云原生應(yīng)用保護(hù)平臺(tái)建設(shè)指南 2024 12

目標(biāo)任務(wù)的關(guān)鍵年。在此背景下，光明網(wǎng)網(wǎng)絡(luò)安全頻道攜手中國信息通信研究院云計(jì)算與大數(shù)據(jù)研究所、《信息安全研究》，在浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院、《中國金融電腦》、青藤云安全等單位支持下，聯(lián)合推出《安全洞察·大咖說》云原生安全專題訪談活動(dòng)，邀請(qǐng)來自政府、金融、通信、交通、能源、制造、互聯(lián)網(wǎng)等行業(yè)相關(guān)負(fù)責(zé)人，分享數(shù)字化轉(zhuǎn)型持續(xù)深化路徑、新技術(shù)應(yīng)用安全風(fēng)險(xiǎn)防范策略等內(nèi)容；同時(shí)，聚焦前沿趨勢及行業(yè)實(shí)踐調(diào)研，撰寫發(fā)布《云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）建設(shè)指南（2024）》，旨在積極發(fā)揮行業(yè)示范引領(lǐng)作用，降低重復(fù)試錯(cuò)成本，為各行業(yè)用戶提升安全防護(hù)策略提供借鑒參考。 隨著云計(jì)算技術(shù)的飛速發(fā)展，云原生應(yīng)用已成為推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型的核心力量。然而，隨著企業(yè)架構(gòu)向云原生的遷移，傳統(tǒng)的安全防護(hù)措施面臨著前所未有的挑戰(zhàn)。云原生環(huán)境的動(dòng)態(tài)性、分布式特征以及對(duì)微服務(wù)架構(gòu)的依賴，使得安全威脅更加隱蔽和復(fù)雜。為了應(yīng)對(duì)這些挑戰(zhàn)，云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）應(yīng)運(yùn)而生，它提供了一種全新的安臨的挑戰(zhàn)和機(jī)遇。指南深入解析了開發(fā)安全、基礎(chǔ)設(shè)施安全和運(yùn)行時(shí)安外，結(jié)合運(yùn)營商、政務(wù)、金融、制造業(yè)等行業(yè)的實(shí)踐案例，該指南為各趨勢。該指南為企業(yè)構(gòu)建云原生安全體系提供了寶貴的參考，幫助其應(yīng)通過本報(bào)告的深入分析和實(shí)踐指導(dǎo)，企業(yè)能夠構(gòu)建起一個(gè)強(qiáng)大的云原生安全體系，有效應(yīng)對(duì)云環(huán)境下的復(fù)雜安全挑戰(zhàn)，確保業(yè)務(wù)的連續(xù)性原生安全體系，有效應(yīng)對(duì)云環(huán)境下的復(fù)雜安全挑戰(zhàn)，確保業(yè)務(wù)的連續(xù)性和數(shù)據(jù)的安全性。希望本報(bào)告能為企業(yè)的云原生安全建設(shè)提供寶貴的參 - 01 02 脅，提升了安全運(yùn)營的效率。傳統(tǒng)的安全工具通常需要大量手動(dòng)操作和管理，增加了企業(yè)的運(yùn)維負(fù)擔(dān)。03 表1GartnerCNAPP市場預(yù)測04 05 與“無代理”方案的不足，實(shí)現(xiàn)更高效的安全監(jiān)測與防護(hù)。此外，用戶的體驗(yàn)也不容忽視，需要持續(xù)優(yōu)11眾所周知CNAPP所能覆蓋的資產(chǎn)范圍比較廣泛，數(shù)據(jù)安全、應(yīng)用安全、應(yīng)急響應(yīng)、安全架構(gòu)等不同領(lǐng)域的團(tuán)隊(duì)。每個(gè)團(tuán)隊(duì)都擁有解決部分云風(fēng)險(xiǎn)的責(zé)任，但在產(chǎn)品運(yùn)營和產(chǎn)品規(guī)劃上，團(tuán)隊(duì)之間如果缺少緊密地協(xié)作，與明確的職責(zé)劃分，那么當(dāng)出現(xiàn)安全風(fēng)22許多組織已部署了各類安全產(chǎn)品，以解決從代碼、到云上的安全性與合規(guī)性。比如運(yùn)行時(shí)保護(hù)（CWP端點(diǎn)檢測和響應(yīng)（EDR云安全并且也要考慮避免部署完整CNAPP所帶來的運(yùn)格把控，防止大量告警使高風(fēng)險(xiǎn)問題被海量告警淹沒，造成信息資產(chǎn)06 33的配置集成以及使用體驗(yàn)，都是需要設(shè)計(jì)優(yōu)化的地方。如果同一類型的告警需要針對(duì)不同云單獨(dú)開啟或配置，那么會(huì)大大增加安全運(yùn)營人員的治理成本。而對(duì)于多云環(huán)境的挑戰(zhàn)不僅僅在于產(chǎn)品的使用上，不和數(shù)據(jù)上下文也是需要非常投入精力的，這對(duì)于全面理解和解決風(fēng)險(xiǎn)中運(yùn)行。SaaS服務(wù)部署的產(chǎn)品則要額外考慮資產(chǎn)的數(shù)據(jù)安全，是否會(huì)由于部署CNAPP產(chǎn)品產(chǎn)生更多的暴露面，最優(yōu)數(shù)據(jù)掃描位置選擇，強(qiáng)制用戶在公共云環(huán)境中掃描，增加了計(jì)算成本在的攻擊向量和新興威脅，從而提前采取防御措施，增強(qiáng)安全態(tài)勢感知。此類預(yù)防性保護(hù)措施有助于降07 云原生應(yīng)用開發(fā)過程中往往面臨著諸多安全挑戰(zhàn)，這些挑戰(zhàn)包括源代碼的機(jī)密性、完整性和可用性核心資產(chǎn)保護(hù)：源代碼是軟件開發(fā)公司的核心資產(chǎn)，包含了技術(shù)細(xì)節(jié)、創(chuàng)意設(shè)計(jì)、商業(yè)計(jì)劃等敏感避免經(jīng)濟(jì)損失：源代碼泄露可能導(dǎo)致被其他公司惡意抄襲，開發(fā)類似產(chǎn)品，從而給公司帶來巨大的對(duì)源代碼進(jìn)行加密，確保其在存儲(chǔ)和傳輸過程中的安全性全磁盤加密指的是對(duì)整個(gè)開發(fā)環(huán)境或存儲(chǔ)設(shè)備其中，透明加密技術(shù)，又稱自動(dòng)加密技術(shù)或無感加密，是一種在數(shù)據(jù)保存或傳輸過程中自動(dòng)對(duì)數(shù)據(jù)進(jìn)行加密，而在用戶訪問時(shí)自動(dòng)解密的技術(shù)。透明加密技術(shù)通常與操作系統(tǒng)、文件系統(tǒng)或應(yīng)用程序緊密結(jié)合，其核心思想是將加密和解密過程隱藏在操作系統(tǒng)內(nèi)部，使得用戶無感知。具體來說，透明加密軟件會(huì)在操作系統(tǒng)內(nèi)核中嵌入一個(gè)虛擬加密層，這個(gè)層會(huì)將用戶的文件系統(tǒng)訪問請(qǐng)求攔截下來，然后對(duì)文件進(jìn)行加密或解密操作。