云原生應用保護平臺建設指南 2024 12

目標任務的關鍵年。在此背景下，光明網(wǎng)網(wǎng)絡安全頻道攜手中國信息通信研究院云計算與大數(shù)據(jù)研究所、《信息安全研究》，在浙江大學網(wǎng)絡空間安全學院、《中國金融電腦》、青藤云安全等單位支持下，聯(lián)合推出《安全洞察·大咖說》云原生安全專題訪談活動，邀請來自政府、金融、通信、交通、能源、制造、互聯(lián)網(wǎng)等行業(yè)相關負責人，分享數(shù)字化轉(zhuǎn)型持續(xù)深化路徑、新技術應用安全風險防范策略等內(nèi)容；同時，聚焦前沿趨勢及行業(yè)實踐調(diào)研，撰寫發(fā)布《云原生應用保護平臺（CNAPP）建設指南（2024）》，旨在積極發(fā)揮行業(yè)示范引領作用，降低重復試錯成本，為各行業(yè)用戶提升安全防護策略提供借鑒參考。 隨著云計算技術的飛速發(fā)展，云原生應用已成為推動企業(yè)數(shù)字化轉(zhuǎn)型的核心力量。然而，隨著企業(yè)架構向云原生的遷移，傳統(tǒng)的安全防護措施面臨著前所未有的挑戰(zhàn)。云原生環(huán)境的動態(tài)性、分布式特征以及對微服務架構的依賴，使得安全威脅更加隱蔽和復雜。為了應對這些挑戰(zhàn)，云原生應用保護平臺（CNAPP）應運而生，它提供了一種全新的安臨的挑戰(zhàn)和機遇。指南深入解析了開發(fā)安全、基礎設施安全和運行時安外，結(jié)合運營商、政務、金融、制造業(yè)等行業(yè)的實踐案例，該指南為各趨勢。該指南為企業(yè)構建云原生安全體系提供了寶貴的參考，幫助其應通過本報告的深入分析和實踐指導，企業(yè)能夠構建起一個強大的云原生安全體系，有效應對云環(huán)境下的復雜安全挑戰(zhàn)，確保業(yè)務的連續(xù)性原生安全體系，有效應對云環(huán)境下的復雜安全挑戰(zhàn)，確保業(yè)務的連續(xù)性和數(shù)據(jù)的安全性。希望本報告能為企業(yè)的云原生安全建設提供寶貴的參 - 01 02 脅，提升了安全運營的效率。傳統(tǒng)的安全工具通常需要大量手動操作和管理，增加了企業(yè)的運維負擔。03 表1GartnerCNAPP市場預測04 05 與“無代理”方案的不足，實現(xiàn)更高效的安全監(jiān)測與防護。此外，用戶的體驗也不容忽視，需要持續(xù)優(yōu)11眾所周知CNAPP所能覆蓋的資產(chǎn)范圍比較廣泛，數(shù)據(jù)安全、應用安全、應急響應、安全架構等不同領域的團隊。每個團隊都擁有解決部分云風險的責任，但在產(chǎn)品運營和產(chǎn)品規(guī)劃上，團隊之間如果缺少緊密地協(xié)作，與明確的職責劃分，那么當出現(xiàn)安全風22許多組織已部署了各類安全產(chǎn)品，以解決從代碼、到云上的安全性與合規(guī)性。比如運行時保護（CWP端點檢測和響應（EDR云安全并且也要考慮避免部署完整CNAPP所帶來的運格把控，防止大量告警使高風險問題被海量告警淹沒，造成信息資產(chǎn)06 33的配置集成以及使用體驗，都是需要設計優(yōu)化的地方。如果同一類型的告警需要針對不同云單獨開啟或配置，那么會大大增加安全運營人員的治理成本。而對于多云環(huán)境的挑戰(zhàn)不僅僅在于產(chǎn)品的使用上，不和數(shù)據(jù)上下文也是需要非常投入精力的，這對于全面理解和解決風險中運行。