基于容器特点和传统网络安全能力进行容器云安全规划设计

最新推荐文章于 2024-07-12 14:19:00 发布
最新推荐文章于 2024-07-12 14:19:00 发布
阅读量665 收藏
点赞数
分类专栏: 网络通信安全及科学技术专栏 大数据与数字化的设计应用专栏 文章标签: web安全 网络 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57147647/article/details/127203553
版权

相比于传统应用而言,容器天然是弱安全的,这些不足随着容器一起跑在企业内网中,如果不能很好地识别并修复,分分钟就会成为“马奇诺防线”上的缺口,发生数据泄露、安全漏洞等,给企业带来不可估量的损失。很多早期建设容器云的企业已经深深感知到,面对容器技术的全新架构,“高筑城墙以御外敌”的传统安全方案已经不合时宜,更多的攻击面、监控和防护难度大、安全管控难度高,企业必须重新审视容器云环境的安全策略。

容器安全防护范围需要前移,防护粒度需要更细,也需要静态安全与动态安全防护相结合。具体体现在容器的开发、部署、运行的全生命周期中,从容器云平台的大边界,到租户小边界,再往内深入到虚拟机容器的微边界,对10+层的潜在攻击面进行安全防护加固,覆盖到代码安全审计、主机安全、镜像安全、容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎等领域。

本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结和思考,仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技术体系中的关键技术,对其的不同定位会带来安全规划的不同要求。云原生安全和传统安全能力的需求也有不同,因此认识到容器和云原生安全的特点来规划容器云安全,会更有针对性。 

越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用,而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理工具平台,使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架构上来说,围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和容易实施的方案。