加密過程：當(dāng)數(shù)據(jù)被寫入磁盤、通過網(wǎng)絡(luò)發(fā)送或通過特定應(yīng)用程序處理時(shí)，加密引擎會(huì)自動(dòng)識(shí)別并加密這些數(shù)據(jù)。解密過程：當(dāng)用戶需要訪問這些數(shù)據(jù)時(shí)，加密引擎會(huì)再次介入，自08 全磁盤加密技術(shù)，又稱全卷加密或全驅(qū)動(dòng)器加密，是一種在操作系統(tǒng)級(jí)別對(duì)磁盤括操作系統(tǒng)本身、用戶文件、系統(tǒng)文件等）進(jìn)行加密的技術(shù)。其目的是防止未授權(quán)的硬盤、非法訪問等）導(dǎo)致的數(shù)據(jù)泄露。即使磁盤被非法獲取，未經(jīng)授權(quán)的訪問者也無據(jù)。全磁盤加密技術(shù)通常通過以下步驟實(shí)現(xiàn)：首先，進(jìn)行加密密鑰的生成與管理，由或者通過其他安全方式進(jìn)行管理和保護(hù)。加密過程中，當(dāng)磁盤寫入數(shù)據(jù)時(shí)，加密引擎據(jù)，并使用加密密鑰對(duì)數(shù)據(jù)進(jìn)行加密。加密后的數(shù)據(jù)以密文形式存儲(chǔ)在磁盤上。在解要讀取磁盤上的數(shù)據(jù)時(shí)，加密引擎會(huì)自動(dòng)識(shí)別并解密這些數(shù)據(jù)。解密后的數(shù)據(jù)以明文訪問控制技術(shù)包括細(xì)粒度權(quán)限管理和身份認(rèn)證與授權(quán)，其中細(xì)粒度權(quán)限管理指的是根據(jù)員工的角色和職責(zé)，設(shè)置不同的訪問權(quán)限，確保只有授權(quán)人員才能訪問源代碼。身份認(rèn)證與授權(quán)指的是通過強(qiáng)身份權(quán)限進(jìn)行細(xì)致劃分的授權(quán)方式。它允許對(duì)單個(gè)數(shù)據(jù)項(xiàng)或操作進(jìn)行權(quán)限控制，而不是像粗粒度權(quán)限管理那同時(shí)確保合法用戶能夠高效地使用所需資源。細(xì)粒度權(quán)限管理技術(shù)通常基于以下原則進(jìn)行工作：一是角色與權(quán)限定義：即定義不同的用戶角色，并為每個(gè)角色分配相應(yīng)的權(quán)限。權(quán)限可以具體到某個(gè)數(shù)據(jù)項(xiàng)、某個(gè)操作或某個(gè)時(shí)間段等。二是訪問控制策略，即制定詳細(xì)的訪問控制策略，明確哪些用戶或角色可以權(quán)限驗(yàn)證與授權(quán)是指當(dāng)用戶嘗試訪問資源或執(zhí)行操作時(shí)，系統(tǒng)會(huì)進(jìn)行權(quán)限驗(yàn)證。根據(jù)用戶的身份、否則，拒絕訪問并可能記錄日志或觸發(fā)警報(bào)。身份認(rèn)證是確認(rèn)用戶身份的過程，它要求用戶提供身份證明（如用戶名和密碼、生物特征等系統(tǒng)通過驗(yàn)證這些證明來確定用戶是否有權(quán)訪問系統(tǒng)或資源。常安全審計(jì)主要指的是審計(jì)日志，即記錄所有對(duì)源代碼的訪問和操09 追溯和審查。審計(jì)日志是一種記錄系統(tǒng)或應(yīng)用活動(dòng)詳細(xì)信息的日志，它記錄了用戶操作、系統(tǒng)事件、錯(cuò)誤信息等關(guān)鍵數(shù)據(jù)，用于后續(xù)的安全分析、問題排查和合規(guī)性檢查。審計(jì)日志通常包含以下內(nèi)容：一是三是時(shí)間戳：記錄事件發(fā)生的確切時(shí)間，以便進(jìn)行時(shí)發(fā)起者IP地址，有助于追蹤攻擊者。五是詳細(xì)操作信息：如操作的具體內(nèi)容、參數(shù)、結(jié)果等，以便進(jìn)代碼審查與安全掃描是源碼安全的核心部分，主要包括靜態(tài)代碼分析，指的是在代碼編寫階段，通過工具自動(dòng)檢查代碼中的安全漏洞和潛在錯(cuò)誤。靜態(tài)代碼分析能夠在不執(zhí)行代碼的情況下，通過檢查源在編譯和運(yùn)行代碼之前就發(fā)現(xiàn)潛在的問題，如語法錯(cuò)誤、邏輯錯(cuò)誤、安全漏洞等，減少后期調(diào)試和修復(fù)提高代碼的可讀性和可維護(hù)性。還能夠增強(qiáng)安全性，識(shí)別和修復(fù)代碼中的安全漏洞和潛在的安全風(fēng)險(xiǎn)，詞法分析：將源代碼分解為一系列的標(biāo)記（token如變量名、關(guān)鍵字、運(yùn)算符等，建立代碼的基語法分析：將詞法分析器生成的標(biāo)記按照語法規(guī)則數(shù)據(jù)流分析：通過分析代碼中的數(shù)據(jù)流和變量的使用情況，來檢測未初始化的變量、空指針引用、源碼安全中的物理安全措施技術(shù)是一系列旨在通過物理手段保護(hù)源代碼不被非法訪問、竊取或破壞的技術(shù)和策略。這些措施主要關(guān)注于硬件、網(wǎng)絡(luò)環(huán)境和物理空間的安全管理。物理隔離是最直接且有效的防止源代碼泄露的手段之一。企業(yè)應(yīng)將開發(fā)環(huán)境與外部網(wǎng)絡(luò)物理隔離，使用專用的開發(fā)網(wǎng)絡(luò)，并禁止 企業(yè)應(yīng)建立完善的備份與恢復(fù)策略。這包括定期備份源代碼、將備份數(shù)據(jù)存儲(chǔ)在安全的物理位置、以及制定詳細(xì)的恢復(fù)計(jì)劃等。在發(fā)生意外情況時(shí)，企業(yè)能夠迅速恢復(fù)源代碼，減少損失。網(wǎng)絡(luò)安全措施則是部署和運(yùn)行的各個(gè)階段都可能面臨安全風(fēng)險(xiǎn)。因此，確保制品的安全性是保障云原生應(yīng)用整體安全性的越來越多的企業(yè)采用容器化應(yīng)用來加速軟件開發(fā)和部署。然而，容器鏡像作為創(chuàng)建容器的模板，其容器鏡像掃描技術(shù)主要基于以下原理進(jìn)行：ooo容器鏡像掃描的過程通常包括以下幾個(gè)步驟：ooo結(jié)果生成：掃描完成后，掃描工具會(huì)生成詳細(xì)的掃描報(bào)告，列出鏡像中存在的安全漏洞和惡意文件 容器鏡像掃描技術(shù)具有以下特點(diǎn)和優(yōu)勢：ooo軟件供應(yīng)鏈安全旨在確保軟件產(chǎn)品在整個(gè)生命周期內(nèi)都是可信的、安全的。這包括對(duì)軟件開發(fā)過程中的代碼審查、漏洞掃描、組件來源管理等，以及對(duì)軟件部署和運(yùn)營過程中的安全加固、風(fēng)險(xiǎn)評(píng)估和監(jiān)控等措施。軟件供應(yīng)鏈安全是保障企業(yè)信息安全和業(yè)務(wù)連續(xù)性的重要環(huán)節(jié)。近年來，由于軟件供應(yīng)鏈安全問題導(dǎo)致的安全事件頻發(fā)，給企業(yè)和個(gè)人帶來了巨大的經(jīng)濟(jì)損失和聲譽(yù)損失。