最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

數(shù)據(jù)安全一直是企業(yè)所注重的問(wèn)題，隨著互聯(lián)網(wǎng)技術(shù)和技術(shù)的不斷發(fā)展和普及，數(shù)據(jù)安全也面臨著越來(lái)越多的威脅和挑戰(zhàn)。傳統(tǒng)的數(shù)據(jù)庫(kù)安全技術(shù)雖然在一定程度上能夠保障數(shù)據(jù)的安全，但是很多公司還是會(huì)遇到一些難以解決的問(wèn)題。為了更好的保護(hù)數(shù)據(jù)安全，許多企業(yè)開始嘗試新的非數(shù)據(jù)庫(kù)安全技術(shù)，通過(guò)這些新技術(shù)來(lái)保證數(shù)據(jù)的安全性，提高數(shù)據(jù)的保密性和安全性。

一、隔離技術(shù)

隔離技術(shù)是一種在物理上隔離設(shè)備的技術(shù)。隔離技術(shù)通過(guò)在物理上分離不同的設(shè)備，并在這些設(shè)備之間建立安全壁壘來(lái)保證設(shè)備之間的安全。這種技術(shù)通常應(yīng)用于服務(wù)器和存儲(chǔ)設(shè)備上，例如利用虛擬化技術(shù)將不同的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)存儲(chǔ)隔離開來(lái)，增加系統(tǒng)的安全性和系統(tǒng)之間的隔離性。

二、加密技術(shù)

加密技術(shù)是一種非常古老的技術(shù)，但是它一直是保障數(shù)據(jù)安全的重要手段。在信息傳輸過(guò)程中，加密技術(shù)將數(shù)據(jù)轉(zhuǎn)化為密文，只有掌握密鑰的人才能夠解密。利用加密技術(shù)，企業(yè)可以更好地保護(hù)數(shù)據(jù)的安全性，特別是在云計(jì)算和移動(dòng)應(yīng)用環(huán)境下，加密技術(shù)能夠保證數(shù)據(jù)在傳輸、存儲(chǔ)和處理中的安全性。

三、身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)是一種對(duì)用戶身份的認(rèn)證過(guò)程。企業(yè)通過(guò)對(duì)用戶身份進(jìn)行識(shí)別和驗(yàn)證，決定用戶可以訪問(wèn)哪些資源，這在Web應(yīng)用程序和云安全服務(wù)中尤其重要。基于用戶名和密碼的身份認(rèn)證方式已經(jīng)逐漸變成落后的技術(shù)，企業(yè)正在不斷地探索新的身份認(rèn)證方式，例如生物識(shí)別技術(shù)、證書認(rèn)證技術(shù)等。

四、技術(shù)

技術(shù)是現(xiàn)在最火熱的技術(shù)之一，它也可以用于保障數(shù)據(jù)的安全。利用技術(shù)，企業(yè)可以對(duì)數(shù)據(jù)進(jìn)行分類、分析和預(yù)測(cè)，從而更好地保護(hù)數(shù)據(jù)的安全。例如，可以使用機(jī)器學(xué)習(xí)技術(shù)來(lái)分析用戶的行為模式，識(shí)別潛在的惡意行為；使用深度學(xué)習(xí)技術(shù)來(lái)檢測(cè)和預(yù)測(cè)網(wǎng)絡(luò)攻擊。

五、安全管理技術(shù)

安全管理技術(shù)是企業(yè)管理系統(tǒng)的基石。企業(yè)需要進(jìn)行全面的安全管理，包括訪問(wèn)控制、監(jiān)控和日志管理等。通過(guò)使用先進(jìn)的網(wǎng)絡(luò)安全技術(shù)，企業(yè)可以更好地防止惡意攻擊，保護(hù)數(shù)據(jù)安全，并及時(shí)發(fā)現(xiàn)和處理安全漏洞。

隨著技術(shù)的不斷發(fā)展，非數(shù)據(jù)庫(kù)安全技術(shù)也越來(lái)越受到企業(yè)的關(guān)注。這些技術(shù)包括隔離技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)、技術(shù)和安全管理技術(shù)。通過(guò)使用這些技術(shù)，企業(yè)可以更好地保障數(shù)據(jù)的安全性，并不斷提高數(shù)據(jù)的保密性和安全性。在未來(lái)，這些非數(shù)據(jù)庫(kù)安全技術(shù)將成為保障企業(yè)數(shù)據(jù)安全的新方式。

相關(guān)問(wèn)題拓展閱讀：

• 在IT項(xiàng)目建設(shè)中，如何保證數(shù)據(jù)庫(kù)安全性？
• 等保保護(hù)的技術(shù)要求不包括哪個(gè)維度

在IT項(xiàng)目建設(shè)中，如何保證數(shù)據(jù)庫(kù)安全性？

#云原生背景#

云計(jì)算是信息技術(shù)發(fā)展和服務(wù)模式拿冊(cè)創(chuàng)新的集中體現(xiàn)，是信息化發(fā)展的重要變革和必然趨勢(shì)。隨著“新基建”加速布局，以及企業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，如何深化用云進(jìn)一步提升云計(jì)算使用效能成為現(xiàn)階段云計(jì)算發(fā)展的重點(diǎn)。云原生以其高效穩(wěn)定、快速響應(yīng)的特點(diǎn)極大地釋放了云計(jì)算效能，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力，云原生進(jìn)入快速發(fā)展階段，就像集裝箱加速貿(mào)易全球化進(jìn)程一樣，云原生技術(shù)正在助力云計(jì)算普及和企業(yè)數(shù)字化轉(zhuǎn)型。

云原生計(jì)算基金會(huì)（CNCF）對(duì)云原生的定義是：云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式編程API。

#云安全時(shí)代市場(chǎng)發(fā)展#

云安全幾乎是伴隨著云計(jì)算市場(chǎng)而發(fā)展起來(lái)的，云基礎(chǔ)設(shè)施投資的快速增長(zhǎng)，無(wú)疑為云安全發(fā)展提供土壤。根據(jù) IDC 數(shù)據(jù)，2023 年全球云安全支出占云 IT 支出比例僅為 1.1%，說(shuō)明目前云安全支出遠(yuǎn)遠(yuǎn)不夠，假設(shè)這一比例提升至 5%，那么2023 年全球云安全市場(chǎng)空間可達(dá) 53.2 億美元，2023 年可達(dá) 108.9 億美元。

海外云安全市場(chǎng)：技術(shù)創(chuàng)新與兼并整合活躍。整體來(lái)看，海外云安全市場(chǎng)正處于快速發(fā)展階段，技術(shù)創(chuàng)新活躍，兼并整合頻繁。一方面，云安全技術(shù)創(chuàng)新活躍，并呈現(xiàn)融合發(fā)展趨勢(shì)。例如，綜合型安全公司 PaloAlto 的 Pria 產(chǎn)品線將 CWPP、CSPM 和 CASB 三個(gè)云安全技術(shù)產(chǎn)品統(tǒng)一融合，提供綜合解決方案及 SASE、容器安全、微隔離等一系列云上安全能力。另一方面，新興的云安全企業(yè)快速發(fā)展，同時(shí)，傳統(tǒng)安全供應(yīng)商也通過(guò)自研+兼并的方式加強(qiáng)云安全布局。

國(guó)內(nèi)云安全市場(chǎng)：市場(chǎng)空間廣闊，尚處于技術(shù)追隨階段。市場(chǎng)規(guī)模上，根據(jù)中國(guó)信通院數(shù)據(jù)，2023 年我國(guó)云計(jì)算整體市場(chǎng)規(guī)模達(dá) 1334.5億元，增速 38.6%。預(yù)計(jì)年仍將處于快速增長(zhǎng)階段，到 2023 年市場(chǎng)規(guī)模將超過(guò) 3754.2 億元。中性假設(shè)下，安全投入占云計(jì)算市場(chǎng)規(guī)模的 3%-5%，那么 2023 年中國(guó)云安全市場(chǎng)規(guī)模有望達(dá)到 112.6 億-187.7 億元。技術(shù)發(fā)展上，中國(guó)在云計(jì)算的發(fā)展階段和云原生技術(shù)的程前敏虧度上與海外市場(chǎng)還有一定差距。國(guó)內(nèi) CWPP 技術(shù)應(yīng)用較為廣泛，對(duì)于 CASB、CSPM 一些新興的云安全技術(shù)應(yīng)用較少。但隨著國(guó)內(nèi)公有云市場(chǎng)的加速發(fā)展，云原生技術(shù)的應(yīng)用越來(lái)越廣泛，我們認(rèn)為CASB、SCPM、SASE 等新興技術(shù)在國(guó)內(nèi)的應(yīng)用也將越來(lái)越廣泛。

