容器云平台运行情况下,需要遵循哪些云原生安全标准与设计?
本文是2020容器云职业技能大赛优秀课程《容器云平台安全合规标准》的试读。通过本课程的学习,能够快速了解在当前容器云平台已经运行的情况下需要遵循的云原生安全标准与设计。 本次大赛学习平台由上百位来自用户社区及共创厂商的技术专家联手打造,是一场集学习、认证与比赛一体化的产业级学习运动。共发布5个岗位免费课程75个,其中运维管理岗课程共14个,完成课程学习+自测,获取岗位结业证书,还可以参加正在进行的“精英比赛”。具体请戳>>>运维管理岗位专属的容器云技能认证,你可以拥有→
2020 容器云职业技能大赛运维管理岗课程系列之——《容器云平台安全合规标准》
课程出品人杨磊,宁波银行,应用管理部高级经理。主要负责银行IT基础架构、容器、微服务等方面的运维管理。2020容器云职业技能大赛百位专家委员会成员
1.7 告警、日志和响应
试读章节
*因课程内容体量大,此处提供部分试读,全文内容可参考上面的目录,感兴趣可以直接下载全文,该系列15个课程系列全部开放免费学习1 容器云平台安全合规标准
1.1 安全标准总览
1.1.1 标准简述
本标准为最终用户提供了一个完善的云原生安全能力体系,涵盖了基于云原生应用的开发、测试、运维,到生产环境运行时的全生命周期的安全标准。本标准参考了知名咨询公司Gartner的容器安全研究报告中总结的容器安全控制体系。
1.1.2 Gartner标准
Gartner建议组织将基于风险的安全管控应用于容器安全架构、微服务架构或CI/CD流水线。例如,如果某些微服务应用不太重要,因它们不处理敏感数据或不暴露给不受信任的各方,需要少量的控制。具有非常关键业务功能和数据的应用可能会使用更多的安全管控。如果使用公有云服务,其中更多的安全责任应由云服务提供商(CSP)承担,不会受到客户的影响。
上图说明控件分为三类:
Foundation controls基础控制:这个层级是最终用户始终关注且需要的安全基础,是可以广泛访问的控制。例如,可以在GitHub上使用基于CIS基准的主机强化脚本。这些可以是容器主机OS或轻量级Linux发行版的一部分,这些发行版旨在使托管容器尽可能简单高效,例如Red Hat Enterprise Linux Atomic Host或CoreOS。例如,可以在Docker企业版(EE)中作为K8S或AWS的一部分(产品称为AWS Secrets Manager)或作为专用产品(例如HashiCorp Vault)使用密钥管理。并非所有实现都具有相同的安全级别。 例如,低于1.7的K8s版本会将您所有的机密存储在明文文件中。
Basic controls基本控制:这层是安全控制和体系架构,是操作容器和基于微服务架构应用的最佳实践。
Risk-based controls基于风险的控制:这些是基于结构化风险评估结果而配置的控制。例如,漏洞管理和配置管理对于运行持久性单体组件(例如MongoDB)的容器更为重要。它们通常由重量级的Linux分发镜像组成,这些镜像的攻击面比运行良好的微服务容器的攻击面大得多。另一个示例是可变的基础结构,而不是不变的,即使在基础结构自动化中也是如此。尽管有些反模式,但许多最终客户已经实现了不可变的基础架构,但是与建立新镜像和重新部署相比,他们发现更容易将SSH插入实例并进行修复。
1.2 构建、集成、部署预备安全
1.2.1 镜像安全标准
标准:镜像是应用交付标准,在应用开发阶段,对镜像进行安全漏洞扫描,可以有效减少应用漏洞攻击面,提高应用安全级别。
能力要求:
• 支持对镜像进行已知漏洞的扫描功能,且能够对扫描结果进行统计分析
• 支持漏洞库的更新
• 支持对接多个漏洞库的能力
1.2.2 镜像传输安全标准
标准:严格控制镜像仓库的身份验证和授权限制,防止攻击者对镜像进行篡改。可通过一定技术手段发现被篡改镜像。
能力要求:
• 支持镜像文件安全传输,如通过TLS加密等
• 支持镜像校验和用来保证镜像完整性,以防镜像被篡改破坏
1.3 镜像仓库安全
1.3.1 镜像仓库安全标准
标准:镜像仓库集中存放与管理应用镜像,最终用户应对镜像仓库进行访问权限控制,防止应用镜像被恶意篡改、泄漏,或避免将高危安全隐患带入生产环境。
能力要求:
• 支持自定义仓库访问策略以管理镜像的推送、拉取权限
• 企业级镜像仓库的同步能力
• 支持基于镜像扫描结果的镜像拉取限制,如存在高危漏洞的镜像禁止从镜像库拉取或禁止推入镜像仓库等操作
1.3.2 镜像仓库访问控制标准
标准:镜像仓库访问需要有权限控制,防止非授权人员访问镜像仓库,造成安全隐患。
能力要求:
• 支持镜像访问的角色权限控制
1.3.3 镜像仓库扫描管理标准
标准:镜像仓库存放与管理应用镜像,对镜像进行安全漏洞扫描是最基本安全防范措施。
能力要求:
• 支持对镜像仓库存储镜像的漏洞扫描能力
• 支持镜像推入镜像仓库时的自动漏洞扫描
• 支持镜像仓库定期扫描
• 支持镜像仓库镜像扫描告警
• 支持漏洞库更新时镜像仓库更新扫描
(试读章节完。篇幅所限,如需系统学习可以直接免费下载全文,学习中有疑问,可以参加在线辅导答疑。)学习方式点击文末阅读原文或识别以下二维码下载完整课程文档:
针对本课程社区已组织专家线上答疑活动:
学习过程中如有疑问,就扫描添加社区管理员为好友,加入到我们为您精心准备的学习班吧!有专家在线及时解答您在学习中的各种疑惑。
2020 容器云职业技能大赛
运维管理岗课程系列
课程1:容器云平台标准规范流程设计容器云平台的应急安全思路和处理方法容器云平台对外服务接口标准容器云平台安全合规标准
课程2:容器云平台关键问题解决和运维容器云平台性能分析容器核心技术问题的攻关容器云平台重大问题的分析、定位及排除容器云平台的集群高可用的运维容器云平台的监控容器云平台突发情况的排查和处理
课程3:容器云平台运维架构设计容器云平台的运维架构设计容器云平台规划部署架构设计容器云平台监控产品的选型容器云平台所涉及自动化引擎技术选型容器云平台用户角色定义
识别以下二维码
了解更多”2020年容器云职业技能大赛“信息:
长按二维码关注公众号
*本公众号所发布内容仅代表作者观点,不代表社区立场