云原生軟件供應(yīng)鏈安全演進(jìn)_第1頁
云原生軟件供應(yīng)鏈安全演進(jìn)_第2頁
云原生軟件供應(yīng)鏈安全演進(jìn)_第3頁
云原生軟件供應(yīng)鏈安全演進(jìn)_第4頁
云原生軟件供應(yīng)鏈安全演進(jìn)_第5頁
已閱讀5頁,還剩19頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、云原生軟件供應(yīng)鏈安全演進(jìn)技術(shù)創(chuàng)新,變革未來云原生軟件供應(yīng)鏈社區(qū)發(fā)展廠商實(shí)踐阿里云演進(jìn)軟件供應(yīng)鏈軟件 開發(fā)編譯測試分發(fā)部署驅(qū)動(dòng)流水線將編寫的代碼最終發(fā)布到生產(chǎn)環(huán)境,為終端用戶提供服務(wù)軟件供應(yīng)鏈安全軟件 開發(fā)編譯測試分發(fā)部署庫依賴軟件上游倉庫安全也是軟件供應(yīng)鏈中非常重要的組成,不光體現(xiàn)在對(duì)軟件本身的安全增強(qiáng),也體現(xiàn)在對(duì)供應(yīng)鏈本身的安全增強(qiáng)云原生時(shí)代的軟件供應(yīng)鏈新制品云原生應(yīng)用制品新環(huán)境All in One、易調(diào)整新發(fā)布迭代簡單、頻率更快新體系云原生、立體化Cloud Native LandscapeSecurity&Compliance供應(yīng)鏈角色分工更新安全元數(shù)據(jù)管理鏡像安全部署安全策略管控環(huán)境安

2、全廠商實(shí)踐(Shopify-SecuringtheDeployPipeline分享)123廠商實(shí)踐Voucher:按照指定驗(yàn)證條目對(duì)容器鏡像進(jìn)行驗(yàn)證并生成對(duì)應(yīng)元數(shù)據(jù)信息 /Shopify/voucherGrafeas:存放容器鏡像元數(shù)據(jù),包含鏡像的簽名信息、漏洞信息及其他信息 /grafeas/grafeasKritis:根據(jù)用戶定制的部署安全管控策略、鏡像的元數(shù)據(jù)控制集群是否能夠部署具體應(yīng)用(容器鏡像),作為 保險(xiǎn)措施,Kritis 支持緊急情況下 Break Glass,可在事后通過審計(jì)來確認(rèn)操作是否符合安全策略 /grafeas/kritis廠商實(shí)踐12廠商實(shí)踐Container Ana

3、lysis:對(duì)標(biāo) Grafeas + Voucher,生產(chǎn)并存放了容器鏡像漏洞、簽名等元數(shù)據(jù)信息,Container Analysis API 和 Grafeas API 基本一致Binary Authorization:管理 K8s 集群部署安全管控策略,如禁止未加簽鏡像部署至集群,集群中則支持用戶 使用 Kritis 來執(zhí)行安全管控策略阿里云演進(jìn)源鏈物管理和分發(fā)安全交付安全使用安全(2018)(2019)(2020)管理和分發(fā)安全(2018)標(biāo)準(zhǔn)化管理及分發(fā)標(biāo)準(zhǔn)化統(tǒng)一管理、分發(fā)不同類型的云原生制品制品管理安全加固制品存儲(chǔ)隔離BYOK 存儲(chǔ)加密等加固手段制品分發(fā)安全加固物理網(wǎng)絡(luò)訪問控制細(xì)粒度

4、業(yè)務(wù)權(quán)限控制臨時(shí) Token 機(jī)制阿里云容器鏡像服務(wù)(ACR) 企業(yè)版管理和分發(fā)安全(2018)首先保障軟件制品的管理和分發(fā)安全,從源頭減少制品被污染和被安全攻擊阿里云演進(jìn)源鏈物管理和分發(fā)安全交付安全使用安全(2018)(2019)(2020)云原生應(yīng)用交付鏈(2019)原生安全鏈路執(zhí)行可追蹤、可觀測前置安全管控策略立體式全球化協(xié)同交付可定制交付環(huán)節(jié)支持自定義規(guī)劃兼容社區(qū)流程定義語義云原生應(yīng)用交付鏈(2019)云原生應(yīng)用交付流程的安全加固阿里云演進(jìn)源鏈物管理和分發(fā)安全交付安全使用安全(2018)(2019)(2020)元數(shù)據(jù)和二進(jìn)制授權(quán)(2020)元數(shù)據(jù)服務(wù)提供制品的多類型元數(shù)據(jù)信息二進(jìn)制授權(quán)指定制品使用策略典型場景用戶定義未經(jīng)加簽的鏡像禁止部署在 K8s 集群中用戶為鏡像加簽生成了簽名元數(shù)據(jù)二進(jìn)制鑒權(quán)K8s 集群收到了部署鏡像的請(qǐng)求,通過元數(shù)據(jù)服務(wù)獲取簽名信息進(jìn)行驗(yàn)證K8s 集群根據(jù)驗(yàn)證結(jié)果決定是否要繼續(xù)部署鏡像Grafeas 解析Grafeas定義了一組制品元數(shù)據(jù) APIAPI 用來管理軟件資源的元數(shù)據(jù)元數(shù)據(jù)關(guān)于軟件資源的全類型信息 構(gòu)建、漏洞、簽名、交付等元數(shù)據(jù)可以用于審計(jì)軟件供應(yīng)鏈軟件資源云原生制品:容器鏡像、Chart 等 傳統(tǒng)制品:VM 鏡像、JAR 包等Grafeas 模型Grafeas 設(shè)計(jì)/grafeas/graf

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論