#云上安全呈原生化發(fā)展趨勢(shì)#

云原生技術(shù)逐漸成為云計(jì)算市場(chǎng)新趨勢(shì)，所帶來(lái)的安全問(wèn)題更為復(fù)雜。以容器、服務(wù)網(wǎng)格、微服務(wù)等為代表的云原生技術(shù)，正在影響各行各業(yè)的 IT 基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用系統(tǒng)，也在滲透到如 IT/OT 融合的工業(yè)互聯(lián)網(wǎng)、IT/CT 融合的 5G、邊緣計(jì)算等新型基礎(chǔ)設(shè)施中。隨著云原生越來(lái)越多的落地應(yīng)用，其相關(guān)的安全風(fēng)險(xiǎn)與威脅也不斷的顯現(xiàn)出來(lái)。Docker/Kubernetes 等服務(wù)暴露問(wèn)題、特斯拉 Kubernetes 集群挖礦事件、Docker Hub 中的容器鏡像被“投毒”注入挖礦程序、微軟 Azure 安全中心檢測(cè)到大規(guī)模 Kubernetes 挖礦事件、Graboid 蠕蟲挖礦傳播事件等一系列針對(duì)云原生的安全攻擊事件層出不窮。

從各種各樣的安全風(fēng)險(xiǎn)中可以一窺云原生技術(shù)的安全態(tài)勢(shì)，云原生環(huán)境仍然存在許多安全問(wèn)題亟待解決。在云原生技術(shù)的落地過(guò)程中，慧神安全是必須要考慮的重要因素。

#云原生安全的定義#

國(guó)內(nèi)外各組織、企業(yè)對(duì)云原生安全理念的解釋略有差異，結(jié)合我國(guó)產(chǎn)業(yè)現(xiàn)狀與痛點(diǎn)，云原生與云計(jì)算安全相似，云原生安全也包含兩層含義：“面向云原生環(huán)境的安全”和“具有云原生特征的安全”。

面向云原生環(huán)境的安全，其目標(biāo)是防護(hù)云原生環(huán)境中的基礎(chǔ)設(shè)施、編排系統(tǒng)和微服務(wù)的安全。這類安全機(jī)制，不一定具備云原生的特性（比如容器化、可編排），它們可以是傳統(tǒng)模式部署的，甚至是硬件設(shè)備，但其作用是保護(hù)日益普及的云原生環(huán)境。

具有云原生特征的安全，是指具有云原生的彈性敏捷、輕量級(jí)、可編排等特性的各類安全機(jī)制。云原生是一種理念上的創(chuàng)新，通過(guò)容器化、資源編排和微服務(wù)重構(gòu)了傳統(tǒng)的開發(fā)運(yùn)營(yíng)體系，加速業(yè)務(wù)上線和變更的速度，因而，云原生系統(tǒng)的種種優(yōu)良特性同樣會(huì)給安全廠商帶來(lái)很大的啟發(fā)，重構(gòu)安全產(chǎn)品、平臺(tái)，改變其交付、更新模式。

#云原生安全理念構(gòu)建#

為緩解傳統(tǒng)安全防護(hù)建設(shè)中存在的痛點(diǎn)，促進(jìn)云計(jì)算成為更加安全可信的信息基礎(chǔ)設(shè)施，助力云客戶更加安全的使用云計(jì)算，云原生安全理念興起，國(guó)內(nèi)外第三方組織、服務(wù)商紛紛提出以原生為核心構(gòu)建和發(fā)展云安全。

Gartner提倡以云原生思維建設(shè)云安全體系

基于云原生思維，Gartner提出的云安全體系覆蓋八方面。其中，基礎(chǔ)設(shè)施配置、身份和訪問(wèn)管理兩部分由云服務(wù)商作為基礎(chǔ)能力提供，其它六部分，包括持續(xù)的云安全態(tài)勢(shì)管理，全方位的可視化、日志、審計(jì)和評(píng)估，工作負(fù)載安全，應(yīng)用、PaaS 和 API 安全，擴(kuò)展的數(shù)據(jù)保護(hù)，云威脅檢測(cè)，客戶需基于安全產(chǎn)品實(shí)現(xiàn)。

Forrester評(píng)估公有云平臺(tái)原生安全能力

Forrester認(rèn)為公有云平臺(tái)原生安全（Public cloud platform native security, PCPNS）應(yīng)從三大類、37 個(gè)方面去衡量。從已提供的產(chǎn)品和功能，以及未來(lái)戰(zhàn)略規(guī)劃可以看出，一是考察云服務(wù)商自身的安全能力和建設(shè)情況，如數(shù)據(jù)中心安全、內(nèi)部人員等，二是云平臺(tái)具備的基礎(chǔ)安全功能，如幫助和文檔、授權(quán)和認(rèn)證等，三是為用戶提供的原生安全產(chǎn)品，如容器安全、數(shù)據(jù)安全等。

安全狗以4項(xiàng)工作防護(hù)體系建設(shè)云原生安全

（1）結(jié)合云原生技術(shù)的具體落地情況開展并落實(shí)最小權(quán)限、縱深防御工作，對(duì)于云原生環(huán)境中的各種組成部分，均可貫徹落實(shí)“安全左移”的原則，進(jìn)行安全基線配置，防范于未然。而對(duì)于微服務(wù)架構(gòu)Web應(yīng)用以及Serverless應(yīng)用的防護(hù)而言，其重點(diǎn)是應(yīng)用安全問(wèn)題。

（2）圍繞云原生應(yīng)用的生命周期來(lái)進(jìn)行DevSecOps建設(shè)，以當(dāng)前的云原生環(huán)境的關(guān)鍵技術(shù)棧“K8S + Docker”舉例進(jìn)行分析。應(yīng)該在容器的全生命周期注重“配置安全”，在項(xiàng)目構(gòu)建時(shí)注重“鏡像安全”，在項(xiàng)目部署時(shí)注重“容器準(zhǔn)入”，在容器的運(yùn)行環(huán)境注重云計(jì)算的三要素“計(jì)算”“網(wǎng)絡(luò)”以及“存儲(chǔ)”等方面的安全問(wèn)題。

（3）圍繞攻擊前、中、后的安全實(shí)施準(zhǔn)則進(jìn)行構(gòu)建，可依據(jù)安全實(shí)施準(zhǔn)則對(duì)攻擊前、中、后這三個(gè)階段開展檢測(cè)與防御工作。

（4）改造并綜合運(yùn)用現(xiàn)有云安全技術(shù)，不應(yīng)將“云原生安全”視為一個(gè)獨(dú)立的命題，為云原生環(huán)境提供更多支持的主機(jī)安全、微隔離等技術(shù)可賦能于云原生安全。

#云原生安全新型風(fēng)險(xiǎn)#

云原生架構(gòu)的安全風(fēng)險(xiǎn)包含云原生基礎(chǔ)設(shè)施自身的安全風(fēng)險(xiǎn)，以及上層應(yīng)用云原生化改造后新增和擴(kuò)大的安全風(fēng)險(xiǎn)。云原生環(huán)境面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)問(wèn)題。攻擊者可能利用的重要攻擊面包括但不限于：容器安全、編排系統(tǒng)、軟件供應(yīng)鏈等。下面對(duì)重要的攻擊面安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行梳理。

#云原生安全問(wèn)題梳理#

問(wèn)題1：容器安全問(wèn)題

在云原生應(yīng)用和服務(wù)平臺(tái)的構(gòu)建過(guò)程中，容器技術(shù)憑借高彈性、敏捷的特性，成為云原生應(yīng)用場(chǎng)景下的重要技術(shù)支撐，因而容器安全也是云原生安全的重要基石。

（1）容器鏡像不安全

Sysdig的報(bào)告中提到，在用戶的生產(chǎn)環(huán)境中，會(huì)將公開的鏡像倉(cāng)庫(kù)作為軟件源，如更大的容器鏡像倉(cāng)庫(kù)Docker Hub。一方面，很多開源軟件會(huì)在Docker Hub上發(fā)布容器鏡像。另一方面，開發(fā)者通常會(huì)直接下載公開倉(cāng)庫(kù)中的容器鏡像，或者基于這些基礎(chǔ)鏡像定制自己的鏡像，整個(gè)過(guò)程非常方便、高效。然而，Docker Hub上的鏡像安全并不理想，有大量的官方鏡像存在高危漏洞，如果使用了這些帶高危漏洞的鏡像，就會(huì)極大的增加容器和主機(jī)的入侵風(fēng)險(xiǎn)。目前容器鏡像的安全問(wèn)題主要有以下三點(diǎn)：