同時(shí)，軟件供應(yīng)鏈安全也是軟件供應(yīng)鏈安全面臨的挑戰(zhàn)多種多樣，主要包括：一是惡意代碼注入：攻擊者通過在軟件供應(yīng)鏈中注入惡意代碼，實(shí)現(xiàn)對(duì)軟件的篡改和破壞，從而達(dá)到竊取數(shù)據(jù)、破壞系統(tǒng)等目的。二是組件漏洞：軟件組件中存在的漏洞往往會(huì)被攻擊者利用，導(dǎo)致軟件產(chǎn)品的安全性受到威脅。三是非法軟件組件：軟件產(chǎn)11代碼審查與漏洞掃描主要包括：靜態(tài)應(yīng)用程序安全測試（SAST即接口等來檢查程序的正確性。動(dòng)態(tài)應(yīng)用程序安全測試（DAST即通過模擬攻擊來測試應(yīng)用程序的安全性，能夠發(fā)現(xiàn)運(yùn)行時(shí)漏洞。交互式 22組件來源管理指的一是對(duì)軟件組件進(jìn)行嚴(yán)格的來源審查，確保組件的合法性和安全性。二是使用可信的組件庫和版本控制系統(tǒng)，避免使用33安全加固與風(fēng)險(xiǎn)評(píng)估一是指對(duì)軟件進(jìn)行安全加固，如加固代碼、限制權(quán)限等，而是指定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別潛在的安全威脅，并采取相44監(jiān)控和應(yīng)急響應(yīng)首先要建立完善的監(jiān)控體系，對(duì)軟件供應(yīng)鏈中的各個(gè)環(huán)節(jié)進(jìn)行實(shí)時(shí)監(jiān)控。其次，是需要制定應(yīng)急響應(yīng)計(jì)劃，一旦發(fā)生安全55利用自動(dòng)化安全工具進(jìn)行軟件供應(yīng)鏈安全防御，如自動(dòng)化代碼審查工具、自動(dòng)化漏洞掃描工具等。這些工具能夠顯著提高安全檢測的效率云基礎(chǔ)設(shè)施權(quán)限管理（CloudInfrastructureEntitlementManagement,CIEM）是確保云環(huán)境中訪問權(quán)限和身份驗(yàn)證得到有效控制的關(guān)鍵組件，主要用于管理和控制云平臺(tái)的使用和訪問權(quán)限。通過對(duì)云平臺(tái)進(jìn)行身份權(quán)限管理，檢測用戶賬號(hào)是否存在過度授權(quán)、密碼過期等問題，幫助管理人員及時(shí)發(fā)現(xiàn)配置錯(cuò)誤、影子管理帳戶以及人員、應(yīng)用程序和機(jī)器身份的過度授權(quán)相關(guān)的風(fēng)險(xiǎn)。這有助于云安全團(tuán)隊(duì) CIEMCIEM能夠使用機(jī)器學(xué)習(xí)和分析技術(shù)來檢測帳戶權(quán)限中的異常事件，如特權(quán)累積、休眠異常的實(shí)時(shí)警報(bào)和響應(yīng)：當(dāng)檢測到潛在的安CIEM能夠檢測、自動(dòng)調(diào)整并持續(xù)監(jiān)視云環(huán)境中所有標(biāo)識(shí)的權(quán)限，確保它們符合最小特跨云權(quán)限發(fā)現(xiàn)：提供關(guān)鍵云平臺(tái)的精細(xì)和標(biāo)準(zhǔn)化指標(biāo)，幫助組織了解哪些權(quán)限被授予了權(quán)限優(yōu)化：通過實(shí)施嚴(yán)格的訪問控制，優(yōu)化隊(duì)能夠有效地監(jiān)控云安全狀況和用戶對(duì)云資CIEMCIEM解決方案持續(xù)監(jiān)視訪問活動(dòng)，以識(shí)別過時(shí)的標(biāo)識(shí)與范圍合適的活動(dòng)權(quán)限，從而幫1122CIEM在云環(huán)境中實(shí)施最小特權(quán)原則，確保用戶只能訪問其完成工作所必需的資源。這有助于減少潛在的安全風(fēng)險(xiǎn)，防止惡意用戶或內(nèi)部 IaC是一種將基礎(chǔ)設(shè)施、工具和服務(wù)以及對(duì)這些基礎(chǔ)設(shè)施的管理作為軟件系統(tǒng)來處理的方法。它采用軟件工程實(shí)踐，以可重復(fù)的、可靠的方式來設(shè)計(jì)、改變和部署軟件環(huán)境。通過代碼來管理和配置基礎(chǔ) ②Docker?le安全掃描ooo權(quán)限與用戶管理：1.確保在Docker?le中設(shè)置了適當(dāng)?shù)挠脩魴?quán)限，避免以root用戶運(yùn)行容器 Kubernetes是一個(gè)開源的編排管理平臺(tái)，用于支持容器化工作負(fù)載和應(yīng)用的自動(dòng)化部署、擴(kuò)展和Kubernetes主體最小權(quán)限Kubernetes對(duì)象。RBAC是一種基于授予用戶要由主體訪問的Kubernetes對(duì)象。三是行為，即主體對(duì)資源的不同類型的訪問行為，例如創(chuàng)建、通過RBAC模式和最小權(quán)限原則，為用戶或系統(tǒng)組件提供執(zhí)行其工作職責(zé)所需的最小權(quán)限等Kubernetes工作負(fù)載最小權(quán)限ooo 訪問系統(tǒng)資源的最小權(quán)限ooo一個(gè)Pod或容器可以根據(jù)配置訪問工作節(jié)點(diǎn)上不同類型的資源，該訪問權(quán)限訪問網(wǎng)絡(luò)資源的最小權(quán)限ooo在默認(rèn)情況下，同一Kubernetes集群內(nèi)的任何Pod都可以與其他Pod進(jìn)行連接，如果Kubernetes集群外沒有配置代理規(guī)則或防火墻規(guī)則，那Pod可能會(huì)訪問互聯(lián)網(wǎng)資源。Kubernetes的開放性模糊了容器服務(wù)的安全邊界，但是不能因此忽視網(wǎng)絡(luò)資源的安全性可以通過限制網(wǎng)絡(luò)訪問范圍、使用隔離的網(wǎng)絡(luò)環(huán)境、實(shí)施訪問控制、加密敏感查和更新權(quán)限等措施，可以確保容器應(yīng)用只能訪問其執(zhí)行任務(wù)所需的最少網(wǎng)絡(luò)資源。同時(shí)，也訪問應(yīng)用資源的最小權(quán)限如果工作負(fù)載所訪問的應(yīng)用程序支持多個(gè)具有不同權(quán)限級(jí)別的用戶，最好檢查一下授載的用戶權(quán)限是否有必要。例如，一個(gè)負(fù)責(zé)審計(jì)的用戶不需要任何寫入的權(quán)限，應(yīng)用程序開認(rèn)證和授權(quán)在保護(hù)應(yīng)用程序的安全性方面發(fā)揮著重要作用，認(rèn)證和授權(quán)經(jīng)?；Q使用，但也存在很大不同。認(rèn)證是為了驗(yàn)證用戶的身份，一旦身份被驗(yàn)證，授權(quán)就被用來檢查該用戶是否有權(quán)限執(zhí)行所需的行動(dòng)。認(rèn)證通過使用一些用戶知道的信息來驗(yàn)證其身份，最簡單的驗(yàn)證方式就是通過用戶名和密碼進(jìn)行驗(yàn)證。