- 综合排序
- 最热优先
- 最新优先
- 来自专栏绿盟科技研究通讯
《云原生安全》之原生安全
云原生安全发展可谓方兴未艾,云原生环境中的各类安全风险日益频发,云上的对抗也成为现实,越来越多的企业开始探讨如何设计、规划云原生环境中的安全架构,部署相应的安全能力。 云原生安全的现在和未来如何,笔者不妨从一个较高的视角进行探讨。 与云计算安全相似,云原生安全也包含两层含义:“面向云原生环境的安全”和“具有云原生特征的安全”。 笔者看来,前者是必经之路,可以说是阶段1,而随着面向云原生的安全越来越成熟,将会迸发出极大的驱动力来构建具有云原生特征的安全能力,进入阶段2,当然这还远不够,原生安全才是云原生安全的终篇。 1 面向云原生环境的安全 总体而言,云原生安全的第一阶段是安全赋能于云原生体系,即构建云原生的安全能力。 面向云原生环境的安全,其目标是防护云原生环境中的基础设施、编排系统和微服务等系统的安全。 既然未来云安全等价安全,而云计算的下半场是云原生,那不妨也做个推论,云原生的未来也会等价于原生安全。
2.2K40发布于 2021-11-10 - 来自专栏绿盟科技研究通讯
零信任原生安全:超越云原生安全
本文从信任的定义开始,探讨(零)信任的内涵,然后分析云原生安全和零信任安全的关系,云上的成功会将零信任原生安全融合更多安全防护手段,应用各类复杂应用场景。 本文尝试从信任的定义开始,探讨(零)信任的内涵,然后分析云原生安全和零信任安全的关系,云上的成功会将零信任原生安全融合更多安全防护手段,应用各类复杂应用场景。 六、零信任原生安全 从实践来看,云原生安全和零信任安全是有一定相关性的: 云原生的信任机制都是零信任的,云计算的开放环境,云服务的开放接口,必然要求云原生的安全首先要做好信任管理,全局、业务一致的白名单机制就是零信任的 所以,如何将零信任作为指导思想,融入到整个安全体系中,就需要我们设计一种零信任原生的形式化模型和安全架构。 综上,“零信任原生安全”从设计上就体现了零信任理念,融合了多种安全能力;在实现上可适配各类应用场景的安全体系。
2.6K20发布于 2020-02-17 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全风险思考
此外,云原生环境中,应用的API交互模式逐渐由“人机交互”转变为“机机交互”,虽然API大量出现是云原生环境的一大特点,但本质上来说,API风险并无新的变化,因而其风险可以参考现有的API风险,主要包含安全性错误配置 五、总结 本文较为详细的为各位读者分析了云原生应用面临的风险,可以看出,云原生应用相比传统应用面临的风险主要为应用架构变革及新的云计算模式带来的风险,而针对应用本身的风险并无较大变化,因而对云原生应用架构和无服务器计算模式的深度理解将会有助于理解整个云原生应用安全 [9 https://github.com/openfaas/faas [10] https://github.com/fission/fission 往期回顾(与该文章相关的往期公众号文章) 【云原生应用安全 】微服务架构下API业务安全分析概述 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。 基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系。承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案。
3.1K33发布于 2021-08-06 - 来自专栏腾讯安全
低代码+原生安全=?