1.不安全的第三方組件

在實(shí)際的容器化應(yīng)用開發(fā)過(guò)程當(dāng)中，很少?gòu)牧汩_始構(gòu)建鏡像，而是在基礎(chǔ)鏡像之上增加自己的程序和代碼，然后統(tǒng)一打包最終的業(yè)務(wù)鏡像并上線運(yùn)行，這導(dǎo)致許多開發(fā)者根本不知道基礎(chǔ)鏡像中包含多少組件，以及包含哪些組件，包含的組件越多，可能存在的漏洞就越多。

2.惡意鏡像

公共鏡像倉(cāng)庫(kù)中可能存在第三方上傳的惡意鏡像，如果使用了這些惡意鏡像來(lái)創(chuàng)建容器后，將會(huì)影響容器和應(yīng)用程序的安全

3.敏感信息泄露

為了開發(fā)和調(diào)試的方便，開發(fā)者將敏感信息存在配置文件中，例如數(shù)據(jù)庫(kù)密碼、證書和密鑰等內(nèi)容，在構(gòu)建鏡像時(shí)，這些敏感信息跟隨配置文件一并打包進(jìn)鏡像，從而造成敏感信息泄露

（2）容器生命周期的時(shí)間短

云原生技術(shù)以其敏捷、可靠的特點(diǎn)驅(qū)動(dòng)引領(lǐng)企業(yè)的業(yè)務(wù)發(fā)展，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力。在容器環(huán)境下，一部分容器是以docker的命令啟動(dòng)和管理的，還有大量的容器是通過(guò)Kubernetes容器編排系統(tǒng)啟動(dòng)和管理，帶來(lái)了容器在構(gòu)建、部署、運(yùn)行，快速敏捷的特點(diǎn)，大量容器生命周期短于1小時(shí)，這樣一來(lái)容器的生命周期防護(hù)較傳統(tǒng)虛擬化環(huán)境發(fā)生了巨大的變化，容器的全生命周期防護(hù)存在很大變數(shù)。對(duì)防守者而言，需要采用傳統(tǒng)異常檢測(cè)和行為分析相結(jié)合的方式，來(lái)適應(yīng)短容器生命周期的場(chǎng)景。

傳統(tǒng)的異常檢測(cè)采用WAF、IDS等設(shè)備，其規(guī)則庫(kù)已經(jīng)很完善，通過(guò)這種檢測(cè)方法能夠直觀的展示出存在的威脅，在容器環(huán)境下，這種方法仍然適用。

傳統(tǒng)的異常檢測(cè)能夠快速、精確地發(fā)現(xiàn)已知威脅，但大多數(shù)未知威脅是無(wú)法通過(guò)規(guī)則庫(kù)匹配到的，因而需要通過(guò)行為分析機(jī)制來(lái)從大量模式中將異常模式分析出來(lái)。一般來(lái)說(shuō)，一段生產(chǎn)運(yùn)營(yíng)時(shí)間內(nèi)的業(yè)務(wù)模式是相對(duì)固定的，這意味著，業(yè)務(wù)行為是可以預(yù)測(cè)的，無(wú)論啟動(dòng)多少個(gè)容器，容器內(nèi)部的行為總是相似的。通過(guò)機(jī)器學(xué)習(xí)、采集進(jìn)程行為，自動(dòng)構(gòu)建出合理的基線，利用這些基線對(duì)容器內(nèi)的未知威脅進(jìn)行檢測(cè)。

（3）容器運(yùn)行時(shí)安全

容器技術(shù)帶來(lái)便利的同時(shí)，往往會(huì)忽略容器運(yùn)行時(shí)的安全加固，由于容器的生命周期短、輕量級(jí)的特性，傳統(tǒng)在宿主機(jī)或虛擬機(jī)上安裝殺毒軟件來(lái)對(duì)一個(gè)運(yùn)行一兩個(gè)進(jìn)程的容器進(jìn)行防護(hù)，顯示費(fèi)時(shí)費(fèi)力且消耗資源，但在黑客眼里容器和裸奔沒有什么區(qū)別。容器運(yùn)行時(shí)安全主要關(guān)注點(diǎn)：

1.不安全的容器應(yīng)用

與傳統(tǒng)的Web安全類似，容器環(huán)境下也會(huì)存在SQL注入、XSS、RCE、XXE等漏洞，容器在對(duì)外提供服務(wù)的同時(shí)，就有可能被攻擊者利用，從而導(dǎo)致容器被入侵

2.容器DDOS攻擊

默認(rèn)情況下，docker并不會(huì)對(duì)容器的資源使用進(jìn)行限制，默認(rèn)情況下可以無(wú)限使用CPU、內(nèi)存、硬盤資源，造成不同層面的DDOS攻擊

（4）容器微隔離

在容器環(huán)境中，與傳統(tǒng)網(wǎng)絡(luò)相比，容器的生命周期變得短了很多，其變化頻率也快很多。容器之間有著復(fù)雜的訪問(wèn)關(guān)系，尤其是當(dāng)容器數(shù)量達(dá)到一定規(guī)模以后，這種訪問(wèn)關(guān)系帶來(lái)的東西向流量，將會(huì)變得異常的龐大和復(fù)雜。因此，在容器環(huán)境中，網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)的隔離，而是變成了容器與容器之間、容器組與宿主機(jī)之間、宿主機(jī)與宿主機(jī)之間的隔離。

問(wèn)題2：云原生等保合規(guī)問(wèn)題

等級(jí)保護(hù)2.0中，針對(duì)云計(jì)算等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。雖然編寫了云計(jì)算的安全擴(kuò)展要求，但是由于編寫周期很長(zhǎng)，編寫時(shí)主流還是虛擬化場(chǎng)景，而沒有考慮到容器化、微服務(wù)、無(wú)服務(wù)等云原生場(chǎng)景，等級(jí)保護(hù)2.0中的所有標(biāo)準(zhǔn)不能完全保證適用于目前云原生環(huán)境；

通過(guò)安全狗在云安全領(lǐng)域的經(jīng)驗(yàn)和具體實(shí)踐，對(duì)于云計(jì)算安全擴(kuò)展要求中訪問(wèn)控制的控制點(diǎn)，需要檢測(cè)主機(jī)賬號(hào)安全，設(shè)置不同賬號(hào)對(duì)不同容器的訪問(wèn)權(quán)限，保證容器在構(gòu)建、部署、運(yùn)行時(shí)訪問(wèn)控制策略隨其遷移；

對(duì)于入侵防范制的控制點(diǎn)，需要可視化管理，繪制業(yè)務(wù)拓?fù)鋱D，對(duì)主機(jī)入侵進(jìn)行全方位的防范，控制業(yè)務(wù)流量訪問(wèn)，檢測(cè)惡意代碼感染及蔓延的情況；

鏡像和快照保護(hù)的控制的，需要對(duì)鏡像和快照進(jìn)行保護(hù)，保障容器鏡像的完整性、可用性和保密性，防止敏感信息泄露。

問(wèn)題3：宿主機(jī)安全

容器與宿主機(jī)共享操作系統(tǒng)內(nèi)核，因此宿主機(jī)的配置對(duì)容器運(yùn)行的安全有著重要的影響，比如宿主機(jī)安裝了有漏洞的軟件可能會(huì)導(dǎo)致任意代碼執(zhí)行風(fēng)險(xiǎn)，端口無(wú)限制開放可能會(huì)導(dǎo)致任意用戶訪問(wèn)的風(fēng)險(xiǎn)。通過(guò)部署主機(jī)入侵監(jiān)測(cè)及安全防護(hù)系統(tǒng)，提供主機(jī)資產(chǎn)管理、主機(jī)安全加固、風(fēng)險(xiǎn)漏洞識(shí)別、防范入侵行為、問(wèn)題主機(jī)隔離等功能，各個(gè)功能之間進(jìn)行聯(lián)動(dòng)，建立采集、檢測(cè)、監(jiān)測(cè)、防御、捕獲一體化的安全閉環(huán)管理系統(tǒng)，對(duì)主機(jī)進(jìn)行全方位的安全防護(hù)，協(xié)助用戶及時(shí)定位已經(jīng)失陷的主機(jī)，響應(yīng)已知、未知威脅風(fēng)險(xiǎn)，避免內(nèi)部大面積主機(jī)安全事件的發(fā)生。

問(wèn)題4：編排系統(tǒng)問(wèn)題

編排系統(tǒng)支撐著諸多云原生應(yīng)用，如無(wú)服務(wù)、服務(wù)網(wǎng)格等，這些新型的微服務(wù)體系也同樣存在著安全問(wèn)題。例如攻擊者編寫一段代碼獲得容器的shell權(quán)限，進(jìn)而對(duì)容器網(wǎng)絡(luò)進(jìn)行滲透橫移，造成巨大損失。

