2020滴滴网络安全峰会报告：云原生场景下的攻防思路转换-刘文懋1222.pdf

上传人： B****

编号：28710

2020-12-01

PDF 19页 12.47MB

《2020滴滴网络安全峰会报告：云原生场景下的攻防思路转换-刘文懋1222.pdf》由会员分享，可在线阅读，更多相关《2020滴滴网络安全峰会报告：云原生场景下的攻防思路转换-刘文懋1222.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、云原生场景下的攻防思路转换绿盟科技星云实验室&创新中心刘文懋 2020.12.17 目录成本：安全左移02 动力：合规 or 攻防01 本质：运行时安全03 原生安全：云安全下半场04 01 动力：合规 or 攻防云安全驱动力：合规 or 攻防01 来源：RSAC 2020 来源：RSAC 2019 02 成本：安全左移容器短生命周期是云原生安全的最大变化02 Source: https:/events.static.linuxfound.org/sites/events/files/slides/cc15_mcguire.pdf TTL: 对攻防双方意味着什么？ 46%1小时

2、11% 提权逃逸 Master root ? 需求：控制整个集群，无论规模大小持久化：把DaemonSet和反弹shell结合隐秘化：部署在kube-system命名空间 Meterpreter 用Secret隐藏攻击载荷注入现有容器 Yaml配置文件-无文件 https:/ 最重要的步骤：在Kubernetes持久化03 异常行为检测(workload）03 基于行为基线的异常检测基于行为特征的异常检测 - macro: container condition: (container.id != host) - rule: New madvise System Call des

3、c: Detect new madvise in container. condition: evt.type = madvise and evt.dir= and container output: name=%proc.name exe=%proc.exe user=%user.name cwd=%proc.cwd exeline=%proc.exeline pid=%proc.pid ppid=%proc.ppid ctr_name=%container.name ctr_id=%container.id image_name=%container.image image_id=%container.image.id priority: INFO tags: container, nsfocus 异常行为检测(network）03 容器网络安全(微隔离、访问控制、入侵检测）云原生应用

2020滴滴网络安全峰会报告：云原生场景下的攻防思路转换-刘文懋1222.pdf

相关报告