嘉宾 | 鸟哥 整理 | 孙正印
出品 | CSDN云原生
2022年6月7日,在CSDN云原生系列在线峰会第7期“安全技术峰会”上,鸟哥谈安全公众号作者、某互联网公司云化办公安全架构师鸟哥分享了Google、阿里巴巴的云原生安全最佳实践。
云原生安全的定义
Gartner定义的大一统云原生安全包括三方面:云安全、应用安全(DevSecOps)和运行时保护。
其中,云安全可以分成五个层面:
-
第一层是架构及代码的扫描能力
-
第二层是网络配置和安全策略
-
第三层是CIEM,也称之为特权管理和AK管理
-
第四层是K8s的安全态势,包括K8s的安全配置和Pod的安全策略
-
第五层是CSPM,主要是数据泄露,在云上的所有云产品都可以通过CSPM做对应的配置检查,来保证不安全的配置没有开放到互联网
DevSecOps是应用安全主流方式,在Dev阶段主要做的事情是能够进行左移,充分减少上线后的修复成本。
而狭义的云原生安全框架如下图所示,可以看出,最底层是容器层。
以阿里容器为例,它是构建在ASI(Alibaba Serverless Infrastructure)底座的ECS基础上,以ASI Pod的形式运行,所以最底层单个容器做了沙箱隔离。