Serverless 安全新杀器:云安全中心护航容器安全

作者:胡志广(独鳌)

云安全中心对于 Serverless 容器用户的价值

从云计算发展之初,各大云厂商及传统安全厂商就开始围绕云计算的形态来做安全解决方案。传统安全与云计算安全的形态与做法开始发生变化,同时随着这 10 多年的发展,安全越来越被国家、企业重视,安全本身也在不断的发生变化。

面向 Serverless 用户的安全需求的重要场景:

图 1

为了解决这些安全场景的问题,Serverless 和云安全中心基于容器安全的场景进行了合作支持构建了一套面向 Serverless 的云上安全架构体系实现纵深防御能力。

云安全中心对于容器服务的安全能力

  • 漏洞扫描: 通过云安全中心检测您的应用中是否存在漏洞,云安全中心客户端 AliSecureCheckAdvanced 进程可能会在本地执行 POC 验证,发出特定的请求(POC 请求)以检查是否存在应用漏洞。这些请求旨在测试应用漏洞的存在性和实际危害性,而不会进行实际的恶意攻击。具体信息,请参见什么是漏洞管理 [ 1]
  • 入侵检测: 为了发现任何形式的隐藏和混淆的 Rootkit,Rootkit 检测功能依据通用 Rootkit 的原理进行操作,即总是存在对内核态函数(系统调用、VFS 函数及底层功能函数)的挂钩、篡改和劫持。通过对系统内存镜像进行必要数据的采集检查,来确定 Rootkit 的存在和属性,以及判断被篡改劫持的系统功能,推断 Rootkit 本身的功能作用。通过以上操作,尽可能准确地判定 Rootkit,并向用户告警传递相关信息。具体信息,请参见检测 Linux Rootkit 入侵威胁 [ 2]
  • 基线检测: 病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器,盗取数据或植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮助您加固系统安全,降低入侵风险并满足安全合规要求。具体信息,请参见基线检查 [ 3]

云安全中心同时也覆盖了主机、容器服务等资源,更多详细的内容也可以见:云安全中心 [ 4] 具体进行了解。

Serverless 对接云安全中心的架构和挑战

1. Serverless 对接云安全中心流程和架构

a. Serverless 容器安全架构

图 2

  • Serverless 应用能力:应用管理、流量、运维、部署等基本能力,基于容器安全沙箱建设弹性 Serverless 能力。
  • Serverless 安全能力:主要针对基于云安全中心作为技术底座,支持几大安全能力,包括:漏洞风险扫描、恶意文件检测、安全审计、配置风险检测等。

基于云安全中心为底座支持了 Serverless 容器安全能力结合 Serverless 应用管理能力后让 Serverless 架构更加完善和稳固。

b. Serverless 容器对接安全中心流程

图 3

  • 容器资产上报到 sae 管控。
  • sae 管控将容器资产同步到云安全中心。
  • 云安全同步到容器资产信息后与云安全 Agent 配合后可以检测应用的基线检测、入侵检测、漏洞扫描等能力,最终完成 Serverless 的容器安全闭环。

2. 重点挑战

面向 Serverless 对接云安全中心的挑战主要有三个部分:

  • 多租隔离: Serverless 设计了多租户隔离提供安全隔离方案,多租隔离包括:网络、安全容器、资产上报等。
  • 资源消耗影响: 新增云安全 Agent 后资源消耗是否影响存量用户,需要通过资源限制和压测保障不影响存量资源。(之前没有这个组件,采集和检测是否会影响到用户,尤其针对小规格容器)
  • 爆炸半径控制: Serverless 多种资源池的形态(固定资源池和弹性资源池),保障容器节点组件版本支持安全能力和云安全 Agent 的组件的同时推平;推平后保障存量容器不影响,需要安全中心的容器则采用新版本容器启动,这样可以既保证安全能力支持又兼容存量容器稳定性不受影响,从而保障爆炸半径的可控。
a. 多租隔离

