本博客地址:https://security.blog.csdn.net/article/details/129423036

一、全生命周期的云原生安全框架

如图所示:

二、框架说明

在上图中,我们从两个维度描述各个安全机制,横轴是开发和运营阶段,细分为编码、测试、集成、交付、防护、检测和响应七个阶段,而纵轴则是按照IT系统层级划分,包括基础设施、编排平台和服务应用三层。在二维象限中我们列举了若干安全机制,已覆盖全生命周期的云原生安全要求。

1、左侧的编码、测试和集成部分的安全机制是开发团队负责的。其中开发安全主要是处于编码和测试阶段,涉及静态和动态的代码审计等,而软件供应链安全则延展到集成阶段,涵盖了各类第三方软件库的安全评估,这两个安全机制都是面向云原生的服务和应用。

2、镜像是容器的长期载体,镜像安全是在持续集成、持续交付和运行时防护阶段,主要是对容器镜像进行持续安全评估和加固,以在镜像生成、上传、分发过程中保证安全和未被篡改。

3、容器加固机制主要在防护阶段,该机制主要作用是确认运行时的容器各项配置符合安全合规要求。容器运行在宿主机操作系统之上,因而宿主机内核和操作系统安全也是非常重要的。

4、云原生网络安全则是面向基础设施和编排平台,如Istio服务网格中包括了微服务间的网络通信,因而编排平台也涉及网络安全。云原生网络安全包括了网络中异常行为检测、恶意攻击防护,以及对攻击事件的响应,横跨了运营的全部阶段。

5、可观测性是指获知基础设施、编排平台和服务应用所有层面的必要信息,从而观察所有系统的各类行为是否存在异常,因而纵向跨度非常大。具体功能包括日志与审计、监控追踪等,主要目的是事中检测和事后溯源,因而覆盖检测和响应阶段。

6、容器异常行为检测是面向容器基础设施层面,目标是发现活动容器中的各类异常行为,因为其工作在端点的系统层面,正好与网络安全中的异常检测是互补的,共同构成了基础设施层面的异常检测。

7、Kubernetes安全加固目标是确保编排系统的组件和配置都是符合安全要求的,满足合规性要求,这部分与容器加固一样,主要处于防护阶段。

9、零信任与传统面向网络的授权和访问控制不同,它主要是面向应用的,因此将其置于服务应用层。它主要是处于防护阶段,但“永不信任,随时验证”的理念又要求其在检测阶段需要持续评估上下文,因而也会有部分在检测阶段。

10、云原生应用是云原生生态的重点,应保证其在运营阶段功能正常,不被攻陷。

11、云原生场景下服务被拆分成众多微服务,有些通过服务网格形成了Ad-hoc的连接模式,相关的安全机制也会出现一些变化。

12、无服务器计算是云原生场景下的一种创新计算模式,对应的风险和安全机制与普通的云原生应用和微服务也有所不同。

以上是从DevSecOps的角度来看云原生安全体系,如果从其他维度,则会看到不同的架构图,这都是正常的。

全生命周期的云原生安全框架相关推荐

  1. 字节跳动无恒实验室首次亮相Black Hat 2021亚洲黑帽大会:全生命周期管理的隐私保护框架

    5月4日至7日,Black Hat Aisa 2021(亚洲黑帽大会)如期在线上举行.Black Hat大会被公认为世界信息安全行业的最高盛会,被誉为黑客世界的"奥斯卡",也是最具 ...

  2. 阿里云-云开发平台入门篇——静态网站的全生命周期实战

    静态网站的全生命周期实战 创建应用 开发部署 下线&删除应用 静态网站的全生命周期实战 云开发平台官网:https://workbench.aliyun.com/ 往期文章: 阿里云开发平台普 ...

  3. 产品生命周期管理——高效的全生命周期的产品管理方法

    产品生命周期管理--高效的全生命周期的产品管理方法 &  课程背景 无论是研发.生产拟或贸易型的企业,管理的核心都是围绕如何在产品的交换(销售)环节得到更多的附加值,企业效益直接由公司产品在市 ...

