【华云安 万飞】基于云原生的攻击面管理V2.3.pdf

1、基于云原生的攻击面管理演讲人：万飞北京华云安信息技术有限公司 Attack surface management based on cloud native二.云原生安全攻击面管理三.云原生安全落地实践分享目录Contents一.云原生安全发展趋势一.云原生安全发展趋势1.1 基于云原生应用安全投入简单看一组国外的统计数据从2018到2022年增长趋势很明显。自动发现并可视化云原生环境下运行的主机、K8s集群、pod、容器、Namespace、微服务等多种资产，基于优先级实时感知风险态势。二.云原生安全攻击面管理2.1 云原生安全资产发现影响攻击面因素攻击面资产构成未知资产攻击面数量，随着部署

2、SaaS应用程序资产的范围扩大而不断扩展。未知资产的危险在于网络安全风险和威胁的不可预见。层出不穷的安全弱点通常情况下，部署的资产越多，暴露的弱点越多，尤其未经安全团队授权安装在企业资产上的某些组建或不安全设置。云计算技术应用云计算迅速兴起，越来越多的资产面临外部威胁，从而进一步增加网络攻击面。镜像容器容器编排平台Web应用服务网络Serverless云原生基础环境各种软硬件资产攻击面资产构成云原生基础设施攻击面检测 云原生线上应用攻击面检测 云原生开发中的攻击面检测 二.云原生安全攻击面管理2.2 云原生安全攻击面检测2.2.12.2.22.2.3CI/CD 流程深度集成,在开发过程中通过攻

3、击面检测技术检测弱点、敏感数据及其他安全问题2.2.1云原生开发中的攻击面检测二.云原生安全攻击面管理基于镜像的弱点扫描，通过在线提供镜像扫描和多种配置扫描发现风险点基于容器动态安全分析，通过安全容器沙箱技术检测高级威胁、未知恶意软件威胁等风险点01020301-03安全左移，从源头解决问题在沙盒环境中运行、分析容器镜像，检查和跟踪行为异常，以发现静态扫描程序无法检测到的高级恶意威胁通过机器学习分析行为、识别云原生环境中符合ATT&CK框架下所有攻击行为，保证容器运行时免受各类型已知攻击威胁010204052.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理容器安全通过弱点扫描，检测线上

4、应用是否存在可利用的弱点通过自动化渗透，检测线上应用是否存在可利用的弱点01-0504获取容器和Kubernetes运行时环境的详细审计和取证数据，以跟踪违规事件，进行合规评估030102030405062.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理虚拟化安全多云环境中进行VM配置核查与合规检测通过弱点扫描，检测VM是否存在可利用的弱点通过自动化渗透，检测VM是否存在可利用的弱点通过VM实时监控，实现资产快速更新通过VM入侵检测，动态监控注册表、文件系统等提供取证分析，监视VM可疑活动01-06云函数安全（Serverless安全）标记过度授权，监视未使用的权限和角色来防止权限滥用

5、通过自动化渗透，检测云函数是否存在可利用的弱点通过弱点扫描，检测云函数是否存在可利用的弱点2.2.2云原生线上应用攻击面检测二.云原生安全攻击面管理010203提供运行时保护，检测异常行为04通过策略授权提供可控部署，避免云函数滥用0501-05K8SK8S集群动态集群动态分析技术分析技术2.2.3云原生基础设施攻击面检测二.云原生安全攻击面管理云环境安全云环境安全是云安全的重要基础，也是攻击面检测的必要对象。通过保证云环境的安全，能够有效地降低通过利用云环境造成的攻击。通过自动化渗透，检测云环境是否存在可利用的弱点通过弱点扫描，检测云环境是否存在可利用的弱点通过云基线进行配置核查与合规检测0

6、10203通过云控制面行为检测，分析敏感数据变更或潜在恶意活动04提供自动化修复机制，根据策略进行必要的干预操作05构建阶段CI/CD镜扫描K8SK8S集群动态集群动态分析技术分析技术2.2.3云原生基础设施攻击面检测二.云原生安全攻击面管理集群安全集群是一切云计算的基础，因此也是云原生的基础设施中最核心的内容，只能通过多种技术手段实现对基础设施的攻击面检测，才能为上层应用提供可靠的安全保证。提供集群配置核查与合规检测01通过弱点扫描，检测集群是否存在可利用的弱点02通过自动化渗透，检测集群是否存在可利用的弱点03通过可控节点部署，避免非法节点上线04通