图 4

  • 安全容器:基于安全容器隔离保障数据安全。
  • 网络多租:每个容器可以有自己的网卡,vpc 内可以互相访问。
  • 资产上报多粗隔离:容器资源上报安全中心根据用户资产进行隔离。
b. 资源消耗压测

SAE 目前有两种资源池的形式:

  • 固定资源池: 固定资源池是云安全 Agent 在宿主机上,然后与容器进行 socket 通信上报安全检测信息。
  • 弹性资源池: 弹性资源池的云安全 Agent 需要与业务容器和管控资源共享资源。

资源架构详见图 3。

两种模式分别都需要进行压测云安全 Agent 的极限来验证是否不影响业务容器的资源;

  • 多种资源规格的压测,包括 1c、2c、4c、8c。
  • 考虑 cpu 干扰和 rt 的影响。

重点面向的小规格容器压测的效果,因为小规格容器资源更容易被打满,资源的负载和 rt 影响会比较大。

压测结果:

主容器运行 CPU 密集型程序,将 CPU 打到 60%-90% 左右。

图 5

验证业务容器的 RT 不会因为拉起云安全 Agent 导致明显波动和资源争抢。

图 6

综上结论: 整体安全中心对接后对于存量容器的资源影响几乎可以忽略不计。

c. 爆炸半径控制

ⅰ. 挑战:

  • 容器节点组件和云安全 Agent 组件版本依赖同时推平
  • 如何保障容器组件和云安全 Agent 节点 Agent 发布后不影响存量容器按需开启,保障爆炸半径

ⅱ. 推平和生效规则:

  • 容器节点组件版本和云安全 Agent 按照地域从小地域到大地域逐步推平,实现 1:1 匹配推平。(固定资源池节点推平管控和云安全 Agent,弹性资源池根据新建容器支持安全能力)
  • 生效规则:管控侧、节点侧可根据开启云安全能力的用户 UID 生效,开启云安全的用户新创建的容器通过新版本创建容器,存量版本不影响,从而保障一个节点可以同时支持开启安全能力容器和老容器两个容器版本,并且可以快速回滚和开启,从而保障爆炸半径可控。(回滚:如果出现不兼容场景则将 uid 进行回滚到旧版本容器,临时关闭安全中心能力)

ⅲ. 生效流程:

图 7

用户侧流程:

  • 灰度控制:根据用户 UID 开启安全能力支持容器和管控侧同时开启。
  • 新建应用:固定资源池和弹性资源池创建支持云安全 Agent 的容器。
  • 存量应用:非开启安全的用户和存量应用保持存量容器版本保障稳定性,开启安全能力的通过重新部署支持安全能力的支持。

如果出现异常支持瞬时关闭安全能力回滚存量容器保障业务运行稳定性。

推平流程:

  • 先推平底层组件:节点管控组件和云安全 Agent 组件。
  • 开启安全能力:管控侧开启 UID 和容器组件开启 UID 支持。

Serverless 针对安全未来的展望

Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。

“我们希望让用户做的更少而收获更多,通过 Serverless 化,深度用云就像用水电煤一样简单” ,这也是 SAE 产品五年以来一直坚持的产品理念:让客户不用修改任何代码,不改变原有应用部署方式,零改造平滑迁移企业在线应用,零门槛容器化和 Serverless 化,免运维,开箱即用。

未来我们将继续砥砺前行,让更多的客户上云和深度用云时都践行 SAE First!相关链接:

[1] 什么是漏洞管理

https://help.aliyun.com/zh/security-center/user-guide/overview-4

[2] 检测 Linux Rootkit 入侵威胁

https://help.aliyun.com/zh/security-center/user-guide/detect-linux-rootkit-intrusions

[3] 基线检查

https://help.aliyun.com/zh/security-center/user-guide/baseline-check

[4] 云安全中心

https://www.aliyun.com/product/sas

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/427915.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