  4. 钢铁电商行业方案:钢铁工业产品全生命周期管理解决方案

    近几年来物联网.云计算.大数据.人工智能等技术得到了快速的发展,新型的的产业变革.技术革命也得到了快速的兴起,各行业更注重产品质量.产品服务.需求个性化需求响应速度等.钢铁制造业尤为明显,钢铁行业通过 ...

  5. 理清逻辑,确保云原生时代应用开发的全生命周期安全

    摘要:正所谓"道高一尺魔高一丈",不断的攻防对抗中,安全设计者也面临很大的挑战.华为云MVP毛哲文是一个偏向于安全防守的安全工程师,他认为,"攻防之间要做到平衡,知己知彼 ...

  6. 华为云平台使用手册_华为云首发全生命周期应用平台,四大能力解决政企上云五大难题...

    9月19日,在华为全联接大会上,华为云正式发布全生命周期应用平台.华为云应用平台服务产品部副总经理汪维敏介绍,华为云无缝整合三大尖刀产品(华为云DevCloud.ServiceStage.ROMA), ...

  7. 一文透析腾讯云如何为企业构建「数据全生命周期保护」

    伴随数据成为企业的核心资产,数据安全已经成为所有企业在产业互联网时代必须直面的挑战. 今年的数据安全态势仍然不容乐观,据Risk Based Security数据,截至2019年前6个月,世界范围内已 ...

  8. 美云智数PLM产品全生命周期管理系统,提供信息化落地解决方案

    中国是全球最炙手可热的消费市场,未来10年,前景可期.于此同时,中国消费结构加速升级,95后成主流消费人群,健康C位.年轻化.科技感.国潮风--各类核心消费需求重新洗牌消费市场,对那些曾经错过中国市场 ...

  9. 对话《旅行青蛙》制作团队:游戏就是将现实中的不可能变为可能 | 覆盖客户全生命周期管理,神州云动六朵云来袭

    每一个企业级的人  都置顶了 中国软件网 中国软件网  为你带来最新鲜的行业干货 小编点评 自从我养了青蛙以后 心里多了一份牵挂 娃儿的吃的够不够 帐篷好不好 当然啦 作为一个互联网人 我一边牵挂我得 ...

最新文章

  1. SQL执行过程中的性能负载点
  2. 如何挂载另一个lvm硬盘
  3. 斗地主程序设计c语言,C语言斗地主游戏v0.1
  4. 【C/C++多线程编程之八】pthread条件变量
  5. java中程序执行顺序
  6. SourceTree下载与安装 ---记录一下,如果忘记了再拿来看看
  7. iOS开发 Linker command fail with exit code 1(use -v to see invocation)
  8. 山大网络计算机基础知识模拟,山大网络教育计算机系统结构模拟试卷1
  9. 为什么说香港的城市规划是最棒的
  10. Mac安装rocketmq
  11. 香农-范诺算法(Shannon-Fano coding)算法
  12. ssl证书显示错误怎么办。
  13. 家装软件相关算法和技术归纳
  14. mysql怎么创建出生日期表_如何在MySQL中从出生日期开始生成数字序列
  15. 移动互联网系统架构特点及实践--手机凤凰网
  16. 记一次,朋友圈9宫格图片分割线效果混账代码的优化
  17. 应我校园0.8.3上线
  18. Elasticsearch地理空间之geo_shape
  19. 微信小助手WeChatExtension中文版v1.7.8支持最新版
  20. 如何评估研发人员效能?软件工程师报告帮你看见每个人的贡献

热门文章

  1. 数据结构(Javascript)
  2. CentOS向日葵远程登入黑屏
  3. Hack The Box——OpenKeyS
  4. 计算机在材料科学应用主要有,《计算机在材料科学与工程中的应用(专科)》武汉理工大学20春作业二...
  5. javascript 常用代码大全(超级收藏,强烈推荐)(4)
  6. NYOJ869---切蛋糕
  7. coji小机器人_让孩子轻松学编程 WowWee Coji编程机器人体验
  8. 让国外软件也害怕,4款国产黑科技软件,功能强大且实用
  9. Go_vscode玩转golang
  10. 算法小讲堂之平衡二叉树|AVL树(超详细~)