Kubernetes架構(gòu)設(shè)計(jì)的復(fù)雜性，啟動(dòng)一個(gè)Pod資源需要涉及API Server、Controller、Manager、Scheduler等組件，因而每個(gè)組件自身的安全能力顯的尤為重要。API Server組件提供的認(rèn)證授權(quán)、準(zhǔn)入控制，進(jìn)行細(xì)粒度訪問(wèn)控制、Secret資源提供密鑰管理及Pod自身提供安全策略和網(wǎng)絡(luò)策略，合理使用這些機(jī)制可以有效實(shí)現(xiàn)Kubernetes的安全加固。

問(wèn)題5：軟件供應(yīng)鏈安全問(wèn)題

通常一個(gè)項(xiàng)目中會(huì)使用大量的開源軟件，根據(jù)Gartner統(tǒng)計(jì)至少有95%的企業(yè)會(huì)在關(guān)鍵IT產(chǎn)品中使用開源軟件，這些來(lái)自互聯(lián)網(wǎng)的開源軟件可能本身就帶有病毒、這些開源軟件中使用了哪些組件也不了解，導(dǎo)致當(dāng)開源軟件中存在0day或Nday漏洞，我們根本無(wú)法獲悉。

開源軟件漏洞無(wú)法根治，容器自身的安全問(wèn)題可能會(huì)給開發(fā)階段帶的各個(gè)過(guò)程帶來(lái)風(fēng)險(xiǎn)，我們能做的是根據(jù)SDL原則，從開發(fā)階段就開始對(duì)軟件安全性進(jìn)行合理的評(píng)估和控制，來(lái)提升整個(gè)供應(yīng)鏈的質(zhì)量。

問(wèn)題6：安全運(yùn)營(yíng)成本問(wèn)題

雖然容器的生命周期很短，但是包羅萬(wàn)象。對(duì)容器的全生命周期防護(hù)時(shí)，會(huì)對(duì)容器構(gòu)建、部署、運(yùn)行時(shí)進(jìn)行異常檢測(cè)和安全防護(hù)，隨之而來(lái)的就是高成本的投入，對(duì)成千上萬(wàn)容器中的進(jìn)程行為進(jìn)程檢測(cè)和分析，會(huì)消耗宿主機(jī)處理器和內(nèi)存資源，日志傳輸會(huì)占用網(wǎng)絡(luò)帶寬，行為檢測(cè)會(huì)消耗計(jì)算資源，當(dāng)環(huán)境中容器數(shù)量巨大時(shí)，對(duì)應(yīng)的安全運(yùn)營(yíng)成本就會(huì)急劇增加。

問(wèn)題7：如何提升安全防護(hù)效果

關(guān)于安全運(yùn)營(yíng)成本問(wèn)題中，我們了解到容器安全運(yùn)營(yíng)成本較高，我們?cè)撊绾谓档桶踩\(yùn)營(yíng)成本的同時(shí)，提升安全防護(hù)效果呢？這就引入一個(gè)業(yè)界比較流行的詞“安全左移”，將軟件生命周期從左到右展開，即開發(fā)、測(cè)試、集成、部署、運(yùn)行，安全左移的含義就是將安全防護(hù)從傳統(tǒng)運(yùn)營(yíng)轉(zhuǎn)向開發(fā)側(cè)，開發(fā)側(cè)主要設(shè)計(jì)開發(fā)軟件、軟件供應(yīng)鏈安全和鏡像安全。

因此，想要降低云原生場(chǎng)景下的安全運(yùn)營(yíng)成本，提升運(yùn)營(yíng)效率，那么首先就要進(jìn)行“安全左移”，也就是從運(yùn)營(yíng)安全轉(zhuǎn)向開發(fā)安全，主要考慮開發(fā)安全、軟件供應(yīng)鏈安全、鏡像安全和配置核查：

開發(fā)安全

需要團(tuán)隊(duì)關(guān)注代碼漏洞，比如使用進(jìn)行代碼審計(jì)，找到因缺少安全意識(shí)造成的漏洞和因邏輯問(wèn)題造成的代碼邏輯漏洞。

供應(yīng)鏈安全

可以使用代碼檢查工具進(jìn)行持續(xù)性的安全評(píng)估。

鏡像安全

使用鏡像漏洞掃描工具持續(xù)對(duì)自由倉(cāng)庫(kù)中的鏡像進(jìn)行持續(xù)評(píng)估，對(duì)存在風(fēng)險(xiǎn)的鏡像進(jìn)行及時(shí)更新。

配置核查

核查包括暴露面、宿主機(jī)加固、資產(chǎn)管理等，來(lái)提升攻擊者利用漏洞的難度。

問(wèn)題8：安全配置和密鑰憑證管理問(wèn)題

安全配置不規(guī)范、密鑰憑證不理想也是云原生的一大風(fēng)險(xiǎn)點(diǎn)。云原生應(yīng)用會(huì)存在大量與中間件、后端服務(wù)的交互，為了簡(jiǎn)便，很多開發(fā)者將訪問(wèn)憑證、密鑰文件直接存放在代碼中，或者將一些線上資源的訪問(wèn)憑證設(shè)置為弱口令，導(dǎo)致攻擊者很容易獲得訪問(wèn)敏感數(shù)據(jù)的權(quán)限。

#云原生安全未來(lái)展望#

從日益新增的新型攻擊威脅來(lái)看，云原生的安全將成為今后網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵。伴隨著ATT&CK的不斷積累和相關(guān)技術(shù)的日益完善，ATT&CK也已增加了容器矩陣的內(nèi)容。ATT&CK是對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)（Adversarial Tactics, Techniques, and Common Knowledge）的縮寫，是一個(gè)攻擊行為知識(shí)庫(kù)和威脅建模模型，它包含眾多威脅組織及其使用的工具和攻擊技術(shù)。這一開源的對(duì)抗戰(zhàn)術(shù)和技術(shù)的知識(shí)庫(kù)已經(jīng)對(duì)安全行業(yè)產(chǎn)生了廣泛而深刻的影響。

云原生安全的備受關(guān)注，使ATTACK Matrix for Container on Cloud的出現(xiàn)恰合時(shí)宜。ATT&CK讓我們從行為的視角來(lái)看待攻擊者和防御措施，讓相對(duì)抽象的容器攻擊技術(shù)和工具變得有跡可循。結(jié)合ATT&CK框架進(jìn)行模擬紅藍(lán)對(duì)抗，評(píng)估企業(yè)目前的安全能力，對(duì)提升企業(yè)安全防護(hù)能力是很好的參考。

數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止不合法的使用所造成的數(shù)據(jù)泄露、更改或破壞。 安全性問(wèn)題不是數(shù)據(jù)庫(kù)系統(tǒng)所獨(dú)有的，所有計(jì)算機(jī)系統(tǒng)都有這個(gè)問(wèn)題。只是在數(shù)據(jù)庫(kù)系統(tǒng)中大量數(shù)據(jù)集中存放，而且為許多最終用戶直接共享，從而使安全性問(wèn)題更為突出…

回答者: cn#aupuaGkauB 1個(gè)回答 1

如何保證數(shù)據(jù)庫(kù)的安全性和一致性？

答：關(guān)系型數(shù)據(jù)庫(kù)有四個(gè)顯著的特征，即安全性、完整性、并發(fā)性和監(jiān)測(cè)性。數(shù)據(jù)庫(kù)的安全性就是要保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全，防止未授權(quán)用戶隨意修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)，確保數(shù)據(jù)的安全。在大多虧核跡數(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)中，主要是通過(guò)許可來(lái)保證數(shù)據(jù)庫(kù)的安全性。完…

回答者: 無(wú)聊人在海角 2個(gè)回答 4

如何保證mysql數(shù)據(jù)庫(kù)的安全性

答：其實(shí)這個(gè)和jsp沒啥關(guān)系，只要你的代碼沒有比如爆源碼或者直接上傳shell這些弱智的漏洞就行了，一般的做法其實(shí)很簡(jiǎn)單，就是給mysql分配一個(gè)單獨(dú)的賬號(hào)，而不要使用root權(quán)限，而且只能針對(duì)目標(biāo)數(shù)據(jù)庫(kù)操作，其他的數(shù)據(jù)庫(kù)沒有操作權(quán)限，如果要附加上…

回答者: 知道網(wǎng)友 1個(gè)回答

如何保證數(shù)據(jù)庫(kù)服務(wù)器的安全

答：定時(shí)檢查工作:定時(shí)檢查服務(wù)器的網(wǎng)絡(luò)連接狀況、定時(shí)檢查服務(wù)器操作系統(tǒng)運(yùn)行狀況、定時(shí)檢查服務(wù)器系統(tǒng)日志、定時(shí)檢查磁盤剩氏鬧余空間已確保有充足的空間存儲(chǔ)數(shù)據(jù)。 3、磁盤陣列:就是把2個(gè)或2個(gè)以上的物理硬盤組合成1個(gè)邏輯硬盤,極大的提高了數(shù)據(jù)的穩(wěn)…

