当前位置:首页 > 报告详情

【韦伟】vArmor-云原生安全加固实战.pdf

上传人: 2*** 编号:148025 2023-12-05 33页 6.33MB

1、vArmor:云原生安全加固实战韦 伟 火山引擎云安全背景介绍01安装使用03基本原理0204 典型应用韦 伟毕业于北京理工大学,就职于字节跳动安全与风控-云安全部门。长期从事容器&云原生等基础设施攻防研究及方案落地。主导字节生产网和火山引擎的云原生安全防护、安全治理等多个方面的项目建设。曾作为安全研究员获得国外多家知名厂商致谢,并在国际知名安全会议上进行过演讲。背景介绍一个开源云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor&BPF)实现强制访问控制器,从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与

2、成本。基于 Kubernetes Operator 设计模式,使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角,对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口,具备开箱即用的特性。背景介绍一个开源云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor&BPF)实现强制访问控制器,从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式,使用户可以通过操作 CRD API 对特

3、定的 Workloads 进行加固。从而以更贴近业务的视角,对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口,具备开箱即用的特性。背景介绍更高的资源利用率更高的研发效率广泛且大量运用但隔离性不足一个开源云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor&BPF)实现强制访问控制器,从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式,使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴

4、近业务的视角,对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口,具备开箱即用的特性。背景介绍云原生架构引入新的攻击面错误配置和漏洞频现攻击者关注度不断增加一个开源云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor&BPF)实现强制访问控制器,从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式,使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角,对容器化微服务的进行沙箱加

5、固。此外 vArmor 还包含多种内置规则和自定义接口,具备开箱即用的特性。背景介绍云原生标准化接口应用发布与运维视角降低理解成本一个开源云原生容器沙箱系统,它借助 Linux 的 LSM 技术(AppArmor&BPF)实现强制访问控制器,从而对 Linux 容器进行安全加固。它可以用于增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。基于 Kubernetes Operator 设计模式,使用户可以通过操作 CRD API 对特定的 Workloads 进行加固。从而以更贴近业务的视角,对容器化微服务的进行沙箱加固。此外 vArmor 还包含多种内置规则和自定义接口,

6、具备开箱即用的特性。背景介绍降低安全策略的门槛云原生化部署和使用基本原理使用 AppArmor 和 BPF 两种Linux Security Module,在内核中对 Linux 容器进程进行强制访问控制。AppArmor LSM由 LKM 和 tools 构成需系统支持并启用(Debian,Ubuntu,OpenSUSE.)Kubernetes v1.4 开始支持Runtime 使用默认 Profile 对非特权容器加固默认 Profile 粒度较粗Profile 编写、调试、管理存在门槛BPF LSMLinux v5.7 引入需系统支持并启用(CONFIG_BPF_LSM=y 和 lsm=

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要介绍了vArmor,一个开源的云原生容器沙箱系统,通过Linux的LSM技术(AppArmor & BPF)实现强制访问控制器,对Linux容器进行安全加固。vArmor基于Kubernetes Operator设计模式,允许用户通过CRD API对特定的Workloads进行加固,以增强容器隔离性、减少内核攻击面、增加容器逃逸或横行移动攻击的难度与成本。vArmor包含多种内置规则和自定义接口,具备开箱即用的特性。文章还提到了vArmor的一些典型应用,如加固特权容器、缓解内核提权、缓解横向渗透等,并展望了vArmor的未来发展方向。
"vArmor如何增强容器安全性?" "如何通过vArmor对特权容器进行加固?" "vArmor在云原生安全中的作用和优势是什么?"
客服
商务合作
小程序
服务号
折叠