一、容器云定位

不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准化的运行时环境来说,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
罗伯特之技术屋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
容器安全概述
悦分享
07-04 4263
Docker是目前最具代表性的容器技术之一,对计算及虚拟化技术产生了颠覆性的影响。以Docker为代表的容器技术,直接运行于宿主机操作系统内核,因此对于容器安全,很多人会有着这样的疑问:EDR(Endpoint Detection and Response)等主机安全方案,能否直接解决容器安全的问题?概括来说,容器/容器安全,可以包括以下四个类别:第一,就是容器环境基础设施的安全性,比如主机上的安全配置是否会影响到其上面运行的容器,主机上的安全漏洞是否会影响到容器,主机上的恶意进程是否会影响到容器容器
容器安全技术编排安全
m0_73803866的博客
10-12 190
容器技术的成熟推动着微服务的发展和落地,越来越多的企业开始采用微服务架构来组建自己的应用,其中, 容器编排工具管理着承载各类服务的容器集群。可以说,在各类采用微服务架构的项目中,容器编排工具支撑了 其核心业务。接下来以社区热度最高的编排工具 Kubernetes 为例,说明目前编排工具需要做的安全防护措施。外部运行环境的安全是编排工具安全的前提,可以使用针对主机系统的安全防护工具来对编排的外部运行环 境进行安全加固。另外需要加固容器宿主机以缓解主机安全配置错误。最后还有一些权限及审计的问题同样需受到重视。
容器化】浅析容器化以及容器编排
极_晓的博客
07-06 1156
容器化的本质是一个“视图隔离、资源受限”的进程运行环境,运行在该环境(容器内)的进程可以理解为是被操作系统附加了很多属性的进程,本质上还是操作系统的标准进程。
原生安全专家观察:容器安全现状和发展趋势
m0_73257876的博客
08-31 2089
另一种比较有意思的是无Agent部署方式,Orca是其中的代表厂商,Orca的方案里,主机上不会安装Agent,但会对环境中的块存储进行快照,然后通过快照重建完整的“上下文”,对其进行安全扫描和分析。​刘斌,清华大学工程管理硕士,中移信息原生安全专家,信通院容器原生安全规范主要编写者之一,安全联盟(CSA)专家会员,曾在小佑科技担任产品总监。未来,随着越来越多人了解容器安全,以及真实的增长的安全需求,会促使人们关注点回归问题本质——是否能检测和拦截大多数容器攻击,保护容器上的数据安全。...
容器安全技术网络自身安全机制
m0_73803866的博客
10-12 419
可见,如果要控制外部到服务的访问,可从主机的 eth0 接口到最终的容器之间的数据通路上部署访问控制 规则,例如主机的 iptables 表中 DOCKER-INGRESS链加 ACL,或在宿主机外部部署防火墙。此外,当服务 web0 和 web1 连接到同一个网络 test0 时,其容器副本均连接到了同一个子网,从网络对应 的命名空间的网络接口 VLAN标识可见,网桥上的各个网络接口没有设置 VLAN,在同一主机内部的同一网络的 容器均可互相访问,没有隔离措施。
容器平台安全合规规划设计.docx
10-10
容器平台的安全合规规划设计旨在保障企业在享受容器化带来的益处的同时,有效防止潜在的安全威胁和合规风险。 1. **概述** 容器平台的安全合规设计是针对容器化环境的特殊性,制定的一系列策略和实践,旨在...
陌陌基于K8s和Docker容器管理平台的架构实践
01-27
陌陌在面临应用发布效率低下、资源利用率不足以及运行环境复杂等问题时,选择了基于Kubernetes(K8s)和Docker的容器管理平台进行架构实践。K8s因其强大的扩展性、高效的管理能力、大数据分析支持、网络场景适应性、...
原生发展趋势及安全架构设计.pdf
04-10
原生定义的发展趋势 操作系统的发展趋势 开发模式的发展趋势 网络边界的发展趋势 容器运行时的发展趋势 原生面临哪些安全风险 新 IT 架构视角下的...如何规划原生平台的安全区域 安全平台自身架构如何设计
2020BeiJing网络安全大会宣讲材料合集(79份).zip
04-02
12. **应急响应与灾难恢复**:介绍网络安全事件的应对流程,包括快速响应、数据恢复和业务连续性规划。 13. **安全政策与合规**:讲解企业应建立的安全政策框架,以及遵循的国内外安全标准和法规,如ISO 27001、...
基于容器化PaaS平台的DevOps建设规划.docx
10-11
【Q1】容器平台和DevOps的关系可以理解为容器化PaaS提供了实现DevOps所需的敏捷性和自动化工具。基于容器化的PaaS平台,如Docker和Kubernetes,能够快速部署和扩展应用,减少环境差异,提高开发和运维的效率。其...
网络安全——Web容器及IIS
weixin_54055099的博客
09-22 1710
文件解析漏洞,IIS6.0和IIS7.5的解析漏洞
容器安全技术容器网络安全防护
m0_73803866的博客
10-12 797
以 node1 为例,由于 Web5 连接了 Ingress 网络(10.255.0.0/24)和容器内部网络(172.17.0.0/24),所以 如果要防护服务 Web5 在主机 node1 上的容器副本(本例中为容器 Web5.1),则可在网桥 docker_gwbridge 和 命名空间 ingress 中的网桥 br0 旁分别部署一个虚拟 WAF,如以旁路模式镜像流量可实现恶意请求的检测,如以 串接模式过滤流量可实现相应的防护。外的其它功能,如对主机和容器安全审计、安全测试以及资源 监。
安全:docker 容器基本概念及其相关实践
qq_37858047的博客
03-20 435
一、docker介绍: docker是一种容器,什么是容器: A container is a standard unit of software that packages up code and all its dependencies so the application runs quickly and reliably from one computing environment ...
安全术语:容器
weixin_48645665的博客
07-12 491
安全术语:容器 *随着时代的到来,容器技术因为其带来的操作敏捷性等众多优点使得容器的采用率激增。容器的研究,容器安全问题等都成为网上的热点。但事实上,大多数安全团队仍在适应容器,而真正的容器安全专家也很少。为了更好的理解容器技术和容器安全问题,将在近期提供系列文章介绍有关容器的基本概念,容器安全性,以及容器技术的演进。 目前围绕Kubernetes、Docker和容器的术语和最佳实践在不断发展。* 以下是需要了解的基本术语。 **容器。**容器是软件的标准映像,它将代码和依赖关系打包,这样
容器化监控方案参考
03-17 1663
本篇为我在做公司容器化监控平台选型时的一些调研思路和资料记录,希望可以给到大家启发和帮助。 阅读本文,你可以了解到: 现阶段容器化方案总结 容器化监控曾经出现过的几种方案: 1/ Heapster[1] + ElasticSearch + Kibana 2/ Heapster[2] + influxdb + grafana Heapster 通过 cAdvisor 组件收集 Node 和 容器的监控数据。kubernetes 1.13 彻底移除对 Heapster 的使用,.
基于容器网络的安全容器方案Bastion
Ray的博客
09-04 1019
论文:BASTION: A Security Enforcement Network Stack for Container Networks 文章目录背景知识容器网络论文内容摘要引言背景和动机容器网络容器网络挑战假设和威胁模型容器网络接口插件的限制BASTION设计BASTION MANAGER容器信息收集BASTION网络栈管理Network Visibility ServiceDirect ARP HandlerInter-container Communication HandlerGatewa.
Docker容器(八)网络安全临时
wzj_110的博客
04-02 641
一 docker 网络模式 (1)基本网络配置 (2)高级网络配置 (3)网络解决方案进阶 二 原生网络 docker安装后会自动创建3种网络:bridge、host、none # yum whatprovides */brctl-->brctl的工具! # bridge-utils-1.5-9.el7.x86_64 docker network ls 5...
DNSSec:网络安全的守护者
最新发布
jiamisoft的博客
07-12 413
DNSSec是一种安全协议,它为DNS查询和响应过程提供了额外的加密层。通过使用公钥基础设施(PKI)和数字签名,DNSSec能够验证DNS响应的真实性,从而防止DNS欺骗攻击,即攻击者将用户重定向到恶意网站的行为。
网络安全-基础网络概念1
LS_Ai的博客
07-11 555
计算机网络是一种将多个计算机系统和设备连接在一起的技术,目的是为了共享资源和信息。网络使得设备之间可以进行数据传输和通信,常见的网络包括局域网(LAN)、广域网(WAN)和城域网(MAN)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗伯特之技术屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值