12种常见的华为杯数学建模竞赛matlab代码(建议收藏)

1.使用神经网络模型(向量量子化方法LVQ)解决分类/预测问题 clc;clear;​% 第一类蝗虫的触角和翅膀p1 [1.24, 1.27; 1.36, 1.74; 1.38, 1.64; 1.38, 1.82; 1.38, 1.90; 1.40, 1.70; 1.48, 1.82; 1.54, 1.82; 1.56, 2.08];​% 第二类蝗虫的触角和翅膀p2 [1.14, 1.82;…

小众语言ruby在苹果中的初步应用

前言 感觉Ruby在苹果系统中充当一种脚本语言来使用。 1、直接输入ruby没有反应 2、可显示结果的命令 ruby -e "puts Goodbye, cruel world!" 效果如下图: 说明苹果系统中ruby已经安装完毕,或者就是自带的。 3、编辑运行第一个ruby程序 输入…

阿里云盘bug,个人照片泄露 安当TDE透明加密完美保障数据安全

近期,阿里云盘出现了一个严重的隐私安全事件。用户在创建新相册时,系统意外地加载出了其他用户的照片,这些照片包括自拍、风景照、家人旅游照片等,引发了用户对隐私安全的担忧。阿里云盘官方对此事件迅速作出回应,确认…

ADB 安装教程:如何在 Windows、macOS 和 Linux 上安装 Android Debug Bridge

目录 一、ADB 介绍 二、Windows 系统安装 ADB 1. 下载 ADB 2. 解压文件 3. 验证 ADB 安装 4. 配置环境变量 5. 验证全局 ADB 使用 三、macOS 系统安装 ADB 1. 下载 ADB 2. 解压文件 3. 配置环境变量 4. 验证 ADB 安装 四、Linux 系统安装 ADB 1. 使用包管理器安装…

MySQL高阶1890-2020年最后一次登录

目录 题目 准备数据 分析数据 题目 编写解决方案以获取在 2020 年登录过的所有用户的本年度 最后一次 登录时间。结果集 不 包含 2020 年没有登录过的用户。 返回的结果集可以按 任意顺序 排列。 准备数据 Create table If Not Exists Logins (user_id int, time_stamp …

钉钉 钉钉打卡 钉钉定位 2024 免费试用 保用

打卡助手定位 如图,表示开启成功,软件已定位到钉钉打卡位置。 测试显示,高德地图位置已成功修改。 开启助手定位后,观察效果,打卡按钮由无法打卡变为可打卡状态,照片还显示打卡地点。 伙伴们担心作弊行为会…

《程序猿之设计模式实战 · 观察者模式》

📢 大家好,我是 【战神刘玉栋】,有10多年的研发经验,致力于前后端技术栈的知识沉淀和传播。 💗 🌻 CSDN入驻不久,希望大家多多支持,后续会继续提升文章质量,绝不滥竽充数…

摩尔-彭罗斯伪逆(pinv)

摩尔-彭罗斯伪逆是一种矩阵,可在不存在逆矩阵的情况下作为逆矩阵的部分替代。此矩阵常被用于求解没有唯一解或有许多解的线性方程组。 对于任何矩阵 A 来说,伪逆 B 都存在,是唯一的,并且具有与 A’ 相同的维度。如果 A 是方阵且非…

[Linux]自定义shell详解

自定义shell 前言1.命令行提示符,字符串的打印1.1命令行提示符2.命令行字符串 2.0对命令行字符串进行切割2.执行命令3.有趣的小问题完整代码 前言 写之前我们先看看一个完整的shell都包括了什么 $符号前面(包括这个符号)就是命令行提示符&a…