回答者: 兩顆心在靠近 1個(gè)回答

怎么保證企業(yè)數(shù)據(jù)庫(kù)的安全？有哪些安全措施？

答：制定一個(gè)成功的數(shù)據(jù)庫(kù)安全策略的關(guān)鍵在于你要了解為什么要保護(hù)數(shù)據(jù)庫(kù)，保護(hù)哪個(gè)數(shù)據(jù)庫(kù)，以及如何更好的保護(hù)數(shù)據(jù)以應(yīng)對(duì)所有類型的威脅，遵從各種規(guī)范——如SOX、HIPAA、PCI DSS、GLBA 和歐盟法令。在最新的研究中，建議企業(yè)按照以下三點(diǎn)來(lái)建立完整…

回答者: 小詼恢es 4個(gè)回答 3

如何保證網(wǎng)絡(luò)數(shù)據(jù)庫(kù)的安全

答：數(shù)據(jù)庫(kù)的安全性是指保護(hù)數(shù)據(jù)庫(kù)以防止非法使用所造成的數(shù)據(jù)泄密、更改或破壞安全性控制的方法安全性控制是指要盡可能地杜絕任何形式的數(shù)據(jù)銷并庫(kù)非法訪問(wèn)。常用的安全措施有用戶標(biāo)識(shí)和鑒別、用戶存取權(quán)限控制、定義視圖、數(shù)據(jù)加密、安全審計(jì)以及事務(wù)…

回答者: 千鋒教育  2個(gè)回答 1

如何保證Web數(shù)據(jù)庫(kù)安全性

答：1、優(yōu)化設(shè)計(jì)的技巧 (1) 如果一個(gè)字段需要經(jīng)常更改，則采用以空間換時(shí)間的設(shè)計(jì)方法 最常見的例子是用戶積分登錄次數(shù)的累加，按照范式設(shè)計(jì)，在users表中建立一個(gè)字段us_scores,以后需要在用戶積分改變時(shí)采用update的語(yǔ)句進(jìn)行修改。但是知道 update…

回答者: 草原上之狼 1個(gè)回答

如何保證oracle數(shù)據(jù)庫(kù)的安全性

答：數(shù)據(jù)庫(kù)安全性問(wèn)題一直是圍繞著數(shù)據(jù)庫(kù)管理員的惡夢(mèng)，數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失 以及數(shù)據(jù)庫(kù)被非法用戶的侵入使得數(shù)據(jù)庫(kù)管理員身心疲憊不堪。本文圍繞數(shù)據(jù) 庫(kù)的安全性問(wèn)題提出了一些安全性策略，希望對(duì)數(shù)據(jù)庫(kù)管理員有所幫助，不再 夜夜惡夢(mèng)。數(shù)據(jù)庫(kù)安全性問(wèn)…

回答者: zgq2023 2個(gè)回答 2

數(shù)據(jù)庫(kù)保證數(shù)據(jù)準(zhǔn)確性的措施有哪些

答：數(shù)據(jù)庫(kù)保證數(shù)據(jù)準(zhǔn)確性的措施有： 方法一、數(shù)據(jù)庫(kù)數(shù)據(jù)加密 數(shù)據(jù)加密可以有效防止數(shù)據(jù)庫(kù)信息失密性的有效手段。通常加密的方法有替換、置換、混合加密等。雖然通過(guò)密鑰的保護(hù)是數(shù)據(jù)庫(kù)加密技術(shù)的重要手段，但如果采用同種的密鑰來(lái)管理所有數(shù)據(jù)的話…

回答者: shine戚七七 2個(gè)回答 1

如何確保數(shù)據(jù)，信息的準(zhǔn)確性，完整性，可靠性，及…

答：數(shù)據(jù)完整性（Data Integrity）是 指數(shù)據(jù)的精確性（Accuracy） 和可靠性（Reliability）。它是應(yīng)防止數(shù)據(jù)庫(kù)中存在不符合語(yǔ)義規(guī)定的數(shù)據(jù)和防止因錯(cuò)誤信息的輸入輸出造成無(wú)效操作或錯(cuò)誤信息而提出的。數(shù)據(jù)完整性分為四類：實(shí)體完整性（Entity Integ…

#云原生背景#

云計(jì)算是信息技術(shù)發(fā)展和服務(wù)模式拿冊(cè)創(chuàng)新的集中體現(xiàn)，是信息化發(fā)展的重要變革和必然趨勢(shì)。隨著“新基建”加速布局，以及企業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，如何深化用云進(jìn)一步提升云計(jì)算使用效能成為現(xiàn)階段云計(jì)算發(fā)展的重點(diǎn)。云原生以其高效穩(wěn)定、快速響應(yīng)的特點(diǎn)極大地釋放了云計(jì)算效能，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力，云原生進(jìn)入快速發(fā)展階段，就像集裝箱加速貿(mào)易全球化進(jìn)程一樣，云原生技術(shù)正在助力云計(jì)算普及和企業(yè)數(shù)字化轉(zhuǎn)型。

云原生計(jì)算基金會(huì)（CNCF）對(duì)云原生的定義是：云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動(dòng)態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生的代表技術(shù)包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式編程API。

#云安全時(shí)代市場(chǎng)發(fā)展#

云安全幾乎是伴隨著云計(jì)算市場(chǎng)而發(fā)展起來(lái)的，云基礎(chǔ)設(shè)施投資的快速增長(zhǎng)，無(wú)疑為云安全發(fā)展提供土壤。根據(jù) IDC 數(shù)據(jù)，2023 年全球云安全支出占云 IT 支出比例僅為 1.1%，說(shuō)明目前云安全支出遠(yuǎn)遠(yuǎn)不夠，假設(shè)這一比例提升至 5%，那么2023 年全球云安全市場(chǎng)空間可達(dá) 53.2 億美元，2023 年可達(dá) 108.9 億美元。

海外云安全市場(chǎng)：技術(shù)創(chuàng)新與兼并整合活躍。整體來(lái)看，海外云安全市場(chǎng)正處于快速發(fā)展階段，技術(shù)創(chuàng)新活躍，兼并整合頻繁。一方面，云安全技術(shù)創(chuàng)新活躍，并呈現(xiàn)融合發(fā)展趨勢(shì)。例如，綜合型安全公司 PaloAlto 的 Pria 產(chǎn)品線將 CWPP、CSPM 和 CASB 三個(gè)云安全技術(shù)產(chǎn)品統(tǒng)一融合，提供綜合解決方案及 SASE、容器安全、微隔離等一系列云上安全能力。另一方面，新興的云安全企業(yè)快速發(fā)展，同時(shí)，傳統(tǒng)安全供應(yīng)商也通過(guò)自研+兼并的方式加強(qiáng)云安全布局。

國(guó)內(nèi)云安全市場(chǎng)：市場(chǎng)空間廣闊，尚處于技術(shù)追隨階段。市場(chǎng)規(guī)模上，根據(jù)中國(guó)信通院數(shù)據(jù)，2023 年我國(guó)云計(jì)算整體市場(chǎng)規(guī)模達(dá) 1334.5億元，增速 38.6%。預(yù)計(jì)年仍將處于快速增長(zhǎng)階段，到 2023 年市場(chǎng)規(guī)模將超過(guò) 3754.2 億元。中性假設(shè)下，安全投入占云計(jì)算市場(chǎng)規(guī)模的 3%-5%，那么 2023 年中國(guó)云安全市場(chǎng)規(guī)模有望達(dá)到 112.6 億-187.7 億元。技術(shù)發(fā)展上，中國(guó)在云計(jì)算的發(fā)展階段和云原生技術(shù)的程前敏虧度上與海外市場(chǎng)還有一定差距。國(guó)內(nèi) CWPP 技術(shù)應(yīng)用較為廣泛，對(duì)于 CASB、CSPM 一些新興的云安全技術(shù)應(yīng)用較少。但隨著國(guó)內(nèi)公有云市場(chǎng)的加速發(fā)展，云原生技術(shù)的應(yīng)用越來(lái)越廣泛，我們認(rèn)為CASB、SCPM、SASE 等新興技術(shù)在國(guó)內(nèi)的應(yīng)用也將越來(lái)越廣泛。