02 云原生:低代码升温的新安全“密码” 众所周知,低代码与传统开发模式最大的不同在于因开发流程各异带来的周期长短。 低代码与云原生的相得益彰,既是企业应对降本增效、快速迭代的刚性需求,更是保障云生态下企业应用开发安全的新支撑力。云原生宛若低代码解锁新一轮升温发展的“新密码”。 借助云原生安全开箱即用、弹性、自适应、全生命周期防护等的优势,低代码平台上的应用开发将具备“天然”原生安全属性。 毫无疑问,在安全性得到有效解决之后,搭载了云原生安全能力的低代码势必在数字化大潮下解锁出一条迅速升温的发展新赛道。 数字生态下,安全问题尚未有消弭之势,云原生安全正在尝试用“天然”基因的力量,为低代码“锦上添花”,将这种新的开发方式带到更多的业务领域中。一场关于应用开发的安全革新正在悄然升温。
1.1K30发布于 2021-02-03 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(一)
一、概述 应用是云原生体系中最贴近用户和业务价值的部分,笔者在之前《云原生应用安全风险思考》一文中分析了云原生应用面临的风险,相信各位读者已经有所了解,本文为云原生应用安全防护系列的第一篇,主要针对传统应用安全 、API安全、云原生应用业务安全这三方面风险提出笔者的一些防护见解及思考。 二、传统应用安全防护 从《云原生应用安全风险思考》一文中对传统应用风险的介绍,我们得知传统应用为云原生应用奠定了基石,因而笔者认为云原生应用安全防护也可参照传统应用安全防护,接下来笔者将为各位读者介绍传统应用的安全防护方法 本文为各位读者介绍了云原生应用在传统应用安全、API安全、云原生应用业务安全三个维度的相应防护方法,结合之前风险篇的相应介绍,首先我们可以看出传统应用防护技术适用于云原生应用,因而深刻理解传统应用防护内容非常重要 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究。
2.6K12发布于 2021-09-27 - 来自专栏绿盟科技研究通讯
【云原生应用安全】云原生应用安全防护思考(二)
一、概述 本文为云原生应用安全防护系列的第二篇,也是最终篇,本文笔者主要针对微服务架构下的应用安全、Serverless安全提出一些防护见解及思考。 2.3数据安全 如《【云原生应用安全】云原生应用安全防护思考(一)》一文中提到的,传统应用架构中,我们可以通过安全编码、使用密钥管理系统和使用安全协议的方式防止数据泄露,在微服务应用架构中,我们可以考虑使用 Kubernetes原生的安全机制或微服务治理框架的安全机制去进行防护。 ,因而针对Serverless应用的安全防护各位读者可以大体参考《【云原生应用安全】云原生应用安全防护思考(一)》一文中传统应用安全的防护方式,尤其是应用程序的代码漏洞缓解、依赖库漏洞防护、数据安全防护 】微服务架构下API业务安全分析概述 【云原生应用安全】云原生应用安全风险思考 【云原生应用安全】云原生应用安全防护思考(一) 关于星云实验室 星云实验室专注于云计算安全、解决方案研究与虚拟化网络安全问题研究
2.4K22发布于 2021-10-15 - 来自专栏云安全社区
云原生安全实践
我讲的议题是,云原生安全实践,主要从两个方面来介绍云原生安全。 第一个是云原生安全面临的风险 第二个是云原生安全实践 云原生的定义:它是一种构建和运行应用程序的现代方法,它主要代表的是容器,微服务,持续集成交付和devops为代表的一个技术体系。 但是,云原生继承了传统网络安全几乎所有的风险,传统的安全模型主要关注基于边界的安全(perimeter-based security),不足以保护云原生架构的安全。 所以相对于传统安全,云原生安全仍然是真正的挑战。 云原生安全,它是一种保护云原生平台及基础设施和整个应用程序安全实践,包括自动化数据分析,威胁检测,确保应用整个安全性及纵深防御。 DevSecOps和API安全的重要性都会随着云原生的使用进一步地提升。 包括很多安全审计在云原生平台,我们一定要加强每一个安全事件的管理。
