2020BCS-北京网络安全大会：云原生下安全方法的重新构建 ———私有云原生安全的未来思考.pdf

1、2020北京网络安全大会内生安全从安全框架开始ENDOGENOUS SECURITYSTARTING FROM A CYBERSECURITY FRAMEWORKF00010001010010#page#云原生下安全方法的重新构建私有云原生安全的未来思考#page#林晓明嘉宾照片奇安信战略咨询规划部#page#云原生对金融机构网络安全工作的影响云原生安全工作方法的“7个重构金融云原生下的“内生安全”理念#page#越来越多的金融机构在靠近云原生金融机构采用云原生的驱动力开发运行环境一致性业务敏捷与弹性化持续交付Devops，云原生代表了一系列新技术，包括容器编排微服务架构、高度的容错性意0Q不

2、可变基础设施、声明式API、基础设施即代码、持续交助力企业的中台建设混合云部署付/持续集成、DevOps等，且各类技术间紧密关联。CloudNative云原生云原生发展过程中的阻碍过去云的发展极大提升了数据中心的运行效率，而今天的0o0大量新技术与开源软件o08与传统单体应用、SOA应云原生直接面向开发者提供服务，透明化了基础设施运行微服务容器技术用架构不完全兼容环境，屏蔽了运行稳定需求与业务快速变化之间的矛盾#page#云原生开始重新定义IT组织的多个方面云原生表面上是资源的高度测试开发生产开发测试生产集中，而背后是对组织协作交维界面(QA）(sdol（Dev）IDev)(QA）（sdo）方

3、式的变革，从组织责任边界（交维边界），产品选代开发模式（开发模式），业务设计漯布式开发（应用架构）到数据中心0单体基础设施（运行平台）都产应用架构应用皖SB生了影响。最常见的是数据PaaSaPaaS FaaS独立的基础设施资源中心的运维职责变化。运行平台（计算、存储、网络）laasiPaaS l laas#page#云原生对安全团队带来的挑战技术挑战：云原生引入了大量基础设施新技术，导致安全工作者理解难度增加云越来越像个黑盒，过去的安全工作多数只是围着核心业务外围转。组织挑战：安全建设和云基础设施关系紧密，导致安全职责需要重新考虑，安全组织和信息化其他组织的关系无法简单定义为谁主管、谁建设、谁

4、负责。能力服务化挑战：应用上云后也会的提出安全服务化的诉求，开发团队短期找不到现成的安全服务时，可能自行使用开源安全工具，但却难于兼顾安全责任。#page#云原生对金融机构网络安全工作的影响云原生安全工作方法的“7个重构金融云原生下的“内生安全”理念#page#“重新左移1.不可变基础设施导致安全的应用及微服务安全安全构建当前未来38安全测试开发2工作负载安全服水线/开发运行一体化/云管平台安全婴资产安全漏洞及基线问题从开发阶段开始关注未发布时，需要定期在镜像仓库及制品库进行安全检查定期对运行环境进行安全扫描发现资产安全风险在运营过程中，发现漏润需要及时协同运行团队进行修复上线发布即安全，脆弱

5、性修补通过开发重新部署完成对运行发现的安全问题需要在开发测试环境的进行持续跟踪运行态的安全基本上与开发态的安全工作相互割裂#page#2.面向开发全流程安全的“重新构建ST当前未来CCD安在开发过程中有大量安全检测工作需要人工介入自动化是所有安全工具集成到流水线的前提安全测试卡点主要出现在上线前的上线部署环节在DEV/SIT/UAT各个阶段集成必要的安全测试应用构建安全主要关注编译环境与代码安全问题应用构建安全还需要考虑基础镜像、依赖库、构建过程等安全问题大量零散的安全工具相互孤立，没有形成整体形成基于不同开发项目在各阶段的研发安全看板管理#page#3.容器化工作负载安全的重新部署知北安业管

6、理号位部分云平台虚把机可通过当前未来金拟c8。服务器资源房院8888器废机代以物理机、虚拟机为主的云工作负载安全以防病毒、主机入侵防护为主的工作负载安全以安全加固、完整性保护、异常检测为主的安全防护主机应用安全软件部署/升级大多在运行态完成RASP等安全软件的部署可以打包进Dockerfile进行镜像构建主机系统安全软件直接嵌入到操作系统内部虚拟机和容器的安全部通过Sidecar部署，对应用无侵入不同安全等级的容器编排至对应的Ingrress入口#page#4.云运行环境安全服务化的“重新思考密朗管理服务云安全服务管理（统一策略管理、面向租户展示）安全服