- 1、本文档共35页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
零信任策略下K8s安全监控最佳实践
孙玉梅
阿里云技术专家
2024/04/13
CONTENT01云原生安全架构体系概述
目录
02典型的K8s安全监控场景
03安全数据监控最佳实践
04K8s安全监控展望
01云原生安全架构体系概述
业务数字化背景下企业IT变化趋势
体验是关键竞争力运维数据多样化基础设施与架构在革新
体验是关键竞争力
运维数据多样化
运维依赖的数据容量、种类、可变性在增加1%的延迟增加,带来
运维依赖的数据
容量、种类、可变性在增加
1%的延迟增加,带来
7%的用户流失
容器化,微服务,DevOps,SecOps
Source:AberdeenGroup
分布式复杂性访问控制
分布式
复杂性
访问控制
业务数字化下K8s安全监控特点
安全漏洞
安全漏洞
K8s及运行在其上的应用可能包含安全漏洞。需持续
K8s及运行在其上的应用可能包含安全漏洞。需持续
的安全监控和漏洞扫描。
K8s的架构和组件相对复杂,包括多个层次和模块
监控复杂度增大。
是混合云环境工作。
多租户场景下访问控制与权限管理。K8s环境产生大量日志数据,需集中分析并审计集
多租户场景下访问控制与权限管理。
群变更,预防安全风险
日志审计
日志审计
K8s安全体系
.
.访问所有资源必须认证、授
权、加密
.细粒度访问控制,最小化授
权
.持续监控,自适应、动态策
略,运行时防护
安全合规,基于角色的认证、访问控制,审计,
RAM联合认证和细粒度授权
可信软件供应链
基础架构安全
运行时安全
静态数据加密
运行时防护
DevSecOps
运行时监控
镜像安全
镜像扫描
网络安全
KMS集成
专有云
公有云
02典型的K8s安全监控场景
Logs/MetricsProcessExecutionKprobeEvent
Logs/Metrics
Process
Execution
Kprobe
Event
Uprobe
Event
Metrics
安全场景-K8s运行时监控
K8sUserSpace
policy
eBPF
eBPFProgram
RuleEngine
Output
FileAccessNamespaceKernel
FileAccess
Namespace
Systemcalls
TCP/IP
Network
KernelRuntime
StackRingBuffer
Stack
Ring
SecurityNetworkingProcessexecve()Syscall
Security
Networking
Process
execve()
Syscall
Scheduler
安全场景-K8s运行时监控
eBPF技术:
网络安全
网络安全
可观测性
可观测性
安全策略
安全策略
安全防护
安全防护
Observability
UserSpaceKernel
User
Space
Kernel
TracingProfilingApplicationMonitoring
Tracing
Profiling
Application
KernelRuntime
syscall
syscallentry
syscallhandling
syscallhandling
syscall
syscallexit
用户空间规则引擎PodSIGKILL
用户空间
规则引擎
Pod
SIGKILL
安全场景-K8s运行时防护
Kernel
漏洞攻击
异步通知
kernel
kernel
probe
SIGKILL
安全场景-K8s集群审计监控
APIserver:K8s集群资源变更、查询的入
口。
审计日志:
?记录集群所有安全相关的时序操作记录。
?追溯集群状态变更;了解集群运行状况;发现集群潜在安全、性能风险等。
K8sEvent
?记录集群内发生的状态变更。
?集群异常“吹哨人”。
NPD加持
?K8s节点诊断的工具。
?将节点的异常转换为Node的事件。
安全场景-K8sEvent
安全场景-Ingress访问监控
Ingress:K8s负载均衡、流量入口。
安全监控场景:
?网络监控:网络连接、流量控制、请求延迟
?配置监控:版本管理、变更记录、配置信息
?可用性监控:健康状态、故障检测、容错能力
?安全监控:安全漏洞、入侵事件
?日志/指标/事件?容器内/宿主机文本文件?标准输出/标准错误
?日志/指标/事件
?容器内/宿主机文本文件
?标准输出/标准错误
您可能关注的文档
- 2023年通用和小型运输运行概况.docx
- 2023医疗健康领域投融资年度盘点.docx
- 2024 年合并财务报表编制自动化白皮书—— 迈向价值创造深处背景分析.docx
- 2024东南亚护肤品电商行业市场洞察.docx
- 2024年全球及中国洗碗机市场发展趋势.docx
- 2024年水务行业分析.docx
- 2024年一季度公募基金产品发行综述:基金新发数量和规模齐下滑,固收类产品仍受青睐.docx
- 2024年中国卤制品产业现状及发展趋势研究报告.docx
- 20240413-中信期货-油脂油料周报:USDA报告偏利空,关注天气市对美豆支撑.docx
- 20240414-中信期货-玻璃纯碱策略周报:宏观情绪回暖,价格震荡运行.docx
- 第六单元名著导读《钢铁是怎样炼成的》导学导练课件-2023-2024学年统编版语文八年级下册.pptx
- 第十二单元核心素养测评课件-2023-2024学年九年级化学人教版下册.pptx
- 电流与电压和电阻的关系说课(1) --2023-2024学年人教版 九年级物理上学期.pptx
- 第4单元 世界音乐之窗——拉丁美洲音乐 《玛丽安》 课件 2023—2024学年粤教版初中音乐八年级下册 -.pptx
- 第12课 智能预测出行方式 课件 -2023-—2024学年浙教版(2023)初中信息技术九年级全册 .pptx
- 鲁教版初中信息科技《计数循环我在行 》课件.pptx
- 复习-Python初中信息技术.pptx
- 山西省大同市2023-2024学年八年级下学期期中语文试题(含解析).pdf
- 2024届四川省成都市实验外国语学校高三下学期三模物理试题(含答案).pdf
- 2024年广东省广州市第六中学中考一模语文试题(解析版).pdf
文档评论(0)