1.2K31编辑于 2022-03-17 - 来自专栏北京宏哥
【云安全最佳实践】云原生和云原生安全问题
所以回到最开始的问题,因为云本身具有可见和不可预见的弊端,所以大佬们开发出了因云而生的技术应用,即云原生。充分地发挥云的优势,在云上以最佳的方式运行。那么云原生安全的问题又该如何解决呢? 05 云原生安全问题面对快速开发和部署的迫切需要,基于边界的传统安全保障显得力不从心。 为适应云原生应用的规模扩展以及快速变化,要求使用面向安全的架构设计,云原生安全构建在云原生应用开发、发布、部署、运行的整个生命周期中,涉及云(Cloud)、集群(Cluster)、容器(Container )和代码(Code)等不同层级的安全性建设。 PKI技术及数字证书应用能够提供身份证明、数字签名、数据加解密等安全能力,为云原生应用实现机密性、完整性、真实性、抗抵赖性等安全特性。
37.1K745编辑于 2022-09-22 - 来自专栏绿盟科技研究通讯
【云原生安全】从分布式追踪看云原生应用安全
四、云原生应用安全 前文介绍了在云原生架构下,可以通过分布式追踪系统,实现对云原生应用的可观察性追踪。根据追踪数据,进而实现对应用的性能分析、故障定位等。 接下来本章将介绍,基于分布式追踪系统获取的可观察性数据,如何实现云原生应用的安全检测与防护。 4.1什么是云原生应用安全 应用安全是指应用级别的安全措施,旨在保护应用内的数据或代码免遭窃取和劫持。 4.3云原生工作负载的防护 “安全左移”可以有效的解决应用设计和开发期间发生的安全注意事项,接下来重要的一点,就是在应用部署后,对其加以安全防护。 因此,API安全也成为了云原生应用安全中尤为重要的一个部分。 基于追踪数据,结合经典的安全检测方法以及机器学习等大数据分析技术,可以有效的解决云原生应用安全问题。
1.3K10发布于 2020-12-30 - 来自专栏ThoughtWorks
探索云原生安全测试
云原生安全测试方案 传统安全测试工具和手段无法适用于云原生环境下的安全测试,因此必须引入云原生环境下一些特殊的安全测试工具和测试方法,针对云原生网络和基础架构的特点,设计全新的安全测试方案,解决这些传统的安全测试工具无法覆盖的盲点 当我们设计云原生安全测试方案前,首先让我们先了解下云原生安全测试的内容。 、病毒扫描,自动实时扫描,第三方日志工具集成测试 云原生网络层面,我们需要开展云原生网络安全测试,Macvaln、Calico、Ovs等云原生cni集成安全测试等。 灵活性:可以灵活地定制云原生安全解决方案,根据客户需求选择最合适的云原生安全测试策略。 总结 当我们使用开源的云原生安全测试工具结合渗透测试工具、方法和手段,通过设计良好的安全测试策略,就能很好地开展云平台基础架构合规测试、容器网络安全测试、容器运行时安全测试、镜像安全测试等云原生环境下特有的安全测试
82720编辑于 2023-04-28 - 来自专栏让技术和时代并行
从 Kubernetes 安全到云原生应用安全
而且由于传统的安全工具是为静态环境构建的,考虑到云原生应用程序开发的动态和快速发展的性质,它们的效率通常不是太高。 尽管云原生架构使组织能够构建和运行可扩展的动态应用程序,但它并非没有挑战。 根据云安全联盟 (CSA) 的说法,70% 的安全专业人员和工程团队都在努力“左移”,其中许多人无法识别反模式的形成,也无法理解云原生的开发、成本、治理、文化理念等。 此外,安全事件(例如数据泄露、零日漏洞和隐私侵犯)对业务的影响只会继续增长,这使得组织绝对有必要确保安全性成为数字化转型和云原生应用程序开发的关键部分。 组织(从字面上)不能再忽视云原生开发引入的不断发展的威胁动态。 使开发人员具有安全意识 开发人员知道如何构建应用程序...... 但他们需要正确的工具、洞察力、流程和 文化 来安全地构建它们。 例如, OWASP 云原生应用安全 Top 10 提供有关云原生应用程序最突出的安全风险、所涉及的挑战以及如何克服这些风险的信息。
1.1K30编辑于 2023-03-18 - 来自专栏TeamsSix的网络空间安全专栏
云安全 | 云原生安全是什么?
