鸟哥谈云原生安全最佳实践

admin管理员组

文章数量:1607886

嘉宾 | 鸟哥   整理 | 孙正印

出品 | CSDN云原生

2022年6月7日，在CSDN云原生系列在线峰会第7期“安全技术峰会”上，鸟哥谈安全公众号作者、某互联网公司云化办公安全架构师鸟哥分享了Google、阿里巴巴的云原生安全最佳实践。

云原生安全的定义

Gartner定义的大一统云原生安全包括三方面：云安全、应用安全（DevSecOps）和运行时保护。

其中，云安全可以分成五个层面：

• 第一层是架构及代码的扫描能力

• 第二层是网络配置和安全策略

• 第三层是CIEM，也称之为特权管理和AK管理

• 第四层是K8s的安全态势，包括K8s的安全配置和Pod的安全策略

• 第五层是CSPM，主要是数据泄露，在云上的所有云产品都可以通过CSPM做对应的配置检查，来保证不安全的配置没有开放到互联网

DevSecOps是应用安全主流方式，在Dev阶段主要做的事情是能够进行左移，充分减少上线后的修复成本。

而狭义的云原生安全框架如下图所示，可以看出，最底层是容器层。

以阿里容器为例，它是构建在ASI（Alibaba Serverless Infrastructure）底座的ECS基础上，以ASI Pod的形式运行，所以最底层单个容器做了沙箱隔离。容

本文标签： 鸟哥谈云