SaaS服務部署的產(chǎn)品則要額外考慮資產(chǎn)的數(shù)據(jù)安全，是否會由于部署CNAPP產(chǎn)品產(chǎn)生更多的暴露面，最優(yōu)數(shù)據(jù)掃描位置選擇，強制用戶在公共云環(huán)境中掃描，增加了計算成本在的攻擊向量和新興威脅，從而提前采取防御措施，增強安全態(tài)勢感知。此類預防性保護措施有助于降07 云原生應用開發(fā)過程中往往面臨著諸多安全挑戰(zhàn)，這些挑戰(zhàn)包括源代碼的機密性、完整性和可用性核心資產(chǎn)保護：源代碼是軟件開發(fā)公司的核心資產(chǎn)，包含了技術細節(jié)、創(chuàng)意設計、商業(yè)計劃等敏感避免經(jīng)濟損失：源代碼泄露可能導致被其他公司惡意抄襲，開發(fā)類似產(chǎn)品，從而給公司帶來巨大的對源代碼進行加密，確保其在存儲和傳輸過程中的安全性全磁盤加密指的是對整個開發(fā)環(huán)境或存儲設備其中，透明加密技術，又稱自動加密技術或無感加密，是一種在數(shù)據(jù)保存或傳輸過程中自動對數(shù)據(jù)進行加密，而在用戶訪問時自動解密的技術。透明加密技術通常與操作系統(tǒng)、文件系統(tǒng)或應用程序緊密結(jié)合，其核心思想是將加密和解密過程隱藏在操作系統(tǒng)內(nèi)部，使得用戶無感知。具體來說，透明加密軟件會在操作系統(tǒng)內(nèi)核中嵌入一個虛擬加密層，這個層會將用戶的文件系統(tǒng)訪問請求攔截下來，然后對文件進行加密或解密操作。加密過程：當數(shù)據(jù)被寫入磁盤、通過網(wǎng)絡發(fā)送或通過特定應用程序處理時，加密引擎會自動識別并加密這些數(shù)據(jù)。解密過程：當用戶需要訪問這些數(shù)據(jù)時，加密引擎會再次介入，自08 全磁盤加密技術，又稱全卷加密或全驅(qū)動器加密，是一種在操作系統(tǒng)級別對磁盤括操作系統(tǒng)本身、用戶文件、系統(tǒng)文件等）進行加密的技術。其目的是防止未授權的硬盤、非法訪問等）導致的數(shù)據(jù)泄露。即使磁盤被非法獲取，未經(jīng)授權的訪問者也無據(jù)。全磁盤加密技術通常通過以下步驟實現(xiàn)：首先，進行加密密鑰的生成與管理，由或者通過其他安全方式進行管理和保護。加密過程中，當磁盤寫入數(shù)據(jù)時，加密引擎據(jù)，并使用加密密鑰對數(shù)據(jù)進行加密。加密后的數(shù)據(jù)以密文形式存儲在磁盤上。在解要讀取磁盤上的數(shù)據(jù)時，加密引擎會自動識別并解密這些數(shù)據(jù)。解密后的數(shù)據(jù)以明文訪問控制技術包括細粒度權限管理和身份認證與授權，其中細粒度權限管理指的是根據(jù)員工的角色和職責，設置不同的訪問權限，確保只有授權人員才能訪問源代碼。身份認證與授權指的是通過強身份權限進行細致劃分的授權方式。它允許對單個數(shù)據(jù)項或操作進行權限控制，而不是像粗粒度權限管理那同時確保合法用戶能夠高效地使用所需資源。細粒度權限管理技術通?；谝韵略瓌t進行工作：一是角色與權限定義：即定義不同的用戶角色，并為每個角色分配相應的權限。權限可以具體到某個數(shù)據(jù)項、某個操作或某個時間段等。二是訪問控制策略，即制定詳細的訪問控制策略，明確哪些用戶或角色可以權限驗證與授權是指當用戶嘗試訪問資源或執(zhí)行操作時，系統(tǒng)會進行權限驗證。根據(jù)用戶的身份、否則，拒絕訪問并可能記錄日志或觸發(fā)警報。身份認證是確認用戶身份的過程，它要求用戶提供身份證明（如用戶名和密碼、生物特征等系統(tǒng)通過驗證這些證明來確定用戶是否有權訪問系統(tǒng)或資源。