9月22日,2023年中国信息通信业发展高层论坛5G+工业互联网分论坛在北京顺利举办。
作为国内云原生安全领导厂商 ,安全狗受邀出席此次活动。
据悉,中国信息通信业发展高层论坛是致力于研究信息通信业发展新问题、新趋势,推动信息通信行业新转型、新发展的高端平台,迄今已经连续举办十九届,被誉为"信息通信行业发展的风向标"。
此次活动上,安全狗海青实验室负责人陈俊杰 结合自身多年的云原生安全研究经验,为与会嘉宾分享**《云原生安全技术在5G边缘云的实践》**主题演讲。
1
云原生容器技术发展现状
结合最近几十年IT基础架构与新技术之间相辅相成的发展现状,陈俊杰指出,我们可以发现****"云原生"将成为云计算的下半场****。
在云原生环境中,根据云原生安全公司sysdig报告指出的容器编排市场k8s占比高达96%、以及在容器运行时引擎方面,Docker的占比约为46%,而containerd、cri-o也有着较高的市场份额。
2
5G边缘云中的云原生应用场景
在探索5G边缘云中的云原生应用场景时,陈俊杰提到,因为能大幅度减少数据处理和服务交付的延迟,边缘云技术也成为推动5G发展的关键技术之一。
与此同时,云原生容器技术也能很好地贴合5G边缘云计算场景。在此场景下,其"轻量级操作系统虚拟化"、"可移植性"以及"弹性伸缩"等优良特性,有利于云端和边缘统一的应用部署和管理。
安全狗在5G核心云以及边缘云防护上也沉淀了多年的技术经验。
3
5G边缘容器云中的安全威胁
在介绍到5G边缘容器云中的安全威胁时,陈俊杰指出"云原生技术在进一步释放云计算的效能的同时也扩大了攻击面。在攻防演练的过程中,须对这些攻击面予以重视。"
结合对Gartner相关研究,陈俊杰指出以下两点发现:
云原生应用的攻击面激增
首先,可能受攻击的资产更多元,比如K8s、容器以及激增的API可能成为攻击者的猎物;
再者,可能受攻击的阶段也更广泛,在容器应用的开发、构建、运行的全生命周期均面临着风险,这对DevSecOps的建设提出了更为严格的要求。
安全是一个整体
基于Mitre的ATT&CK矩阵的分析,我们可以发现企业版的ATT&CK矩阵同时涵盖了主机、容器的组成部分。换而言之,容器安全与主机安全联系更加紧密,即,攻击者可以通过应用、容器、主机、内部集群这样的攻击路径,实施攻击。
云原生容器的不同阶段也面临不同的安全问题:
0 1
**容器的全生命周期:**不安全配置及漏洞等方面的安全问题
0 2
**项目构建阶段:**CI/CD安全、镜像安全
0 3
**容器的运行环境:**计算、网络、存储以及应用等方面的安全问题
4
5G边缘容器云安全解决方案
陈俊杰结合安全狗海青实验室在云原生安全方面的研究经验,介绍了安全狗5G边缘容器云安全解决方案的功能与特点。
安全狗 云原生安全产品云甲 的设计理念主要包含2种:其一,采用内嵌方式,而无需外挂部署,从而与用户云资源有效地联动;其二,要充分利用云平台原生的资源和数据优势,解决云计算面临特有的安全问题。
在部署 上,安全狗云原生容器安全产品云甲支持两种部署方式:平行容器部署、插件化部署。
即开即用
为了打造即开即用的云原生安全能力,安全狗通过"轻量化Agent及插件架构",提供了宿主机安全、容器安全、微隔离以及漏洞及虚拟补丁管理的能力,形成了"全栈式""一体化"的防护体系。
在介绍到"云原生安全2.X"落地架构设计时,陈俊杰进一步解释特殊含义。其中,"2" 主要代表安全数据的"统合综效",增强"双向反馈";而**"X"**代表可拓展性,即可集成或对接更多的安全能力;例如,CNAPP平台可以和态势、SOAR等平台形成联动。
5
多种应用场景,全面赋能5G
针对安全狗5G边缘容器云安全解决方案的实际 应 用场景 ,陈俊杰也详细介绍了4种:
A
场景一:将解决方案应用于5G边缘云上的K8S集群,提升该集群的安全系数。
B
场景二:通过5G边缘云基础设施安全、容器安全、应用安全、态势感知等多个维度的联动组合,可构建一套从5G边缘云中容器到边缘云外部环境的完善安全体系。
C
场景三:构建"威胁检测、访问控制和态势感知"能力的一体化"N合一"5G MEC云原生安全保护平台。
D
场景四:在5G边缘云实施SECaaS的建设,既保护基础设施,又对外提供安全服务。
在分享的最后,陈俊杰指出,5G边缘云、工业互联网的云原生应用落地正如火如荼地进行着,为了对其中的安全问题进行治理,也亟需综合的解决方案。安全狗将用心打造"即开即用"的云原生安全能力 ,以期为用户提供"源源不断的活水",助力用户数字经济安全转型。