#云上安全呈原生化發(fā)展趨勢(shì)#

云原生技術(shù)逐漸成為云計(jì)算市場(chǎng)新趨勢(shì)，所帶來(lái)的安全問(wèn)題更為復(fù)雜。以容器、服務(wù)網(wǎng)格、微服務(wù)等為代表的云原生技術(shù)，正在影響各行各業(yè)的 IT 基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用系統(tǒng)，也在滲透到如 IT/OT 融合的工業(yè)互聯(lián)網(wǎng)、IT/CT 融合的 5G、邊緣計(jì)算等新型基礎(chǔ)設(shè)施中。隨著云原生越來(lái)越多的落地應(yīng)用，其相關(guān)的安全風(fēng)險(xiǎn)與威脅也不斷的顯現(xiàn)出來(lái)。Docker/Kubernetes 等服務(wù)暴露問(wèn)題、特斯拉 Kubernetes 集群挖礦事件、Docker Hub 中的容器鏡像被“投毒”注入挖礦程序、微軟 Azure 安全中心檢測(cè)到大規(guī)模 Kubernetes 挖礦事件、Graboid 蠕蟲挖礦傳播事件等一系列針對(duì)云原生的安全攻擊事件層出不窮。

從各種各樣的安全風(fēng)險(xiǎn)中可以一窺云原生技術(shù)的安全態(tài)勢(shì)，云原生環(huán)境仍然存在許多安全問(wèn)題亟待解決。在云原生技術(shù)的落地過(guò)程中，慧神安全是必須要考慮的重要因素。

#云原生安全的定義#

國(guó)內(nèi)外各組織、企業(yè)對(duì)云原生安全理念的解釋略有差異，結(jié)合我國(guó)產(chǎn)業(yè)現(xiàn)狀與痛點(diǎn)，云原生與云計(jì)算安全相似，云原生安全也包含兩層含義：“面向云原生環(huán)境的安全”和“具有云原生特征的安全”。

面向云原生環(huán)境的安全，其目標(biāo)是防護(hù)云原生環(huán)境中的基礎(chǔ)設(shè)施、編排系統(tǒng)和微服務(wù)的安全。這類安全機(jī)制，不一定具備云原生的特性（比如容器化、可編排），它們可以是傳統(tǒng)模式部署的，甚至是硬件設(shè)備，但其作用是保護(hù)日益普及的云原生環(huán)境。

具有云原生特征的安全，是指具有云原生的彈性敏捷、輕量級(jí)、可編排等特性的各類安全機(jī)制。云原生是一種理念上的創(chuàng)新，通過(guò)容器化、資源編排和微服務(wù)重構(gòu)了傳統(tǒng)的開發(fā)運(yùn)營(yíng)體系，加速業(yè)務(wù)上線和變更的速度，因而，云原生系統(tǒng)的種種優(yōu)良特性同樣會(huì)給安全廠商帶來(lái)很大的啟發(fā)，重構(gòu)安全產(chǎn)品、平臺(tái)，改變其交付、更新模式。

#云原生安全理念構(gòu)建#

為緩解傳統(tǒng)安全防護(hù)建設(shè)中存在的痛點(diǎn)，促進(jìn)云計(jì)算成為更加安全可信的信息基礎(chǔ)設(shè)施，助力云客戶更加安全的使用云計(jì)算，云原生安全理念興起，國(guó)內(nèi)外第三方組織、服務(wù)商紛紛提出以原生為核心構(gòu)建和發(fā)展云安全。

Gartner提倡以云原生思維建設(shè)云安全體系

基于云原生思維，Gartner提出的云安全體系覆蓋八方面。其中，基礎(chǔ)設(shè)施配置、身份和訪問(wèn)管理兩部分由云服務(wù)商作為基礎(chǔ)能力提供，其它六部分，包括持續(xù)的云安全態(tài)勢(shì)管理，全方位的可視化、日志、審計(jì)和評(píng)估，工作負(fù)載安全，應(yīng)用、PaaS 和 API 安全，擴(kuò)展的數(shù)據(jù)保護(hù)，云威脅檢測(cè)，客戶需基于安全產(chǎn)品實(shí)現(xiàn)。

Forrester評(píng)估公有云平臺(tái)原生安全能力

Forrester認(rèn)為公有云平臺(tái)原生安全（Public cloud platform native security, PCPNS）應(yīng)從三大類、37 個(gè)方面去衡量。從已提供的產(chǎn)品和功能，以及未來(lái)戰(zhàn)略規(guī)劃可以看出，一是考察云服務(wù)商自身的安全能力和建設(shè)情況，如數(shù)據(jù)中心安全、內(nèi)部人員等，二是云平臺(tái)具備的基礎(chǔ)安全功能，如幫助和文檔、授權(quán)和認(rèn)證等，三是為用戶提供的原生安全產(chǎn)品，如容器安全、數(shù)據(jù)安全等。

安全狗以4項(xiàng)工作防護(hù)體系建設(shè)云原生安全

（1）結(jié)合云原生技術(shù)的具體落地情況開展并落實(shí)最小權(quán)限、縱深防御工作，對(duì)于云原生環(huán)境中的各種組成部分，均可貫徹落實(shí)“安全左移”的原則，進(jìn)行安全基線配置，防范于未然。而對(duì)于微服務(wù)架構(gòu)Web應(yīng)用以及Serverless應(yīng)用的防護(hù)而言，其重點(diǎn)是應(yīng)用安全問(wèn)題。

（2）圍繞云原生應(yīng)用的生命周期來(lái)進(jìn)行DevSecOps建設(shè)，以當(dāng)前的云原生環(huán)境的關(guān)鍵技術(shù)?！癒8S + Docker”舉例進(jìn)行分析。應(yīng)該在容器的全生命周期注重“配置安全”，在項(xiàng)目構(gòu)建時(shí)注重“鏡像安全”，在項(xiàng)目部署時(shí)注重“容器準(zhǔn)入”，在容器的運(yùn)行環(huán)境注重云計(jì)算的三要素“計(jì)算”“網(wǎng)絡(luò)”以及“存儲(chǔ)”等方面的安全問(wèn)題。

（3）圍繞攻擊前、中、后的安全實(shí)施準(zhǔn)則進(jìn)行構(gòu)建，可依據(jù)安全實(shí)施準(zhǔn)則對(duì)攻擊前、中、后這三個(gè)階段開展檢測(cè)與防御工作。

（4）改造并綜合運(yùn)用現(xiàn)有云安全技術(shù)，不應(yīng)將“云原生安全”視為一個(gè)獨(dú)立的命題，為云原生環(huán)境提供更多支持的主機(jī)安全、微隔離等技術(shù)可賦能于云原生安全。

#云原生安全新型風(fēng)險(xiǎn)#

云原生架構(gòu)的安全風(fēng)險(xiǎn)包含云原生基礎(chǔ)設(shè)施自身的安全風(fēng)險(xiǎn)，以及上層應(yīng)用云原生化改造后新增和擴(kuò)大的安全風(fēng)險(xiǎn)。云原生環(huán)境面臨著嚴(yán)峻的安全風(fēng)險(xiǎn)問(wèn)題。攻擊者可能利用的重要攻擊面包括但不限于：容器安全、編排系統(tǒng)、軟件供應(yīng)鏈等。下面對(duì)重要的攻擊面安全風(fēng)險(xiǎn)問(wèn)題進(jìn)行梳理。

#云原生安全問(wèn)題梳理#

問(wèn)題1：容器安全問(wèn)題

在云原生應(yīng)用和服務(wù)平臺(tái)的構(gòu)建過(guò)程中，容器技術(shù)憑借高彈性、敏捷的特性，成為云原生應(yīng)用場(chǎng)景下的重要技術(shù)支撐，因而容器安全也是云原生安全的重要基石。

（1）容器鏡像不安全

Sysdig的報(bào)告中提到，在用戶的生產(chǎn)環(huán)境中，會(huì)將公開的鏡像倉(cāng)庫(kù)作為軟件源，如更大的容器鏡像倉(cāng)庫(kù)Docker Hub。一方面，很多開源軟件會(huì)在Docker Hub上發(fā)布容器鏡像。另一方面，開發(fā)者通常會(huì)直接下載公開倉(cāng)庫(kù)中的容器鏡像，或者基于這些基礎(chǔ)鏡像定制自己的鏡像，整個(gè)過(guò)程非常方便、高效。然而，Docker Hub上的鏡像安全并不理想，有大量的官方鏡像存在高危漏洞，如果使用了這些帶高危漏洞的鏡像，就會(huì)極大的增加容器和主機(jī)的入侵風(fēng)險(xiǎn)。目前容器鏡像的安全問(wèn)題主要有以下三點(diǎn)：

1.不安全的第三方組件

在實(shí)際的容器化應(yīng)用開發(fā)過(guò)程當(dāng)中，很少?gòu)牧汩_始構(gòu)建鏡像，而是在基礎(chǔ)鏡像之上增加自己的程序和代碼，然后統(tǒng)一打包最終的業(yè)務(wù)鏡像并上線運(yùn)行，這導(dǎo)致許多開發(fā)者根本不知道基礎(chǔ)鏡像中包含多少組件，以及包含哪些組件，包含的組件越多，可能存在的漏洞就越多。