0x00 前言 最近在接触云原生安全的时候碰到了不少以前不知道、不熟悉的名词、技术等等,故在此做个笔记记录一下。 0x02 云原生安全 云原生 云原生(Cloud Native)可以拆分成「云」和「原生」去看。 「云」相对的就是本地,传统应用都跑在本地服务器上,而云则表示跑在云服务器上。 对于云原生系统一般有以下特征: 轻、快、不变的基础设施 弹性服务编排 开发运营一体化 微服务架构 无服务模型 云原生安全 在介绍完云原生后,云原生安全就变得容易理解了,云原生安全至少包含了微服务安全、无服务安全 根据云原生环境的构成,面向云原生环境的安全体系可以概括为以下三个层面: 容器安全 编排系统安全 云原生应用安全:包括了微服务、无服务、服务网格、零信任体系、API 安全等等 另外除了这些和云原生环境相关的技术之外 ,云原生安全还包含了一些传统安全的内容,比如宿主机的安全等等。
1.4K11编辑于 2022-09-20 - 来自专栏CNCF
集群的云原生安全
作者:Pushkar Joglekar 在过去的几年中,一个关注安全的小型社区一直在努力工作,以加深我们对安全的理解,并给出了不断发展的云原生基础设施和相应的迭代部署实践。 相反,其目的是将安全性建模并注入云原生应用生命周期的四个逻辑阶段:开发、分发、部署和运行时。 ? Kubernetes原生安全控制 当使用Kubernetes作为工作负载协调器时,这个版本的白皮书推荐的一些安全控制如下: Pod安全策略:为整个集群的“最少特权”工作负载实现一个真实源 资源请求和限制 根据公认的安全基线扫描节点、工作负载和协调器的配置 先了解,后安全 云原生方式(包括容器)为其用户提供了巨大的安全优势:不变性、模块化、更快的升级和跨环境的一致状态。 意识到“做事方式”的这种根本性变化,促使我们从云原生的角度来看待安全问题。
92610发布于 2020-11-25 - 来自专栏运维启示录
云原生安全DevSecOps思考
近年来,云原生技术应用日益广泛,而容器编排平台Kubernetes(k8s)的出现,使得我们的服务具备了前所未有的灵活性和扩展性。然而,这同时也带来了诸多云原生安全问题。 本文的目的是深入探讨云原生环境下的安全脆弱性,并介绍配套的工具和方法,帮助企业在步入云原生大门时关好每扇安全窗。 云原生技术架构的安全挑战云原生技术架构下,一些常见的容器应用、K8s编排和其他构建模块的复杂性可能给系统安全带来挑战:宿主机:宿主机是容器运行的基础,如果宿主机的安全性不能得到保障,那么运行在其上的所有容器都可能面临风险 此外,2023年的云栖大会指出,多数企业目前的云原生安全发展程度还远远滞后于应用的云原生化程度。 有效的安全方法论和云原生的安全最佳实践,可以帮助我们在云原生环境中构建一个更安全、更可靠的未来。
60810编辑于 2024-02-06 - 来自专栏Bypass
《云原生安全攻防》-- 云原生攻防矩阵
在本节课程中,我们将开始学习如何从攻击者的角度思考,一起探讨常见的容器和K8s攻击手法,包含以下两个主要内容: 云原生环境的攻击路径: 了解云原生环境的整体攻击流程。 云原生攻防矩阵: 云原生环境攻击路径的全景视图,清晰每一步采取的攻击技术。 目前,多个云厂商和安全厂商都已经梳理了多个针对容器安全的威胁矩阵,我们可以参考这些成熟的模型,结合个人对云原生安全的理解,构建自己的攻防矩阵。 针对云原生环境的攻击技术,与传统的基于Windows和Linux的通用攻击技术有很大的不同,在这里,我们梳理了一个针对容器和K8s常见攻击技术的云原生攻防矩阵。 视频版:《云原生安全攻防》--云原生攻防矩阵
73311编辑于 2024-04-16 - 来自专栏绿盟科技研究通讯
云安全的下半场:原生安全
原生安全:基于云原生、无处不在的安全 如果说云安全的未来等价于纯安全,而云计算的下半场是云原生,那不妨也做个推论:云原生的未来也会等价于原生安全。那么,什么样的安全才是原生安全呢? 笔者认为原生安全有两个特点:基于云原生,无处不在。即,使用了云原生的技术,能适用于各类场景。 原生安全的发展会有三个阶段,如图1所示: 安全赋能于云原生体系,构建云原生的安全能力。 因而应该研究如何将现有成熟的安全能力,如隔离、访问控制、入侵检测、应用安全,应用于云原生环境,构建安全的云原生系统。 原生安全:未来的安全 我们在前面谈到,如果云原生安全成为原生安全,那就说明云原生已经融入到了各行各业,成为普适的云计算场景。 当新基建推动大量云化基础设施采用了云原生的技术路线,当云原生的安全能力可以部署在云化或非云化的环境中,那我们真的可以说,未来的安全就是“原生安全”。
