阿里云云原生開源開發(fā)者沙龍 -零信任策略下K8s安全監(jiān)控最佳實踐

阿里云技術(shù)專家2024/04/13CONTENT01云原生安全架構(gòu)體系概述目錄02典型的K8s安全監(jiān)控場景03安全數(shù)據(jù)監(jiān)控最佳實踐01云原生安全架構(gòu)體系概述業(yè)務(wù)數(shù)字化背景下企業(yè)T變化趨勢體驗是關(guān)鍵競爭力1%的延遲增加，帶來7%的用戶流失運維依賴的數(shù)據(jù)1%的延遲增加，帶來7%的用戶流失運維依賴的數(shù)據(jù)分布式復雜性分布式復雜性K8s的架構(gòu)和組件相對復雜，包括多個層次和模塊K8s環(huán)境產(chǎn)生大量日志數(shù)據(jù)，需集中分析并審計集群變更，預防安全風險訪問控制運行時安全網(wǎng)絡(luò)安全運行時防護運行時監(jiān)控可信軟件供應鏈靜態(tài)數(shù)據(jù)加密鏡像掃描鏡像安全運行時安全網(wǎng)絡(luò)安全運行時防護運行時監(jiān)控可信軟件供應鏈靜態(tài)數(shù)據(jù)加密鏡像掃描鏡像安全〔-〕阿里云〔-〕阿里云●訪問所有資源必須認證、授●細粒度訪問控制，最小化授權(quán)●持續(xù)監(jiān)控，自適應、動態(tài)策略，運行時防護安全合規(guī)，基于角色的認證、訪問控制，審計，RAM安全合規(guī)，基于角色的認證、訪問控制，審計，RAM聯(lián)合認證和細粒度授權(quán)公有云專有云安全場景-K8s運行時監(jiān)控Logs/Metrics三TCP/IPTCP/IPApplicationApplication〔-〕阿里云安全場景-K8s運行時監(jiān)控Networking7可觀測性ProcessProcessexecve()eBPFsyscallexitScheduler安全場景-K8s運行時防護用戶空間規(guī)則引擎eBPFAPIserver:K8s集群資源變更、查詢的入APIserver:K8s集群資源變更、查詢的入審計日志：·記錄集群所有安全相關(guān)的時序操作記錄。·追溯集群狀態(tài)變更；了解集群運行狀況；發(fā)現(xiàn)集群潛在安全、性能風險等?！?〕阿里云安全場景-K8s集群審計監(jiān)控查看審計查看審計日志報表集群管理員設(shè)置告警自定義分析集成報表存儲檢索分析大盤LogtailK8SApiServer審計事件事件采集組件9Kubernetes審計中心概覽時間選擇C刷新②重置Ω告警訂閱另存為分享3√三編輯▽Namespace(可選)請輸入√了請輸入√▽狀態(tài)碼(可選)請輸入√幫助文檔事件總數(shù)1周(相對):非法訪問次數(shù)1周(相對):13次創(chuàng)建事件數(shù)1周(相對)刪除事件數(shù)1周(相對):APIServer重定向次數(shù)1w:0次子賬號操作分布1周(相對)刪除事件分布1周(相對)2.02%-■deployments總計：11484995.99%4000002000001周(相對)0.00%-0.00%-59923~~^333464.100.00%024-03-311924-04-022124-04-042324-04-0701安全場景-K8sEventNPD加持·將節(jié)點的異常轉(zhuǎn)換為Node的事件。podsaneletnodepodsaneletnodeEventEventEmit/DashboardaplWatchEventsDetector)SinkEventsConditionSinkEventsWarning:event三SLSDingtalkService2ServiceService2AppAppNginxNginxIngressService4ServiceService4AppApp數(shù)據(jù)采集層安全監(jiān)控場景：配曹監(jiān)控：版本管理、變更記錄、配置信息:安全監(jiān)控：安全漏洞、入侵事件·從核心組件到上層應用容器·從核心組件到上層應用容器·容器動態(tài)遷移、伸縮·容器運行時：從Docker到〔-〕阿里云K8s安全監(jiān)控場景特點數(shù)據(jù)規(guī)模大數(shù)據(jù)種類多數(shù)據(jù)規(guī)模大數(shù)據(jù)種類多CloudSIEM主機/容器運行時安全安全可觀測CloudSIEM主機/容器運行時安全安全可觀測大模型安全UEBA網(wǎng)絡(luò)安全安全數(shù)據(jù)模型安全事件處理與分析安全規(guī)則安全事件管理關(guān)聯(lián)分析獨享計算LogStoreMetricStore冷熱分離安全數(shù)據(jù)采集數(shù)據(jù)加工消費投遞MetricTraceEvent加工清洗數(shù)據(jù)聚合數(shù)據(jù)投遞·內(nèi)置規(guī)則監(jiān)控。數(shù)據(jù)采集消費投遞典型云原生安全監(jiān)控平臺K8s預聚合指標配置安全操作審計配置安全規(guī)則應用定時規(guī)則應用AIOps巡檢iLogtail規(guī)則引擎iLogtail網(wǎng)絡(luò)監(jiān)控安全數(shù)據(jù)模型運行時告警網(wǎng)絡(luò)監(jiān)控安全數(shù)據(jù)模型運行時風險分析數(shù)據(jù)拓撲·K8s支持·容器過濾·上下文關(guān)聯(lián)·K8s支持·容器過濾·上下文關(guān)聯(lián)·數(shù)據(jù)處理·靈活編排·多租戶隔離。機器組管理,更原生友好的K8s支持〔-〕阿里云安全數(shù)據(jù)采集器iLogtail定位為可觀測數(shù)據(jù)的采集器，構(gòu)建統(tǒng)一的業(yè)務(wù)輸入輸入云計算產(chǎn)品集成Supervisor輸出telegrafinfluxdbOpenTelemetryWindowsACK告警selectselectts_predicate_arma(time,value,5,1,1,1,1,true)from安全數(shù)據(jù)分析SQL=Search+SQL92+PromQL+ExtendedFunctions·多數(shù)據(jù)源(關(guān)鍵詞查詢、PromQL、機器學習函數(shù)、外部DB)融50+算子擴展50+算子擴展關(guān)鍵詞查詢PromQLselect*fromlogwherename='up'andmachinelike'et2*'selectpromql_query('up')frommetricsselectpromql_query_range('up',1m')frommetricsselectsum(value)from(selectpromql_query('up')frommetrics)((select(time/1000)astime,valuefrom(selectpromql_query_range('1-avg(irate(node_cpu_seconds_total{instance=~".*",mode="idle"}[10m]))','10m')astfrommetrics)orderbytimeasc)limit10000LogStoreMetricStoreML模型CMDB短信短信郵件〔-〕阿里云安全監(jiān)控告警機制告警通知告警管理告警通知開放告警開放告警路由抑制鏈路中心了過濾了過濾語音語音釘釘認證額度映