2.惡意鏡像

公共鏡像倉(cāng)庫(kù)中可能存在第三方上傳的惡意鏡像，如果使用了這些惡意鏡像來(lái)創(chuàng)建容器后，將會(huì)影響容器和應(yīng)用程序的安全

3.敏感信息泄露

為了開發(fā)和調(diào)試的方便，開發(fā)者將敏感信息存在配置文件中，例如數(shù)據(jù)庫(kù)密碼、證書和密鑰等內(nèi)容，在構(gòu)建鏡像時(shí)，這些敏感信息跟隨配置文件一并打包進(jìn)鏡像，從而造成敏感信息泄露

（2）容器生命周期的時(shí)間短

云原生技術(shù)以其敏捷、可靠的特點(diǎn)驅(qū)動(dòng)引領(lǐng)企業(yè)的業(yè)務(wù)發(fā)展，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力。在容器環(huán)境下，一部分容器是以docker的命令啟動(dòng)和管理的，還有大量的容器是通過(guò)Kubernetes容器編排系統(tǒng)啟動(dòng)和管理，帶來(lái)了容器在構(gòu)建、部署、運(yùn)行，快速敏捷的特點(diǎn)，大量容器生命周期短于1小時(shí)，這樣一來(lái)容器的生命周期防護(hù)較傳統(tǒng)虛擬化環(huán)境發(fā)生了巨大的變化，容器的全生命周期防護(hù)存在很大變數(shù)。對(duì)防守者而言，需要采用傳統(tǒng)異常檢測(cè)和行為分析相結(jié)合的方式，來(lái)適應(yīng)短容器生命周期的場(chǎng)景。

傳統(tǒng)的異常檢測(cè)采用WAF、IDS等設(shè)備，其規(guī)則庫(kù)已經(jīng)很完善，通過(guò)這種檢測(cè)方法能夠直觀的展示出存在的威脅，在容器環(huán)境下，這種方法仍然適用。

傳統(tǒng)的異常檢測(cè)能夠快速、精確地發(fā)現(xiàn)已知威脅，但大多數(shù)未知威脅是無(wú)法通過(guò)規(guī)則庫(kù)匹配到的，因而需要通過(guò)行為分析機(jī)制來(lái)從大量模式中將異常模式分析出來(lái)。一般來(lái)說(shuō)，一段生產(chǎn)運(yùn)營(yíng)時(shí)間內(nèi)的業(yè)務(wù)模式是相對(duì)固定的，這意味著，業(yè)務(wù)行為是可以預(yù)測(cè)的，無(wú)論啟動(dòng)多少個(gè)容器，容器內(nèi)部的行為總是相似的。通過(guò)機(jī)器學(xué)習(xí)、采集進(jìn)程行為，自動(dòng)構(gòu)建出合理的基線，利用這些基線對(duì)容器內(nèi)的未知威脅進(jìn)行檢測(cè)。

（3）容器運(yùn)行時(shí)安全

容器技術(shù)帶來(lái)便利的同時(shí)，往往會(huì)忽略容器運(yùn)行時(shí)的安全加固，由于容器的生命周期短、輕量級(jí)的特性，傳統(tǒng)在宿主機(jī)或虛擬機(jī)上安裝殺毒軟件來(lái)對(duì)一個(gè)運(yùn)行一兩個(gè)進(jìn)程的容器進(jìn)行防護(hù)，顯示費(fèi)時(shí)費(fèi)力且消耗資源，但在黑客眼里容器和裸奔沒有什么區(qū)別。容器運(yùn)行時(shí)安全主要關(guān)注點(diǎn)：

1.不安全的容器應(yīng)用

與傳統(tǒng)的Web安全類似，容器環(huán)境下也會(huì)存在SQL注入、XSS、RCE、XXE等漏洞，容器在對(duì)外提供服務(wù)的同時(shí)，就有可能被攻擊者利用，從而導(dǎo)致容器被入侵

2.容器DDOS攻擊

默認(rèn)情況下，docker并不會(huì)對(duì)容器的資源使用進(jìn)行限制，默認(rèn)情況下可以無(wú)限使用CPU、內(nèi)存、硬盤資源，造成不同層面的DDOS攻擊

（4）容器微隔離

在容器環(huán)境中，與傳統(tǒng)網(wǎng)絡(luò)相比，容器的生命周期變得短了很多，其變化頻率也快很多。容器之間有著復(fù)雜的訪問(wèn)關(guān)系，尤其是當(dāng)容器數(shù)量達(dá)到一定規(guī)模以后，這種訪問(wèn)關(guān)系帶來(lái)的東西向流量，將會(huì)變得異常的龐大和復(fù)雜。因此，在容器環(huán)境中，網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)的隔離，而是變成了容器與容器之間、容器組與宿主機(jī)之間、宿主機(jī)與宿主機(jī)之間的隔離。

問(wèn)題2：云原生等保合規(guī)問(wèn)題

等級(jí)保護(hù)2.0中，針對(duì)云計(jì)算等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)。雖然編寫了云計(jì)算的安全擴(kuò)展要求，但是由于編寫周期很長(zhǎng)，編寫時(shí)主流還是虛擬化場(chǎng)景，而沒有考慮到容器化、微服務(wù)、無(wú)服務(wù)等云原生場(chǎng)景，等級(jí)保護(hù)2.0中的所有標(biāo)準(zhǔn)不能完全保證適用于目前云原生環(huán)境；

通過(guò)安全狗在云安全領(lǐng)域的經(jīng)驗(yàn)和具體實(shí)踐，對(duì)于云計(jì)算安全擴(kuò)展要求中訪問(wèn)控制的控制點(diǎn)，需要檢測(cè)主機(jī)賬號(hào)安全，設(shè)置不同賬號(hào)對(duì)不同容器的訪問(wèn)權(quán)限，保證容器在構(gòu)建、部署、運(yùn)行時(shí)訪問(wèn)控制策略隨其遷移；

對(duì)于入侵防范制的控制點(diǎn)，需要可視化管理，繪制業(yè)務(wù)拓?fù)鋱D，對(duì)主機(jī)入侵進(jìn)行全方位的防范，控制業(yè)務(wù)流量訪問(wèn)，檢測(cè)惡意代碼感染及蔓延的情況；

鏡像和快照保護(hù)的控制的，需要對(duì)鏡像和快照進(jìn)行保護(hù)，保障容器鏡像的完整性、可用性和保密性，防止敏感信息泄露。

問(wèn)題3：宿主機(jī)安全

容器與宿主機(jī)共享操作系統(tǒng)內(nèi)核，因此宿主機(jī)的配置對(duì)容器運(yùn)行的安全有著重要的影響，比如宿主機(jī)安裝了有漏洞的軟件可能會(huì)導(dǎo)致任意代碼執(zhí)行風(fēng)險(xiǎn)，端口無(wú)限制開放可能會(huì)導(dǎo)致任意用戶訪問(wèn)的風(fēng)險(xiǎn)。通過(guò)部署主機(jī)入侵監(jiān)測(cè)及安全防護(hù)系統(tǒng)，提供主機(jī)資產(chǎn)管理、主機(jī)安全加固、風(fēng)險(xiǎn)漏洞識(shí)別、防范入侵行為、問(wèn)題主機(jī)隔離等功能，各個(gè)功能之間進(jìn)行聯(lián)動(dòng)，建立采集、檢測(cè)、監(jiān)測(cè)、防御、捕獲一體化的安全閉環(huán)管理系統(tǒng)，對(duì)主機(jī)進(jìn)行全方位的安全防護(hù)，協(xié)助用戶及時(shí)定位已經(jīng)失陷的主機(jī)，響應(yīng)已知、未知威脅風(fēng)險(xiǎn)，避免內(nèi)部大面積主機(jī)安全事件的發(fā)生。

問(wèn)題4：編排系統(tǒng)問(wèn)題

編排系統(tǒng)支撐著諸多云原生應(yīng)用，如無(wú)服務(wù)、服務(wù)網(wǎng)格等，這些新型的微服務(wù)體系也同樣存在著安全問(wèn)題。例如攻擊者編寫一段代碼獲得容器的shell權(quán)限，進(jìn)而對(duì)容器網(wǎng)絡(luò)進(jìn)行滲透橫移，造成巨大損失。