一旦應(yīng)用程序驗(yàn)證了用戶的身份，就會(huì)檢查該用戶可以訪問資源的訪問控制列表。此時(shí)，將用 版本默認(rèn)允許匿名訪問，以支持RBAC和ABAC授權(quán)模式的匿名和未認(rèn)證用戶的匿名訪問。在API通過--client-ca-?le=<path>傳到服務(wù)器，kube-apiserver使用證書中的通用名稱屬性通常被用作請(qǐng)求的用戶名，而組織屬性則被用靜態(tài)令牌是在開發(fā)和調(diào)試環(huán)境中一種常用的認(rèn)證模式，但不適用于生基本認(rèn)證是靜態(tài)令牌的一種變體，多年來一直作為Web服務(wù)的一種Kubernetes中使用的默認(rèn)認(rèn)證方式，它們被動(dòng)態(tài)地管理，作為密鑰服務(wù)賬戶認(rèn)證功能可以自動(dòng)啟用，用來驗(yàn)證不記名令牌。簽名密鑰用 tion-webhook-con?g-?le=<path>來傳遞給APIServer。集群管理員和開發(fā)人員可以使用用戶模擬來調(diào)試新集群管理員和開發(fā)人員可以使用用戶模擬來調(diào)試新策略。要使用用戶模擬策略，一個(gè)用戶必須被授予模擬策略的權(quán)限。過認(rèn)證并有模擬的權(quán)限，如果有的話，kubectl就可以使用--as和授權(quán)決定了請(qǐng)求是被允許還是被拒絕。一旦請(qǐng)求的來源被識(shí)別，主動(dòng)授權(quán)模塊就會(huì)根據(jù)用戶的授權(quán)策略來評(píng)估請(qǐng)求的屬性。對(duì)照用戶的授權(quán)策略、評(píng)估請(qǐng)求的屬性，以允許或拒絕請(qǐng)求。每個(gè)請(qǐng)求依次通認(rèn)情況下，幾乎沒有網(wǎng)絡(luò)策略通過隔離資源來防止集群失陷時(shí)的橫向移動(dòng)或權(quán)限提升。網(wǎng)絡(luò)配置及安全 11網(wǎng)絡(luò)設(shè)置等。通過與云平臺(tái)的API集成，實(shí)時(shí)獲取最新的配置信息，并進(jìn)行全面的審計(jì)。審計(jì)結(jié)果將用于識(shí)別潛在的配置錯(cuò)誤、不合規(guī)項(xiàng)22據(jù)這些標(biāo)準(zhǔn)對(duì)云資源配置進(jìn)行合規(guī)性評(píng)估。提供預(yù)定義的合規(guī)性模板33通過高級(jí)分析技術(shù)，結(jié)合上下文和關(guān)聯(lián)信息，對(duì)云環(huán)境中的潛在風(fēng)險(xiǎn)進(jìn)行檢測。能夠識(shí)別配置錯(cuò)誤、漏洞、未授權(quán)訪問等安全威脅，并評(píng)估其可能的影響范圍和嚴(yán)重程度。檢測結(jié)果將用于指導(dǎo)后續(xù)的修復(fù)和 44提供自動(dòng)化的修復(fù)功能，能夠針對(duì)檢測到的安全威脅和配置錯(cuò)誤進(jìn)行快速修復(fù)。自動(dòng)化修復(fù)可以減少人工干預(yù)，提高修復(fù)效率和準(zhǔn)確性。55允許用戶定義和管理云安全策略，包括訪問控制策略、安全組策略、防火墻規(guī)則等。用戶可以根據(jù)業(yè)務(wù)需求和安全要求，靈活地調(diào)整和優(yōu)化這些策略。自動(dòng)應(yīng)用這些策略到云環(huán)境中，確保所有資源配置都符66支持對(duì)云資源配置的變更進(jìn)行管理和審計(jì)。能夠跟蹤和記錄配置變更能或一些原子能力，諸如服務(wù)器、VM、容器、等。通常情況下企業(yè)在云上使用最多的工作負(fù)載環(huán)境就和serverless防護(hù)進(jìn)行展開，從云的服務(wù)類型恰好對(duì)應(yīng)IaaS、PaaS、SaaS，從用在IaaS云的模式下，用戶需要負(fù)責(zé)主機(jī)和虛擬的安全，主機(jī)安全是一套關(guān)鍵的保護(hù)措施，適用于物理服務(wù)器、虛擬機(jī)、云主機(jī)以及各種終端設(shè)備，確保它們免受惡意軟件、未授權(quán)訪問和其他安全威脅的侵害。它在保護(hù)組織的關(guān)鍵資產(chǎn)和數(shù)據(jù)、確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)完整性方面發(fā)揮著至關(guān)重要的作用。提高系統(tǒng)穩(wěn)定性，并快速響應(yīng)安全威脅，為維護(hù)網(wǎng)絡(luò)安全提供了堅(jiān)實(shí)的基礎(chǔ)。主機(jī)工作負(fù)載保護(hù)主要包 11應(yīng)以等保標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)等建立和維護(hù)操作系統(tǒng)、應(yīng)用程序和配置的標(biāo)準(zhǔn)安全基線，確保所有系統(tǒng)遵循一致的安全標(biāo)準(zhǔn)，可以快速識(shí)別配22賬號(hào)風(fēng)險(xiǎn)，應(yīng)用風(fēng)險(xiǎn)等問題，主動(dòng)識(shí)別風(fēng)險(xiǎn)幫助及時(shí)修復(fù)漏洞，減少3344應(yīng)維護(hù)一個(gè)準(zhǔn)確的主機(jī)資產(chǎn)清單，包括基本資產(chǎn)、系統(tǒng)層資產(chǎn)、應(yīng)用層資產(chǎn)、業(yè)務(wù)層資產(chǎn)、各類資產(chǎn)進(jìn)行詳細(xì)統(tǒng)計(jì)，清晰的資產(chǎn)清單有助于更有效地管理安全補(bǔ)丁和合規(guī)性，減少未管理資產(chǎn)帶來的風(fēng)險(xiǎn)，同基本資產(chǎn)包括硬件、CPU、內(nèi)存、磁盤、網(wǎng)卡IP、操作系統(tǒng)等信息。主機(jī)系統(tǒng)層資產(chǎn)包括包括進(jìn)程、端口、賬號(hào)、啟動(dòng)項(xiàng)、計(jì)劃任務(wù)、環(huán)各種場景，包括持續(xù)集成和持續(xù)部署（CI/CD）流程、微服 11應(yīng)維護(hù)一個(gè)準(zhǔn)確的容器資產(chǎn)清單，包括基本鏡像資產(chǎn)、集群資產(chǎn)、應(yīng)用層資產(chǎn)、業(yè)務(wù)層資產(chǎn)等各類資產(chǎn)進(jìn)行詳細(xì)統(tǒng)計(jì)，清晰的資產(chǎn)清單有助于更有效地管理安全補(bǔ)丁和合規(guī)性，減少未管理資產(chǎn)帶來的風(fēng)險(xiǎn)，鏡像資產(chǎn)管理應(yīng)能夠清點(diǎn)倉庫鏡像、和節(jié)點(diǎn)鏡像，具體包括Repository、Tag、創(chuàng)建時(shí)間鏡像大小、關(guān)聯(lián)鏡像、以及關(guān)聯(lián)到鏡像的風(fēng)險(xiǎn)信息。