2K21发布于 2020-12-30 - 来自专栏深度学习与python
腾讯安全发布云原生安全数据湖
9 月 20 日,腾讯安全发布全新一代云原生安全数据湖,专注海量日志数据分析,助力企业构建一体化云原生数据湖平台,迈向主动安全。 两年前,腾讯安全在服务客户过程中发现,客户普遍反应遇到日志存储成本攀升、查询效率低下的问题,因此腾讯安全大数据实验室基于多年的大数据分析处理能力,前后花费两年时间自主研发了一款面向云原生的安全数据湖产品 腾讯云原生安全数据湖是基于云原生的自研数据分析平台,利用日志数据无需修改、大量字段重复、有时间戳等特性进行了几大创新: 架构领先:MPP 架构,采用 Rust 语言开发,针对日志及安全场景进行专项优化 、读写分离、从而实现一键弹性扩容,故障秒级切换 依托上述技术创新,腾讯云原生安全数据湖实现了极致的压缩比和数据处理效率,能将企业的安全运营存储成本降低 90%;在底层架构上面向云原生设计,支撑多实例、 目前,该数据湖已经集成在腾讯安全 SOC+ 产品下,为企业安全运营管理提供基座。未来,腾讯安全还会对外提供独立产品,助力企业构建云原生数据湖平台。
1.8K21编辑于 2023-09-24 浅谈云原生下的安全
小德将于大家探讨云原生的概念、优势以及安全性如何解决,这边跟大家讲解一下小德对于云原生的浅薄认知云原生的定义和历史背景云原生是什么? 隔离性:容器之间相互隔离,不会相互影响,保证了应用的稳定性和安全性。微服务架构云原生应用通常采用微服务架构,将应用拆分为一组小而自治的服务单元,每个服务专注于独立的业务功能。 云原生的安全性云原生下安全性分析上面了解了云原生的关键技术,与传统安全相比,这些技术的引入也增加了新的安全风险。 容器安全风险容器的安全风可以分为三种类型,如下构建时安全风险,部署时安全风险,运行时安全。构建时安全构建这里我理解的就是创建镜像的过程。镜像是容器的静态表现形式,因此的安全也绝对了容器运行时的安全。 运行时安全运行时安全包括了容器逃逸,容器隔离,网络攻击等风险今天这边简单针对容器构建部署运行时的安全问题给出一个完美的解决方案蜂巢解决云原生容器安全定义:原生安全平台由德迅云安全自主研发,能够很好集成到云原生复杂多变的环境中
42000编辑于 2024-04-26- 来自专栏王先森
Kubernetes云原生安全渗透学习
前言 Kubernetes简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统。 在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法,本文非常适合刚入门或者准备学习云安全方向的安全人员,每个步骤都是亲手复现整理 请求的最后一个步骤,一般用于拓展功能,如检查 pod 的resource是否配置,yaml配置的安全是否合规等。 kube-apiserver,是不会进行认证授权 Kubernetes 认证 客户端证书认证 客户端证书认证:X509 是一种数字证书的格式标准,是 kubernetes 中默认开启使用最多的一种,也是最安全的一种 目前在k8s默认的安全配置下,Kubelet API是需要安全认证的。
2.3K30编辑于 2023-04-24 - 来自专栏红蓝对抗
云原生安全全攻略
Docker守护进程的安全问题 Docker这个词被大范围、多场合提及,在容器技术及云原生技术行业的人都非常的熟悉。 此外,如果发生了恶意操作行为,因为这些操作是由容器命令发起的,而不是由某个用户或其他进程发起的,所以很难追踪这些恶意操作的源头,给安全控制带来很大的隐患,这就是Docker守护进程的安全问题,也是docker daemon在安全性方面被诟病的主要原因。 另外,BuildKit的安全也较为便捷,仅需要容器运行时就能运行。当前BuildKit所支持的容器运行时有containerd和runc,这两个容器运行时也都是云原生平台首推的两个主流选择。 以上内容截取自《云原生安全》 作者:李学峰
1.6K20编辑于 2023-04-11
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号