TAG-云原生安全白皮書

Approved 4 4 6 6 7 7 8 44 44 44 45 46 54 問題分析開發(fā)），分發(fā)部署運行時https://kubernetes.io/docs/concepts/sec訓更早地進行整合，安全組織可以實現(xiàn)預防安全是一個多目標且多限制的問題領域，涵息）安全官（CISO）或首席技術官（CTO他們希望提供一個和架構。特別強調(diào)安全架構與組織安全目標之9圖1,將安全策略嵌入到配置文件中，并在私有云、企業(yè)內(nèi)部數(shù)據(jù)中圖2使用威脅建?？梢宰R別代碼中高風險和高影統(tǒng)、基礎設施和數(shù)據(jù)庫加固、應用程序測試測試，如模糊測試、容器配置）、集成或系序和基礎設施組件及其交互）和冒煙測試（署后檢查）。測試作者應該可以訪問全面的圖3“分發(fā)”階段負責消耗鏡像定義和規(guī)范以構構建管道鏡像掃描系統(tǒng)（CVSS）評分和可用的緩解/修復措施鏡像強化測試），允許系統(tǒng)逐漸硬化。測試以驗證硬化是否發(fā)生?不遵守最小權限原則的設工件和鏡像圖4執(zhí)行前部署檢查將可觀測性和度量指標引入云原生架構可以事件響應和緩解圖5但運行時的安全性取決于前幾個階段的安全計算編排運行時可以用來建立容器的安全權限。使用粒度的審計配置和過濾。此外，云原生日志避免警報泛濫、疲勞和在系統(tǒng)未檢測到的安?由編排系統(tǒng)用數(shù)據(jù)加密密相反，完整的工作負載或在運行時處理隱私敏離和安全，還提供網(wǎng)絡層的彈性功能，例如種斷路器功能。流媒體平臺可以通過使用工置主題或代理的訪問規(guī)則來提高安全性，從而到生產(chǎn)環(huán)境中，但它們不能阻止所有問題。進行動態(tài)掃描，以檢測尚未發(fā)生過的惡意行泄之類的事件，在大多數(shù)環(huán)境中是不被考慮在安全測試中。對于工作負載中可能存在時問題，只有通過與基線預期行為進行比較才置，并能夠進行自我認證。這些步驟通常是存儲），何存儲或使用由存儲系統(tǒng)或服務持久化的數(shù)存儲系統(tǒng)還包含一個控制面板/管理接口，通常是將文件或塊持久化到對象存儲的文件系統(tǒng)。組級別應用權限。與容器化和微服務架構的進行保護。首先，這種保護通過確保數(shù)據(jù)對實現(xiàn)，并且應作為系統(tǒng)中的透明層存在。這鏡像、糾刪碼或副本等技術。其次，保護數(shù)統(tǒng)會對塊、對象或文件添加哈希和校驗和?；謴蛽p壞的數(shù)據(jù)，同時也可以提供一層保護數(shù)據(jù)副本移動到遠程位置，因此需要確保在更安全加密算法的附加安全保護措施。此外，這一點尤其重要，因為特權容器可以在不同加密和校驗和的功能，以確保緩存層能夠檢訪問必須利用相互/雙向傳輸身份驗證。身份驗證和的授權是基于其被分配的屬性和角色/權限授予的），證，并且他們的所有操作都必須根據(jù)訪問控制運行時注入，以免通過日志、審計或系統(tǒng)轉(zhuǎn)儲泄可用性），通常是通過向關鍵微服務或資源發(fā)送大量無），），端到端架構威脅識別?篡改：篡改API服務），），威脅情報）：）：）：嘗試獲得根或管理員權限。攻擊者可能會逃）：）：）：）：事件響應對于已有事件響應和分級工作流程的組織，會無意中處理證據(jù)不當，因為這些編排器將工著許多企業(yè)將其運營轉(zhuǎn)移到公共云和私有云中將定期的安全評估、漏洞掃描和滲透測試作期階段進行惡意軟件檢測。要實現(xiàn)這一點，測能力和基于指標的威脅情報并不是一個完將需要執(zhí)行深度防御策略，包括對內(nèi)部和云和強制代碼/配置管理來減少攻擊面，從而顯需要的時候禁用更新/刪除。應該維護備份并練習，以了解您的組織將如何應對潛在的勒的組織是網(wǎng)絡攻擊的受害者，這將包括與誰在此階段，您將需要快速有效地檢測可疑/惡意代根除它。在此過程中，您需要盡最大努力盡證證據(jù)。通過這種方式，您可以調(diào)查事件以信息。您還需要了解他們是否在整個環(huán)境中難恢復計劃、備份、端點、變更管理、外部和最小特權功能時，組織可能會發(fā)現(xiàn)許多容器具有特權—root權限才能操作。因此，可能需要采取額外角色和職責在執(zhí)行的活動中進行心理轉(zhuǎn)換。最終，允許將三方軟件創(chuàng)建者、集成商和分銷商相關的風險。過程中生成增量報告并將其與相應的SBOM一起存儲，可以幫助），驗證。軟件生產(chǎn)商應使用可信文檔（如已簽名制提供相關信息。例如，基礎設施可能會自動向GitOps（v2新增）并且應該通過設計來確保安全?；A設施的?要求線性歷史記錄，并通錄?強制執(zhí)行分支策略。特別?利用專用的非用戶技術帳?限制可以提升權限以刪除零信任架構結構提供了價值，并應予以考慮，但它并不是零），采用和實施這些基準，使團隊能夠?qū)κ褂冒踩┻@些標準。這種支持遵守特定標準的證據(jù)收企業(yè)小微企業(yè)金融醫(yī)療保健公共部門用例：在歐盟法規(guī)下安全的保障金融機構運行v2新增?。?，)))/cncf/survey/cncf/tag-security/issues/new?assigrequired&template=suggestion.md&title=%5BS安全軟件開發(fā)框架（SSDF）v1.1參考（v2新發(fā)解PW.1.2RV.1.3RV.2.1R/nistpubs/SpecialPubSP.800-204.pdf/nistpubs/SpecialPubSP.800-190.pdf4./nistpubs/SpecialPublications/NIST.SP.800-218.pdf18.OPAL-https://trustedcomputincontent/uploads/TCG_Storage-Opal_SSC_v2.01_rev1.00.pdf/library/view/cissp-certified-information/9780470276884/978047027https://www.eba.europa.eu/regulation-and-policgovernance/recommendations-on-outsourcing-to-cloud-35./cncf/surve