《云原生安全:攻防实践与体系构建》读书笔记总计
2025-02-20 18:21:09 0 举报AI智能生成
《云原生安全:攻防实践与体系构建》是一本深入探讨如何在云计算环境下进行安全管理的实用指南。本书不仅阐述了云原生环境下安全攻防的理论基础,还提供了丰富的实践案例和技术细节,帮助读者构建起全面的云安全体系。书中强调了在虚拟化、容器化、自动化工具等方面的安全挑战,并指导如何应对这些挑战。核心内容包括云计算的安全模型、资源隔离技术、服务监控、身份验证与授权、安全事件响应等多个维度。该书适合IT安全专业人员阅读,旨在加强其对云安全的认识和实战能力,构建起坚不可摧的云环境防御机制。
作者其他创作
大纲/内容
图标示例
基础事项
安全事项
存在安全风险
一、devops流程
阶段0:产品需求
需求评审
威胁建模
阶段一:Code Dev
安全编码规范
源代码安全检测(SAST)
凭证检测
三方组件检测(SCA)
阶段二:CI(持续集成)
CI流程
clone代码
DockerFile文件
编排文件安全检测
构建镜像
底层依赖
基础镜像
三方组件
镜像打标
推送镜像
镜像安全
镜像安全扫描
镜像签名
阶段三:CD(持续交付)
CD流程
Yaml文件
编排文件检测
拉取镜像
k8s镜像准入控制
镜像签名校验
部署服务
容器安全检测
二、底层基础建设安全
(云原生安全)
(云原生安全)
容器基础设施
容器镜像
不安全的三方组件
恶意镜像
敏感泄露
运行态容器
业务代码漏洞
不安全的三方组件
不受限制的资源共享
不安全的配置与挂载
容器逃逸
资源耗尽型攻击
容器网络
缺失网络隔离?
宿主机
部分宿主机的漏洞可能被容器利用
比如:在存在CVE-2016-5195(“脏牛”)漏洞的容器环境中,攻击者可以借助该漏洞向进
程vDSO区域写入恶意代码,从而实现容器逃逸
程vDSO区域写入恶意代码,从而实现容器逃逸
容器软件自身漏洞
容器编排平台(k8s)
k8s组件API接口风险
API Server开放默认8080端口
未授权访问漏洞
用户在/etc/kubernetes/manifests/kube-apiserver.yaml中将--insecure-port=0修改为--insecure-port=8080并重启API Server
Dashboard
未授权访问漏洞
在Dashboard的启动参数中添
加了--enable-skip-login选项
加了--enable-skip-login选项
将Dashboard端口映射
在宿主机节点上
在宿主机节点上
Kubelet
Kubelet API未授权访问漏洞
将Kubelet的--anonymous-auth参数设置为true,且
authorization.mode设置为AlwaysAllow
authorization.mode设置为AlwaysAllow
ETCD
etcd启动后监听2379和2380两个端口
如果攻击者窃取了证书,或者用户将etcd设置为允许匿名访问
访问控制
访问控制过于宽松
权限滥用
k8s自身软件漏洞
三、云原生应用
(本章节没什么实际价值)
(本章节没什么实际价值)
机密性
数据泄露
应用漏洞
凭证不规范管理
应用间通信未加密
未授权访问
应用漏洞
权限错误配置
完整性
可用性
拒绝服务
四、云原生安全防护思路和体系
目标:云原生安全的最高境界应该是将安全无形地嵌入到整套流程和系统中,如将DevOps变成DevSecOps
关注业务安全
关注业务应用API
如何观测业务应用API
云原生安全体系
云原生安全框架
镜像安全
镜像构建阶段安全
验证镜像来源
镜像轻量化
正确使用镜像指令
敏感信息处理
镜像仓库安全
公有仓库安全
下载最新镜像
镜像安全扫描
如有Dockerfile,自己构建
私有仓库安全
认证
权限
镜像安全检测
使用商业/开源的镜像扫描工具进行扫描和评估
镜像传输安全
镜像签名/验签
访问控制
使用HTTPS镜像仓库
云原生可观测性
可观测性组成
日志
Docker日志
K8S集群日志
K8S组件日志
指标
K8S组件状态指标
集群状态指标
资源状态指标
网络状态指标
作业运行指标
追踪
基于BPFTrace实现动态追踪
微服务追踪
分布式追踪系统
0 条评论
下一页