集群資產(chǎn)管理應(yīng)能夠支持自動(dòng)獲取集群中的資源對(duì)象，至少包括應(yīng)用名、應(yīng)用類型、應(yīng)用版本、運(yùn)行用戶、二進(jìn)制路徑等。22應(yīng)以等保標(biāo)準(zhǔn)，行業(yè)標(biāo)準(zhǔn)等建立和維護(hù)操作系統(tǒng)、應(yīng)用程序和配置的標(biāo)準(zhǔn)安全基線，確保所有系統(tǒng)遵循一致的安全標(biāo)準(zhǔn)，可以快速識(shí)別配33應(yīng)支持全面的容器運(yùn)行時(shí)入侵檢測，如容器反彈shell、webshell、暴力破解、病毒檢測、可疑進(jìn)程、webrce、黑客工具、隧道攻擊、網(wǎng)絡(luò)行為、容器逃逸、K8SAPI可疑調(diào)用等行為進(jìn)行實(shí)時(shí)檢測。應(yīng)支持44節(jié)點(diǎn)中鏡像、CI過程中鏡像、倉庫中鏡像進(jìn)行統(tǒng)一掃描和風(fēng)險(xiǎn)識(shí)別。 Serverless提供了一種“無服務(wù)器”的計(jì)算模式，允許開發(fā)人員構(gòu)建和運(yùn)行應(yīng)用程序和服務(wù)，需管理基礎(chǔ)設(shè)施或服務(wù)器端。這種模式簡化了CI/CD、服務(wù)器配置維護(hù)更新、IT資源容量的規(guī)劃和伸縮等工作，使研發(fā)人員專注于業(yè)務(wù)邏輯的編寫，而運(yùn)維人員則轉(zhuǎn)向確保服務(wù)水平協(xié)議（SLA）的實(shí)現(xiàn)。在同時(shí)，定期審查權(quán)限設(shè)置，確保它們符合最小權(quán)限原則，并通過安全審計(jì)功能監(jiān)控權(quán)限使用情況，代碼層面的安全至關(guān)重要，首先，對(duì)開發(fā)人員進(jìn)行安全編碼培訓(xùn)，確保他們了解如何編寫避免安全漏洞的代碼。其次，通過代碼審查和自動(dòng)化的靜態(tài)代碼分析工具（SAST）來識(shí)別代碼中的安全問題，同時(shí)使用動(dòng)態(tài)代碼分析工具（DAST）在運(yùn)行時(shí)檢測漏洞。管理好項(xiàng)目依賴項(xiàng)，定期掃描并更新有安全漏洞的庫。在設(shè)計(jì)階段采用安全設(shè)計(jì)原則，如最小權(quán)限原則，并確保配置文件和環(huán)境變量不包含硬編碼的敏感信息。將安全測試，如滲透測試和模糊測試，納入軟件開發(fā)生命周期。自動(dòng)化安全流程并集成到CI/CD中，持續(xù)評(píng)估代碼質(zhì)量和安全性，包括對(duì)供應(yīng)鏈中第三方服務(wù)和工③應(yīng)用防護(hù) 種網(wǎng)絡(luò)和應(yīng)用程序?qū)拥耐{。從爬蟲程序監(jiān)測和抵御，到DDoS防護(hù)和自我調(diào)整建議，實(shí)單化，一個(gè)多維自適應(yīng)安全引擎可將威脅情報(bào)與每應(yīng)具備內(nèi)存馬防護(hù)能力專門針對(duì)攻擊者植應(yīng)具備內(nèi)存馬防護(hù)能力專門針對(duì)攻擊者植入的惡意腳本，如WebShell，能夠及時(shí)檢測并阻止其執(zhí)行，從而保護(hù)服務(wù)器不受持實(shí)現(xiàn)網(wǎng)絡(luò)層實(shí)現(xiàn)網(wǎng)絡(luò)層DDoS攻擊防護(hù)，并在幾秒內(nèi)抵御應(yīng)用程序?qū)庸?，在?yīng)用的登錄頁面和表單提交處添加CAPTCHA，以區(qū)分人類用戶和自動(dòng)化bot。安全威脅，這不僅減少了對(duì)傳統(tǒng)規(guī)則引擎的依賴，也降低了誤報(bào)率，提高了安全防護(hù)的應(yīng)具備補(bǔ)丁能力允許在應(yīng)用程序運(yùn)行時(shí)快速應(yīng)用安全補(bǔ)丁，無需重啟服務(wù)，這大大縮短了漏洞修復(fù)的時(shí)間窗口，減少了系統(tǒng)宜具備應(yīng)用調(diào)用鏈路跟蹤能力通過監(jiān)控應(yīng)用的內(nèi)部調(diào)用和數(shù)據(jù)流，為安全團(tuán)隊(duì)提供了深入分析和快速定位問題的能力，提高了自動(dòng)化工具識(shí)別和映射網(wǎng)絡(luò)應(yīng)用程序及API，確保所有面向網(wǎng)絡(luò)的服務(wù)都被識(shí)別并納入保護(hù)范圍，減少人工管理的需要，確保 微隔離是一種高效的網(wǎng)絡(luò)安全策略，適用于數(shù)據(jù)中心虛擬化、云服務(wù)、容器化部署、微服務(wù)架構(gòu)和大型網(wǎng)絡(luò)分段等多種場景。它通過創(chuàng)建網(wǎng)絡(luò)中的細(xì)微隔離邊界，顯著減少攻擊面，有效防止攻擊者在網(wǎng)能夠直觀實(shí)時(shí)展示云環(huán)境的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，幫助用戶掌握云內(nèi)部的細(xì)包括訪問者、被訪問者、訪問協(xié)議、訪問端口、訪問次數(shù)等，增強(qiáng)的可見性使得網(wǎng)絡(luò)安全團(tuán)隊(duì)能夠?qū)崟r(shí)監(jiān)控和理解網(wǎng)絡(luò)內(nèi)部的通信模式，11應(yīng)支持主機(jī)環(huán)境下的主機(jī)隔離策略同時(shí)支持kubernetes集群環(huán)境下image、IP等維度。細(xì)粒度的訪問控制限制了潛在攻擊者在網(wǎng)絡(luò)內(nèi)部的橫向移動(dòng)能力，減少了安全事件的影響范圍。同時(shí)，它也支持更精22同時(shí)應(yīng)確保在多云或混合云環(huán)境中，安全策略的一致性，無論工作負(fù)33應(yīng)支持實(shí)現(xiàn)對(duì)失陷的工作負(fù)載的快速隔離能力，禁止攻擊的外溢和 企業(yè)CNAPP建設(shè)路徑圖1CNAPP建設(shè)框架CNAPP建設(shè)應(yīng)覆蓋三大安全方向并具備兩大能力。其中三大方向包含基礎(chǔ)設(shè)施安全、制品安全以組件風(fēng)險(xiǎn)評(píng)估以及安全策略管理為核心的云（原生）安全態(tài)勢管理；權(quán)限管理三大部分。制品安全需要包含的功能有涉及靜態(tài)安全檢測和軟件成分分析的代碼安全；包含鏡像安全掃描；具備檢測分析能力、測試管理能力以及足夠的開放性的交互式應(yīng)用安全檢測；涉及代碼庫安全、鏡像倉庫安全以及持續(xù)集成持續(xù)交付環(huán)境安全的制品環(huán)境安全；具備檢測分析能力、測試管理能力以及足夠的開放性的動(dòng)態(tài)應(yīng)用安機(jī)器人保護(hù)以及應(yīng)用拒絕攻擊保護(hù)；具備流量識(shí)別、流量隔離及統(tǒng)計(jì)分析能力的網(wǎng)絡(luò)微隔離功能；保障 工具等進(jìn)行有效集成，并能夠與本地開發(fā)環(huán)境緊密配合。