常安全審計主要指的是審計日志，即記錄所有對源代碼的訪問和操09 追溯和審查。審計日志是一種記錄系統(tǒng)或應用活動詳細信息的日志，它記錄了用戶操作、系統(tǒng)事件、錯誤信息等關鍵數(shù)據(jù)，用于后續(xù)的安全分析、問題排查和合規(guī)性檢查。審計日志通常包含以下內(nèi)容：一是三是時間戳：記錄事件發(fā)生的確切時間，以便進行時發(fā)起者IP地址，有助于追蹤攻擊者。五是詳細操作信息：如操作的具體內(nèi)容、參數(shù)、結(jié)果等，以便進代碼審查與安全掃描是源碼安全的核心部分，主要包括靜態(tài)代碼分析，指的是在代碼編寫階段，通過工具自動檢查代碼中的安全漏洞和潛在錯誤。靜態(tài)代碼分析能夠在不執(zhí)行代碼的情況下，通過檢查源在編譯和運行代碼之前就發(fā)現(xiàn)潛在的問題，如語法錯誤、邏輯錯誤、安全漏洞等，減少后期調(diào)試和修復提高代碼的可讀性和可維護性。還能夠增強安全性，識別和修復代碼中的安全漏洞和潛在的安全風險，詞法分析：將源代碼分解為一系列的標記（token如變量名、關鍵字、運算符等，建立代碼的基語法分析：將詞法分析器生成的標記按照語法規(guī)則數(shù)據(jù)流分析：通過分析代碼中的數(shù)據(jù)流和變量的使用情況，來檢測未初始化的變量、空指針引用、源碼安全中的物理安全措施技術是一系列旨在通過物理手段保護源代碼不被非法訪問、竊取或破壞的技術和策略。這些措施主要關注于硬件、網(wǎng)絡環(huán)境和物理空間的安全管理。物理隔離是最直接且有效的防止源代碼泄露的手段之一。企業(yè)應將開發(fā)環(huán)境與外部網(wǎng)絡物理隔離，使用專用的開發(fā)網(wǎng)絡，并禁止 企業(yè)應建立完善的備份與恢復策略。這包括定期備份源代碼、將備份數(shù)據(jù)存儲在安全的物理位置、以及制定詳細的恢復計劃等。在發(fā)生意外情況時，企業(yè)能夠迅速恢復源代碼，減少損失。網(wǎng)絡安全措施則是部署和運行的各個階段都可能面臨安全風險。因此，確保制品的安全性是保障云原生應用整體安全性的越來越多的企業(yè)采用容器化應用來加速軟件開發(fā)和部署。然而，容器鏡像作為創(chuàng)建容器的模板，其容器鏡像掃描技術主要基于以下原理進行：ooo容器鏡像掃描的過程通常包括以下幾個步驟：ooo結(jié)果生成：掃描完成后，掃描工具會生成詳細的掃描報告，列出鏡像中存在的安全漏洞和惡意文件 容器鏡像掃描技術具有以下特點和優(yōu)勢：ooo軟件供應鏈安全旨在確保軟件產(chǎn)品在整個生命周期內(nèi)都是可信的、安全的。這包括對軟件開發(fā)過程中的代碼審查、漏洞掃描、組件來源管理等，以及對軟件部署和運營過程中的安全加固、風險評估和監(jiān)控等措施。軟件供應鏈安全是保障企業(yè)信息安全和業(yè)務連續(xù)性的重要環(huán)節(jié)。近年來，由于軟件供應鏈安全問題導致的安全事件頻發(fā)，給企業(yè)和個人帶來了巨大的經(jīng)濟損失和聲譽損失。同時，軟件供應鏈安全也是軟件供應鏈安全面臨的挑戰(zhàn)多種多樣，主要包括：一是惡意代碼注入：攻擊者通過在軟件供應鏈中注入惡意代碼，實現(xiàn)對軟件的篡改和破壞，從而達到竊取數(shù)據(jù)、破壞系統(tǒng)等目的。二是組件漏洞：軟件組件中存在的漏洞往往會被攻擊者利用，導致軟件產(chǎn)品的安全性受到威脅。三是非法軟件組件：軟件產(chǎn)11代碼審查與漏洞掃描主要包括：靜態(tài)應用程序安全測試（SAST即接口等來檢查程序的正確性。