是，CICD 的数据量是非常大的，基本上一个成熟项目可能每天就要触发上千次的 pipieline。这种情况下，应该怎么进行数据取舍？ 数据取舍最好的做法是将庞大的数据绑定到 CI/CD 平台的每一个 pipeline 中，而产品侧只留粗统计粒度的告警。这样做的好处在于，保证了产品侧告警及时性的同时，最大限度的融合进了 devops 的开发流程当中。 面向核心对象的安全策略 回馈开源社区/chaitin/libveinmind/chaitin/veinmind-tools扫描左侧二维码可以通过添加问脉小助手加入讨论群进行详细讨论 广告时间问脉，是长亭旗下的旁路云原生安全平台。为了给用户提供，零侵入以及高效的产品体验，以开源社区为生态载体，以技术积累为驱动所打造的。相比于牧云来说，问脉最大的特点就是无需在业务宿主安装探针，以旁路模式检测云原生威胁风险。目前已