具體而言，要做到無縫集成可以從集成的廣度安全、運(yùn)行時(shí)安全三大方向的能力，通過將多種安全方案與工具做到在一個(gè)安全平臺(tái)內(nèi)能夠?qū)φ麄€(gè)云原生安全應(yīng)用的各個(gè)組成部分進(jìn)行高可視性的監(jiān)控并在發(fā)生安全事件時(shí)以整體為對(duì)象幫助安全人員及時(shí)進(jìn)運(yùn)工作負(fù)載保護(hù)及網(wǎng)絡(luò)微隔離，并針對(duì)每個(gè)細(xì)分問題進(jìn)行針對(duì)型的方案調(diào)度。例如在運(yùn)工作負(fù)載保護(hù)功CNAPP的“以應(yīng)用為中心”原則強(qiáng)調(diào)對(duì)云原生應(yīng)用全生命周期的安全保護(hù)。它專注于應(yīng)用及其運(yùn)規(guī)性檢查，同時(shí)利用行為分析技術(shù)監(jiān)控應(yīng)用行為，快速識(shí)別并響應(yīng)安全威脅。此外，CNAPP提供端到端的可見性和監(jiān)控，確保安全團(tuán)隊(duì)能夠全面了解應(yīng)用狀態(tài)。它還支持跨云環(huán)境的一致性安全策略，幫助企業(yè)滿足合規(guī)性要求，同時(shí)優(yōu)化用戶和開發(fā)者的體驗(yàn)。這一原則確保了云原生應(yīng)用的安全性，同時(shí)提高動(dòng)態(tài)，因此所面臨的安全挑戰(zhàn)也更為復(fù)雜，出現(xiàn)安全問題可能造成的損失也會(huì)更嚴(yán)峻。因此在云原生應(yīng)用領(lǐng)域安全不應(yīng)再作為一種事后的補(bǔ)充，而應(yīng)該作為一個(gè)內(nèi)置的過程嵌入到整個(gè)開發(fā)運(yùn)營過程當(dāng)中。因與開發(fā)環(huán)境相融合。具體而言建設(shè)得當(dāng)?shù)腃NAPP應(yīng)該能夠在開發(fā)過程中就為開發(fā)人員提供漏洞檢測、使用過程中，各類功能也都應(yīng)該盡可能實(shí)現(xiàn)自動(dòng)化以減少安全人員的工作量，特別是對(duì)于重復(fù)性的低難度工作，可以根據(jù)先前的處理經(jīng)驗(yàn)及安全人員設(shè)置的策略進(jìn)行自動(dòng)處理。更進(jìn)一步還可以將大模型與 復(fù)雜的安全基礎(chǔ)設(shè)施和安全概念、為跨團(tuán)隊(duì)協(xié)同提供更簡潔的方式以及降低開發(fā)、安全團(tuán)隊(duì)的復(fù)雜性。安全問題進(jìn)行精簡呈現(xiàn)，減少所涉及到的安全工具數(shù)量；利用其覆蓋云原生應(yīng)用全生命周期的優(yōu)勢連接開發(fā)團(tuán)隊(duì)和安全團(tuán)隊(duì)使之在統(tǒng)一平臺(tái)上進(jìn)行合作，簡化跨團(tuán)隊(duì)協(xié)作的成本；通過自動(dòng)化來減少不必要的?支持代碼靜態(tài)安全檢測?支持常見的軟件成分分析?支持鏡像安全掃描、可信鏡像管理?對(duì)制品環(huán)境（鏡像倉庫和代碼庫）實(shí)施訪問控制、用戶行為審計(jì)?支持對(duì)鏡像倉庫的漏洞掃描能力?運(yùn)行時(shí)對(duì)所有容器鏡像、鏡像倉庫、容器主機(jī)和虛擬機(jī)實(shí)例進(jìn)行漏洞掃描?靈活的安全報(bào)告輸出?整合外部漏洞信息源，具有統(tǒng)一的漏洞清單，包含漏洞優(yōu)先級(jí)?統(tǒng)一資產(chǎn)清單，包括Kubernetes和云資源?為所有資源創(chuàng)建簡單靈活的策略設(shè)置和漏洞修復(fù)，具備運(yùn)行時(shí)修復(fù)和IaC修復(fù)能力?可在策略中執(zhí)行鏡像配置規(guī)則和簡單實(shí)施基礎(chǔ)鏡像補(bǔ)救措施?對(duì)工作負(fù)載上的惡意活動(dòng)進(jìn)行實(shí)時(shí)檢測，具有持續(xù)更新的規(guī)則和集成威脅信息源能力?強(qiáng)大的調(diào)查和取證能力，如證據(jù)獲取、自動(dòng)化調(diào)查/取證?同時(shí)涵蓋云工作負(fù)載和Kubernete30 ）：），?在云環(huán)境中對(duì)所有策略和配置狀態(tài)進(jìn)行詳細(xì)和靈活的報(bào)告，最好具備行業(yè)框架、合規(guī)報(bào)告?通過將運(yùn)行時(shí)上下文與靜態(tài)檢查（配置錯(cuò)誤、已?身份和訪問管理分析能力，能夠評(píng)估權(quán)限使用情況，并能夠按照最嚴(yán)格的身份和訪問策略?實(shí)時(shí)檢測惡意活動(dòng)和行為，不斷更新規(guī)則并集成威脅源?靈活的規(guī)則語言用于自定義規(guī)則?支持跨越云、容器和Kubernetes多個(gè)不同平臺(tái)?強(qiáng)大的調(diào)查和取證能力，如證據(jù)捕獲、自動(dòng)化調(diào)查/取證操作?事件豐富化和轉(zhuǎn)發(fā)，能夠與第三方安全工?檢測和分析Kubernetes網(wǎng)絡(luò)事件?具備主機(jī)、托管容器服務(wù)工作負(fù)載的檢測和響應(yīng)能力表2CNAPP基礎(chǔ)能力表始了云原生安全的相關(guān)建設(shè)，但這些措施往往是孤立的，缺乏一個(gè)統(tǒng)一的防護(hù)框架。這是因?yàn)樵谠圃踩夹g(shù)的早期發(fā)展階段，還沒有形成成熟的體系化防護(hù)框架，同時(shí)，由于資源和技術(shù)基礎(chǔ)的限制，安隨著云原生技術(shù)被應(yīng)用于更多核心業(yè)務(wù)，這種分散的安全防護(hù)體系顯然無法滿足日益增長的安全需求。安全防護(hù)體系的一個(gè)顯著特點(diǎn)是木桶效應(yīng)，即整體防護(hù)效果往往受限于最弱的環(huán)節(jié)。此外，云環(huán)境下的安全孤島和整體復(fù)雜性的增加，缺乏端到端的可觀測性，為網(wǎng)絡(luò)攻擊提供了可利用的盲點(diǎn)，同時(shí)也31 因此，企業(yè)需要從云原生整體的技術(shù)棧出發(fā)，從網(wǎng)絡(luò)安全完整的攻擊鏈出發(fā)，構(gòu)建一個(gè)覆蓋開發(fā)到運(yùn)行時(shí)流程的一體化云原生安全防護(hù)體系。在這個(gè)階段，企業(yè)用戶需要對(duì)自身的云原生安全建設(shè)進(jìn)行深力包括五個(gè)方面，分別是開發(fā)安全、云工作負(fù)載保護(hù)（CWPP）、云安全態(tài)勢管理（C同時(shí)，我們支持鏡像安全掃描、可信鏡像管理，以及對(duì)制品環(huán)境的訪問控制和行為審計(jì)，實(shí)現(xiàn)自動(dòng)化漏32 在云工作負(fù)載保護(hù)（CWPP）方面，企業(yè)應(yīng)當(dāng)實(shí)現(xiàn)風(fēng)險(xiǎn)管理、云原生安全態(tài)勢管理（鏡像倉庫、容器主機(jī)和虛擬機(jī)實(shí)例進(jìn)行漏洞掃描，同時(shí)具備靈活的安全報(bào)告輸出形式，支持word、助生成自動(dòng)化的漏洞掃描和報(bào)告。