動態(tài)應用程序安全測試（DAST即通過模擬攻擊來測試應用程序的安全性，能夠發(fā)現(xiàn)運行時漏洞。交互式 22組件來源管理指的一是對軟件組件進行嚴格的來源審查，確保組件的合法性和安全性。二是使用可信的組件庫和版本控制系統(tǒng)，避免使用33安全加固與風險評估一是指對軟件進行安全加固，如加固代碼、限制權限等，而是指定期進行風險評估，識別潛在的安全威脅，并采取相44監(jiān)控和應急響應首先要建立完善的監(jiān)控體系，對軟件供應鏈中的各個環(huán)節(jié)進行實時監(jiān)控。其次，是需要制定應急響應計劃，一旦發(fā)生安全55利用自動化安全工具進行軟件供應鏈安全防御，如自動化代碼審查工具、自動化漏洞掃描工具等。這些工具能夠顯著提高安全檢測的效率云基礎設施權限管理（CloudInfrastructureEntitlementManagement,CIEM）是確保云環(huán)境中訪問權限和身份驗證得到有效控制的關鍵組件，主要用于管理和控制云平臺的使用和訪問權限。通過對云平臺進行身份權限管理，檢測用戶賬號是否存在過度授權、密碼過期等問題，幫助管理人員及時發(fā)現(xiàn)配置錯誤、影子管理帳戶以及人員、應用程序和機器身份的過度授權相關的風險。這有助于云安全團隊 CIEMCIEM能夠使用機器學習和分析技術來檢測帳戶權限中的異常事件，如特權累積、休眠異常的實時警報和響應：當檢測到潛在的安CIEM能夠檢測、自動調(diào)整并持續(xù)監(jiān)視云環(huán)境中所有標識的權限，確保它們符合最小特跨云權限發(fā)現(xiàn)：提供關鍵云平臺的精細和標準化指標，幫助組織了解哪些權限被授予了權限優(yōu)化：通過實施嚴格的訪問控制，優(yōu)化隊能夠有效地監(jiān)控云安全狀況和用戶對云資CIEMCIEM解決方案持續(xù)監(jiān)視訪問活動，以識別過時的標識與范圍合適的活動權限，從而幫1122CIEM在云環(huán)境中實施最小特權原則，確保用戶只能訪問其完成工作所必需的資源。這有助于減少潛在的安全風險，防止惡意用戶或內(nèi)部 IaC是一種將基礎設施、工具和服務以及對這些基礎設施的管理作為軟件系統(tǒng)來處理的方法。它采用軟件工程實踐，以可重復的、可靠的方式來設計、改變和部署軟件環(huán)境。通過代碼來管理和配置基礎 ②Docker?le安全掃描ooo權限與用戶管理：1.確保在Docker?le中設置了適當?shù)挠脩魴嘞蓿苊庖詒oot用戶運行容器 Kubernetes是一個開源的編排管理平臺，用于支持容器化工作負載和應用的自動化部署、擴展和Kubernetes主體最小權限Kubernetes對象。RBAC是一種基于授予用戶要由主體訪問的Kubernetes對象。三是行為，即主體對資源的不同類型的訪問行為，例如創(chuàng)建、通過RBAC模式和最小權限原則，為用戶或系統(tǒng)組件提供執(zhí)行其工作職責所需的最小權限等Kubernetes工作負載最小權限ooo 訪問系統(tǒng)資源的最小權限ooo一個Pod或容器可以根據(jù)配置訪問工作節(jié)點上不同類型的資源，該訪問權限訪問網(wǎng)絡資源的最小權限ooo在默認情況下，同一Kubernetes集群內(nèi)的任何Pod都可以與其他Pod進行連接，如果Kubernetes集群外沒有配置代理規(guī)則或防火墻規(guī)則，那Pod可能會訪問互聯(lián)網(wǎng)資源。Kubernetes的開放性模糊了容器服務的安全邊界，但是不能因此忽視網(wǎng)絡資源的安全性可以通過限制網(wǎng)絡訪問范圍、使用隔離的網(wǎng)絡環(huán)境、實施訪問控制、加密敏感查和更新權限等措施，可以確保容器應用只能訪問其執(zhí)行任務所需的最少網(wǎng)絡資源。