Kubernetes架構(gòu)設(shè)計(jì)的復(fù)雜性，啟動(dòng)一個(gè)Pod資源需要涉及API Server、Controller、Manager、Scheduler等組件，因而每個(gè)組件自身的安全能力顯的尤為重要。API Server組件提供的認(rèn)證授權(quán)、準(zhǔn)入控制，進(jìn)行細(xì)粒度訪問(wèn)控制、Secret資源提供密鑰管理及Pod自身提供安全策略和網(wǎng)絡(luò)策略，合理使用這些機(jī)制可以有效實(shí)現(xiàn)Kubernetes的安全加固。

問(wèn)題5：軟件供應(yīng)鏈安全問(wèn)題

通常一個(gè)項(xiàng)目中會(huì)使用大量的開源軟件，根據(jù)Gartner統(tǒng)計(jì)至少有95%的企業(yè)會(huì)在關(guān)鍵IT產(chǎn)品中使用開源軟件，這些來(lái)自互聯(lián)網(wǎng)的開源軟件可能本身就帶有病毒、這些開源軟件中使用了哪些組件也不了解，導(dǎo)致當(dāng)開源軟件中存在0day或Nday漏洞，我們根本無(wú)法獲悉。

開源軟件漏洞無(wú)法根治，容器自身的安全問(wèn)題可能會(huì)給開發(fā)階段帶的各個(gè)過(guò)程帶來(lái)風(fēng)險(xiǎn)，我們能做的是根據(jù)SDL原則，從開發(fā)階段就開始對(duì)軟件安全性進(jìn)行合理的評(píng)估和控制，來(lái)提升整個(gè)供應(yīng)鏈的質(zhì)量。

問(wèn)題6：安全運(yùn)營(yíng)成本問(wèn)題

雖然容器的生命周期很短，但是包羅萬(wàn)象。對(duì)容器的全生命周期防護(hù)時(shí)，會(huì)對(duì)容器構(gòu)建、部署、運(yùn)行時(shí)進(jìn)行異常檢測(cè)和安全防護(hù)，隨之而來(lái)的就是高成本的投入，對(duì)成千上萬(wàn)容器中的進(jìn)程行為進(jìn)程檢測(cè)和分析，會(huì)消耗宿主機(jī)處理器和內(nèi)存資源，日志傳輸會(huì)占用網(wǎng)絡(luò)帶寬，行為檢測(cè)會(huì)消耗計(jì)算資源，當(dāng)環(huán)境中容器數(shù)量巨大時(shí)，對(duì)應(yīng)的安全運(yùn)營(yíng)成本就會(huì)急劇增加。

問(wèn)題7：如何提升安全防護(hù)效果

關(guān)于安全運(yùn)營(yíng)成本問(wèn)題中，我們了解到容器安全運(yùn)營(yíng)成本較高，我們?cè)撊绾谓档桶踩\(yùn)營(yíng)成本的同時(shí)，提升安全防護(hù)效果呢？這就引入一個(gè)業(yè)界比較流行的詞“安全左移”，將軟件生命周期從左到右展開，即開發(fā)、測(cè)試、集成、部署、運(yùn)行，安全左移的含義就是將安全防護(hù)從傳統(tǒng)運(yùn)營(yíng)轉(zhuǎn)向開發(fā)側(cè)，開發(fā)側(cè)主要設(shè)計(jì)開發(fā)軟件、軟件供應(yīng)鏈安全和鏡像安全。

因此，想要降低云原生場(chǎng)景下的安全運(yùn)營(yíng)成本，提升運(yùn)營(yíng)效率，那么首先就要進(jìn)行“安全左移”，也就是從運(yùn)營(yíng)安全轉(zhuǎn)向開發(fā)安全，主要考慮開發(fā)安全、軟件供應(yīng)鏈安全、鏡像安全和配置核查：

開發(fā)安全

需要團(tuán)隊(duì)關(guān)注代碼漏洞，比如使用進(jìn)行代碼審計(jì)，找到因缺少安全意識(shí)造成的漏洞和因邏輯問(wèn)題造成的代碼邏輯漏洞。

供應(yīng)鏈安全

可以使用代碼檢查工具進(jìn)行持續(xù)性的安全評(píng)估。

鏡像安全

使用鏡像漏洞掃描工具持續(xù)對(duì)自由倉(cāng)庫(kù)中的鏡像進(jìn)行持續(xù)評(píng)估，對(duì)存在風(fēng)險(xiǎn)的鏡像進(jìn)行及時(shí)更新。

配置核查

核查包括暴露面、宿主機(jī)加固、資產(chǎn)管理等，來(lái)提升攻擊者利用漏洞的難度。

問(wèn)題8：安全配置和密鑰憑證管理問(wèn)題

安全配置不規(guī)范、密鑰憑證不理想也是云原生的一大風(fēng)險(xiǎn)點(diǎn)。云原生應(yīng)用會(huì)存在大量與中間件、后端服務(wù)的交互，為了簡(jiǎn)便，很多開發(fā)者將訪問(wèn)憑證、密鑰文件直接存放在代碼中，或者將一些線上資源的訪問(wèn)憑證設(shè)置為弱口令，導(dǎo)致攻擊者很容易獲得訪問(wèn)敏感數(shù)據(jù)的權(quán)限。

#云原生安全未來(lái)展望#

從日益新增的新型攻擊威脅來(lái)看，云原生的安全將成為今后網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵。伴隨著ATT&CK的不斷積累和相關(guān)技術(shù)的日益完善，ATT&CK也已增加了容器矩陣的內(nèi)容。ATT&CK是對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)（Adversarial Tactics, Techniques, and Common Knowledge）的縮寫，是一個(gè)攻擊行為知識(shí)庫(kù)和威脅建模模型，它包含眾多威脅組織及其使用的工具和攻擊技術(shù)。這一開源的對(duì)抗戰(zhàn)術(shù)和技術(shù)的知識(shí)庫(kù)已經(jīng)對(duì)安全行業(yè)產(chǎn)生了廣泛而深刻的影響。

云原生安全的備受關(guān)注，使ATTACK Matrix for Container on Cloud的出現(xiàn)恰合時(shí)宜。ATT&CK讓我們從行為的視角來(lái)看待攻擊者和防御措施，讓相對(duì)抽象的容器攻擊技術(shù)和工具變得有跡可循。結(jié)合ATT&CK框架進(jìn)行模擬紅藍(lán)對(duì)抗，評(píng)估企業(yè)目前的安全能力，對(duì)提升企業(yè)安全防護(hù)能力是很好的參考。

等保保護(hù)的技術(shù)要求不包括哪個(gè)維度

等保保護(hù)一般包括四個(gè)維度，也稱四個(gè)等級(jí)，包括基礎(chǔ)級(jí)、一胡爛胡般級(jí)、歷凱重要級(jí)和核心級(jí)。等保保護(hù)的技術(shù)要求主要是指在這四個(gè)等級(jí)內(nèi)對(duì)信息系統(tǒng)安全等級(jí)的要求和限制。等保保護(hù)的技術(shù)要求一般包括以下幾個(gè)方面：

認(rèn)證與授權(quán)技術(shù)

密碼與加密技術(shù)

網(wǎng)絡(luò)安全技術(shù)

操作系統(tǒng)安全技術(shù)

數(shù)據(jù)庫(kù)安全技術(shù)

應(yīng)用安全技術(shù)

安全審計(jì)與檢測(cè)技術(shù)

等保保護(hù)的技術(shù)要求并不包括特定的行業(yè)應(yīng)用，如金融、醫(yī)療、電子商務(wù)等，這些應(yīng)用也需要具有相褲攔應(yīng)的安全保障。因此，等保保護(hù)的技術(shù)要求還需要根據(jù)行業(yè)特點(diǎn)和系統(tǒng)應(yīng)用場(chǎng)景進(jìn)行相應(yīng)地定制和補(bǔ)充。

關(guān)于不是數(shù)據(jù)庫(kù)安全技術(shù)的介紹到此就結(jié)束了，不知道你從中找到你需要的信息了嗎 ？如果你還想了解更多這方面的信息，記得收藏關(guān)注本站。

香港服務(wù)器選創(chuàng)新互聯(lián)，2H2G首月10元開通。
創(chuàng)新互聯(lián)（www.cdcxhl.com）互聯(lián)網(wǎng)服務(wù)提供商,擁有超過(guò)10年的服務(wù)器租用、服務(wù)器托管、云服務(wù)器、虛擬主機(jī)、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗(yàn)。專業(yè)提供云主機(jī)、虛擬主機(jī)、域名注冊(cè)、VPS主機(jī)、云服務(wù)器、香港云服務(wù)器、免備案服務(wù)器等。

分享文章：非數(shù)據(jù)庫(kù)安全技術(shù)：保障數(shù)據(jù)安全的新方式(不是數(shù)據(jù)庫(kù)安全技術(shù))
URL分享：http://fisionsoft.com.cn/article/dpdgiio.html