Mac 上哪个剪切板增强工具比较好用? 好用剪切板工具推荐

在日常文字编辑中,我们经常需要重复使用复制的内容。然而,新内容一旦复制,旧内容就会被覆盖。因此,选择一款易用高效的剪贴板工具成为了许多人的需求。本文整理了一些适用于 macOS 系统的优秀剪贴板增强工具,欢迎大家下…

OJ 旋转图像

题目: 给定一个 n n 的二维矩阵 matrix 表示一个图像。请你将图像顺时针旋转 90 度。 你必须在 原地 旋转图像,这意味着你需要直接修改输入的二维矩阵。请不要 使用另一个矩阵来旋转图像。 示例: 解题规律: 我们以题目中的示例二作为例子&a…

2024年全新deepfacelive如何对应使用直播伴侣-腾讯会议等第三方软件

# 2024年全新deepfacelive如何对应使用直播伴侣-腾讯会议等第三方软件 前提按照之前的步骤打开deepfacelive正确配置并且在窗口已经输出了换脸后的视频,不懂步骤可以移步 https://doc.youyacao.com/88/2225 ## 首先下载obs并配置 https://obsproject.com/ 通过…

Vue: 创建vue项目

目录 一.创建项目 二.项目添加 三.添加成功 一.创建项目 打开本机终端输入npm create vuelatest 二.项目添加 1. 项目名称: Project name: one_vue 2.是否添加TypeScript支持:Add TypeScript? Yes 3.是否添加JSX支持:Add JSX Suppor…

英飞凌 PSoC6 评估板 CAPSENSE 触摸滑条应用示例

PSoC™ 62 with CAPSENSE™ evaluation kit 开发板(以下简称 PSoC 6 RTT 开发板)是英飞凌(Infineon)联合 RT-Thread 发布一款面向物联网开发者的 32 位双核 MCU 开发套件,其默认内置 RT-Thread 物联网操作系统。本文主…

《网络协议 - HTTP传输协议及状态码解析》

文章目录 一、HTTP协议结构图二、HTTP状态码解读1xx: 信息响应类2xx: 成功响应类3xx: 重定向类4xx: 客户端错误类5xx: 服务器错误类 一、HTTP协议结构图 二、HTTP状态码解读 HTTP状态码(英语:HTTP Status Code)是用以表示网页服务器超文本传…

java通过org.eclipse.milo实现OPCUA客户端进行连接和订阅

前言 之前写过一篇关于MQTT的方式进行物理访问的文章:SpringBoot集成MQTT,WebSocket返回前端信息_springboot mqtt websocket-CSDN博客 最近又接触到OPCUA协议,想通过java试试看能不能实现。 软件 在使用java实现之前,想着有没…

品牌力是什么?如何评估企业品牌影响力?

品牌影响力,其实就是指品牌在消费者心智中所占据的位置,以及它对消费者购买决策和行为的影响力。如果一个企业的品牌影响力越强,它在消费者心中的印象就越深刻,能够更有效地驱动消费者的购买行为,形成品牌忠诚度&#…

2024.9.20营养小题【2】(动态分配二维数组)

这道题里边涉及到了动态分配二维数组的知识点,不刷这道题我也不知道这个知识点,算是一个比较进阶一点的知识点了。 参考:C语言程序设计_动态分配二维数组_哔哩哔哩_bilibili【C/C 数据结构 】二维数组结构解析 - 知乎 (zhihu.com)

JSONC:为JSON注入注释的力量

JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,广泛应用于Web开发、配置文件和数据存储等领域。 其简洁的语法和易于解析的特点,使得JSON成为了现代编程中不可或缺的一部分。然而,JSON的一个显著缺点是…

迁移学习+多模态融合,小白轻松发一区!创新性拉满!

多模态研究如今愈发火热,已成为各大顶级会议的投稿热门。今天,我为大家提供一个多模态的创新思路:迁移学习与多模态融合。 迁移学习多模态融合方向的优势 1.提升模型性能:综合更多维度优势,跨模态互补 2.快速适应新…