其次，風(fēng)險(xiǎn)管理應(yīng)該具備完善、全面的漏洞情報(bào)源，具備統(tǒng)一的漏洞清單。云原生安全態(tài)勢管理的基本要求首先是需要提供云原生資產(chǎn)的統(tǒng)一資產(chǎn)清單，這里的資產(chǎn)包括kubernetes集群資產(chǎn)和云上資源，同時(shí)應(yīng)當(dāng)為所有資源創(chuàng)建簡單靈活的策略設(shè)置和漏洞修復(fù)，具備運(yùn)配置規(guī)則和簡單實(shí)施基礎(chǔ)鏡像補(bǔ)救措施，同時(shí)對(duì)工作負(fù)載上的惡意活動(dòng)進(jìn)行實(shí)時(shí)檢測，具有持續(xù)更新的規(guī)則和集成威脅信息源能力。并且在安全事件發(fā)生后具備強(qiáng)大的調(diào)查和強(qiáng)大的調(diào)查和取證能力，如證據(jù)統(tǒng)一的操作界面，最大程度上增加安全問題的可視性，確保安全人員在處理問題時(shí)不必在多個(gè)控制面板中出現(xiàn)的配置漂移以及在受到攻擊后循序進(jìn)行綜合多個(gè)事件的高級(jí)攻擊路徑分析，并基于其結(jié)果生成一下文與靜態(tài)檢查相結(jié)合，從而為安全漏洞進(jìn)行排序，在云檢測與響應(yīng)方面，建設(shè)中期的CNAPP應(yīng)具備絕大部分核心能力。包括能夠跨云、容器和Kubernetes等多個(gè)不同的平臺(tái)進(jìn)行實(shí)時(shí)的惡意活動(dòng)和惡意行為檢測，并不斷更新規(guī)則集成威脅源，讓安全團(tuán)隊(duì)具備更強(qiáng)的及時(shí)反應(yīng)能力及總結(jié)備案能力；具備強(qiáng)大的調(diào)查和取證能力，能夠完成證據(jù)捕獲、自動(dòng)化調(diào)查及取證操作，并將獲取到的證據(jù)及時(shí)存檔并與第三方安全工具和平臺(tái)快速對(duì)接，構(gòu)建起全方33 表3CNAPP進(jìn)階能力表34 包括判斷這些功能是否真正滿足產(chǎn)品的安全需求，以及是否存在資源配置過剩的情況。通過與團(tuán)隊(duì)成員的深入討論，企業(yè)可以有序地調(diào)整功能配置，優(yōu)化資源使用效率，并通過不斷的迭代來實(shí)現(xiàn)一個(gè)更加貼新不僅是為了保持技術(shù)的先進(jìn)性，也是為了確保CNAPP能夠適應(yīng)不斷變化的云原生環(huán)境和安全威脅。全防護(hù)中的整體效益。這樣的全方位策略將有助于企業(yè)在不斷變化的云原生環(huán)境中保持領(lǐng)先地位，確保35 某大型運(yùn)營商研究院是該集團(tuán)公司產(chǎn)品開發(fā)和業(yè)務(wù)研究的主要科研機(jī)構(gòu)，是該運(yùn)營商研發(fā)和創(chuàng)新體在業(yè)務(wù)支撐、架構(gòu)能力、平臺(tái)擴(kuò)展性等方面對(duì)舊有的煙囪式建設(shè)的業(yè)務(wù)支撐系統(tǒng)提出了巨大的挑戰(zhàn)。該容器之間可以相互訪問和影響；二是在應(yīng)用容器技術(shù)的過程中，存在多個(gè)安全薄弱點(diǎn)，包括鏡像、鏡像隨技術(shù)路線從虛擬化轉(zhuǎn)向容器化，基于云原生容器技術(shù)重構(gòu)了基礎(chǔ)設(shè)施，建立了開發(fā)平臺(tái)、容器云等基于云原生為底座的基礎(chǔ)平臺(tái)。云原生技術(shù)使得大型復(fù)雜軟件的應(yīng)用拆分，各應(yīng)用之間松耦合，從而降低了系統(tǒng)復(fù)雜度，還做到了獨(dú)立發(fā)布部署、獨(dú)立擴(kuò)展和跨語言編程等，這些變化也驅(qū)動(dòng)著安全工作模36 所以在安全方案設(shè)計(jì)上，也要貼合云原生技術(shù)架構(gòu)，以滿足業(yè)務(wù)容器化后，傳統(tǒng)安全能力不再適用的問題，例如：業(yè)務(wù)容器會(huì)動(dòng)態(tài)漂移、容器內(nèi)部行為及日志等默認(rèn)不會(huì)記錄、基于IP的訪問控制方式不再適用等?；诖苏w的方案需滿足以下幾個(gè)方面：一是滿足容器技術(shù)高密度、高動(dòng)態(tài)、快速迭代、敏捷等多種特性；二是能夠?qū)踩雷o(hù)覆蓋云原生應(yīng)用的整個(gè)生命周期，從需求分析、軟件開發(fā)、軟件首先，鏡像是容器運(yùn)行的基礎(chǔ)，包含業(yè)務(wù)運(yùn)行需要的所有環(huán)境、文件和配置等信息，但基礎(chǔ)鏡像當(dāng)前基于公網(wǎng)的開源倉庫，且代碼也引入許多開源組件，無法保障業(yè)務(wù)鏡像的安全性。且研發(fā)更側(cè)重于業(yè)軟件許可、惡意文件、敏感信息等多個(gè)方面的安全風(fēng)險(xiǎn)。阻斷能力可防止風(fēng)險(xiǎn)鏡像流入線上業(yè)務(wù)。在能力落地前，研發(fā)流程為從公網(wǎng)拉取基礎(chǔ)鏡像，通過開發(fā)構(gòu)建后，經(jīng)過測試驗(yàn)證后，滿足業(yè)務(wù)功能需求則直接上線。而能力融入后，在業(yè)務(wù)鏡像構(gòu)建完成后，以及上線前，又嵌入了安全檢測的步驟。極大的加37 在推進(jìn)以容器為基礎(chǔ)平臺(tái)的戰(zhàn)略過程中，發(fā)現(xiàn)容器平臺(tái)由于自身的技術(shù)實(shí)現(xiàn)，大多的傳統(tǒng)安全能力已經(jīng)不再適用，例如入侵檢測無法侵入容器內(nèi)部、容器平臺(tái)漏洞及配置合規(guī)性無法驗(yàn)證、基于IP的訪務(wù)的漏洞發(fā)現(xiàn)、容器集群安全等相關(guān)能力，填補(bǔ)了應(yīng)用容器技術(shù)后，多個(gè)安全建設(shè)空白。對(duì)容器涉及到的全生態(tài)，業(yè)務(wù)的全生命周期建立了安全防護(hù)。且落地只需在容器集群內(nèi)運(yùn)行安全終端，即可實(shí)現(xiàn)一鍵不單單是安全問題，在管理方面也有待提升，這包括由于容器技術(shù)的實(shí)現(xiàn)機(jī)制，導(dǎo)致業(yè)務(wù)容器在由于迭代更新、編排調(diào)度等消逝后，其在運(yùn)行過程中存在的行為事件將不可查。對(duì)溯源、排障等多個(gè)方面都帶來極大影響；且在應(yīng)用容器技術(shù)后，對(duì)于云外及云內(nèi)流量可以感知并進(jìn)行檢測，但對(duì)于容器集群內(nèi)的網(wǎng)絡(luò)流量還暫未形成清晰臺(tái)賬，內(nèi)部的業(yè)務(wù)連接關(guān)系無法感知；以及由于細(xì)化到命名空間級(jí)的權(quán)限配因此，建立了一個(gè)整體的安全管理平臺(tái)，并搜集容器的所有事件行為，對(duì)容器資產(chǎn)進(jìn)行管理。在記錄容器的所有行為事件的同時(shí)，還可自定義時(shí)間留存信息。網(wǎng)絡(luò)的事件也會(huì)進(jìn)行拓?fù)淅L制，并可進(jìn)行數(shù)據(jù)導(dǎo)出，外加安全能力的補(bǔ)足，形成了整體的解決方案。在使用上也可基于功能以及資產(chǎn)兩個(gè)維度進(jìn)行38 通過整體解決方案的落地，首先補(bǔ)足了該運(yùn)營商研究院在容器方面安全的空白，建立起自構(gòu)建鏡像在當(dāng)今數(shù)字化時(shí)代，應(yīng)用安全至關(guān)重要，它不僅是企業(yè)業(yè)務(wù)的基石，更是防止數(shù)據(jù)泄露和系統(tǒng)被攻擊的關(guān)鍵。近年來，攻防對(duì)抗日趨激烈，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)側(cè)的淪陷是較為常見的突破口。太平洋保險(xiǎn)因業(yè)務(wù)需要，部分業(yè)務(wù)系統(tǒng)部署使用了外部成品軟件，這些外部軟件存在的已知和未知安全漏洞依賴外部手中掌握可靜默攻擊受影響應(yīng)用，甲方單位對(duì)此類漏洞面臨無補(bǔ)丁或無修復(fù)方案的問題，安全防護(hù)挑戰(zhàn)將防護(hù)引擎插樁到應(yīng)用內(nèi)部，能夠感知應(yīng)用上下文攔截從應(yīng)用程序到系統(tǒng)的所有調(diào)用，實(shí)時(shí)檢測和阻斷39 “兩高一弱”涵蓋了高危端口（服務(wù)）和高危漏洞，對(duì)于F碎片化的第三方組件庫和開發(fā)框架組件，往件引用，存在修復(fù)難度大，時(shí)效長，防護(hù)難度高的特點(diǎn)。本次形成了在漏洞修復(fù)前，集高危組SQL注入以及一些應(yīng)用反序列化等較為難以簡單歸類的行為，將其歸類為灰名單實(shí)施告警后人工③實(shí)現(xiàn)應(yīng)用檢測與響應(yīng)ooo進(jìn)行深入分析和實(shí)時(shí)監(jiān)控，快速識(shí)別并響應(yīng)安全事件，建立應(yīng)用運(yùn)行時(shí)監(jiān)測模型，應(yīng)對(duì)不斷圖6太平洋保險(xiǎn)RASP技術(shù)架構(gòu)圖40 11用自我保護(hù)技術(shù)，對(duì)高危組件及應(yīng)急漏洞進(jìn)行收斂與防御。RASP插樁技術(shù)與真實(shí)業(yè)務(wù)流量結(jié)合，通過應(yīng)用行為發(fā)現(xiàn)潛在攻擊。此外，通過監(jiān)控還可以發(fā)現(xiàn)漏洞導(dǎo)致的異常行為，深度洞察發(fā)現(xiàn)漏洞利用。RASP的動(dòng)態(tài)安全防護(hù)機(jī)制，隨應(yīng)用變化能夠不斷學(xué)習(xí)和適應(yīng)新的威圖7太平洋保險(xiǎn)RASP部署架構(gòu)圖41 22量過濾規(guī)則。這種無縫配合不僅提高了威脅檢測的準(zhǔn)確性，還大大縮33RASP技術(shù)能夠在應(yīng)用運(yùn)行時(shí)，實(shí)時(shí)監(jiān)控內(nèi)存中的行為，通過異常行為的感知，及時(shí)發(fā)現(xiàn)并清除內(nèi)存馬。此外，RASP還能夠感知其他異11Docker容器化、K8S集群。防護(hù)策略細(xì)分了高危組件應(yīng)用攔截、專項(xiàng)應(yīng)用攔截、通用應(yīng)用攔截策略。上述應(yīng)用的約1000個(gè)節(jié)點(diǎn)部署22在內(nèi)部安全攻防演練階段，RASP工具捕捉到了一項(xiàng)潛在攻擊警告。析與研判，最終確認(rèn)這是一次針對(duì)系統(tǒng)上傳功能的漏洞利用嘗試。利針對(duì)另一起SQL注入針對(duì)內(nèi)部某保險(xiǎn)系統(tǒng)的攻擊告警，經(jīng)過對(duì)SQL語句的研判及業(yè)務(wù)核實(shí)，確認(rèn)該SQL語句雖屬正常42 33時(shí)也可以在測試環(huán)境獲取一定的應(yīng)用行為，進(jìn)行上線前的規(guī)則學(xué)習(xí)及調(diào)參。同時(shí)在測試、投產(chǎn)、推廣過程中，太平洋保險(xiǎn)的安全部門與應(yīng)用研發(fā)、應(yīng)用運(yùn)維部門緊密協(xié)同，平滑實(shí)施切換攔截策略，保障業(yè)務(wù)在當(dāng)前的云計(jì)算發(fā)展中，安全團(tuán)隊(duì)面臨著前所未有的挑戰(zhàn)。隨著組織越來越多地采用多云環(huán)境并優(yōu)迫切需要整體的解決方案?云原生應(yīng)用程序保護(hù)平臺(tái)（CNAPP）。很多制造行業(yè)公司，出于保障工廠穩(wěn)定生產(chǎn)或用戶高可用的考慮，都采用多云部署應(yīng)用的架構(gòu)，公CNAPP平臺(tái)旨在整合多云威脅預(yù)防和檢測，提供從代碼到云的全面安全性。云原生應(yīng)用程序保護(hù)平臺(tái)（CNAPP）提供了一個(gè)集中和集成的云原生安全解決方案，用于監(jiān)控、管理和檢測云上安全風(fēng)險(xiǎn)，能夠在云基礎(chǔ)設(shè)施內(nèi)進(jìn)行主動(dòng)管理和風(fēng)險(xiǎn)緩解。它涵蓋了云安全的重要方面，包括云安全態(tài)勢管理隨著各制造業(yè)廠商在云原生戰(zhàn)略上的加速，保護(hù)云應(yīng)用程序和工作負(fù)載也需要一種不同的方式來應(yīng)性側(cè)重于防御外部威脅，然后云原生則不同于上述的方式。云安全必須滿足跨提供商和云環(huán)境（公共、（CNAPP）在制造業(yè)中的應(yīng)用日益廣泛和深入。制造業(yè)也會(huì)打造一套全面的安全與合規(guī)解決方案，覆蓋從研發(fā)到生產(chǎn)運(yùn)營的各個(gè)環(huán)節(jié)。43 從代碼提交到生產(chǎn)部署的每個(gè)階段進(jìn)行安全檢測和風(fēng)險(xiǎn)評(píng)估。例如，通過基礎(chǔ)設(shè)施即代碼（IaC）掃描和容器掃描，確保代碼和配置文件在進(jìn)入生產(chǎn)環(huán)境前已經(jīng)過嚴(yán)格的安全審查。例如汽車制造行業(yè)經(jīng)常需要在高峰需求時(shí)擴(kuò)展資源，例如在用戶早晚出行高峰期，節(jié)假日出行高峰需要增加計(jì)算和存儲(chǔ)資源。CNAPP提供的自動(dòng)擴(kuò)展和安全策略能夠動(dòng)態(tài)適應(yīng)資源變化，確保在擴(kuò)展過程中不引入安全風(fēng)險(xiǎn)。安全44 ①痛點(diǎn)安全風(fēng)險(xiǎn)閉環(huán)與能力覆蓋提升