同時，也訪問應用資源的最小權限如果工作負載所訪問的應用程序支持多個具有不同權限級別的用戶，最好檢查一下授載的用戶權限是否有必要。例如，一個負責審計的用戶不需要任何寫入的權限，應用程序開認證和授權在保護應用程序的安全性方面發(fā)揮著重要作用，認證和授權經(jīng)?；Q使用，但也存在很大不同。認證是為了驗證用戶的身份，一旦身份被驗證，授權就被用來檢查該用戶是否有權限執(zhí)行所需的行動。認證通過使用一些用戶知道的信息來驗證其身份，最簡單的驗證方式就是通過用戶名和密碼進行驗證。一旦應用程序驗證了用戶的身份，就會檢查該用戶可以訪問資源的訪問控制列表。此時，將用 版本默認允許匿名訪問，以支持RBAC和ABAC授權模式的匿名和未認證用戶的匿名訪問。在API通過--client-ca-?le=<path>傳到服務器，kube-apiserver使用證書中的通用名稱屬性通常被用作請求的用戶名，而組織屬性則被用靜態(tài)令牌是在開發(fā)和調(diào)試環(huán)境中一種常用的認證模式，但不適用于生基本認證是靜態(tài)令牌的一種變體，多年來一直作為Web服務的一種Kubernetes中使用的默認認證方式，它們被動態(tài)地管理，作為密鑰服務賬戶認證功能可以自動啟用，用來驗證不記名令牌。簽名密鑰用 tion-webhook-con?g-?le=<path>來傳遞給APIServer。集群管理員和開發(fā)人員可以使用用戶模擬來調(diào)試新集群管理員和開發(fā)人員可以使用用戶模擬來調(diào)試新策略。要使用用戶模擬策略，一個用戶必須被授予模擬策略的權限。過認證并有模擬的權限，如果有的話，kubectl就可以使用--as和授權決定了請求是被允許還是被拒絕。一旦請求的來源被識別，主動授權模塊就會根據(jù)用戶的授權策略來評估請求的屬性。對照用戶的授權策略、評估請求的屬性，以允許或拒絕請求。每個請求依次通認情況下，幾乎沒有網(wǎng)絡策略通過隔離資源來防止集群失陷時的橫向移動或權限提升。網(wǎng)絡配置及安全 11網(wǎng)絡設置等。通過與云平臺的API集成，實時獲取最新的配置信息，并進行全面的審計。審計結(jié)果將用于識別潛在的配置錯誤、不合規(guī)項22據(jù)這些標準對云資源配置進行合規(guī)性評估。提供預定義的合規(guī)性模板33通過高級分析技術，結(jié)合上下文和關聯(lián)信息，對云環(huán)境中的潛在風險進行檢測。能夠識別配置錯誤、漏洞、未授權訪問等安全威脅，并評估其可能的影響范圍和嚴重程度。檢測結(jié)果將用于指導后續(xù)的修復和 44提供自動化的修復功能，能夠針對檢測到的安全威脅和配置錯誤進行快速修復。自動化修復可以減少人工干預，提高修復效率和準確性。55允許用戶定義和管理云安全策略，包括訪問控制策略、安全組策略、防火墻規(guī)則等。用戶可以根據(jù)業(yè)務需求和安全要求，靈活地調(diào)整和優(yōu)化這些策略。自動應用這些策略到云環(huán)境中，確保所有資源配置都符66支持對云資源配置的變更進行管理和審計。能夠跟蹤和記錄配置變更能或一些原子能力，諸如服務器、VM、容器、等。通常情況下企業(yè)在云上使用最多的工作負載環(huán)境就和serverless防護進行展開，從云的服務類型恰好對應IaaS、PaaS、SaaS，從用在IaaS云的模式下，用戶需要負責主機和虛擬的安全，主機安全是一套關鍵的保護措施，適用于物理服務器、虛擬機、云主機以及各種終端設備，確保它們免受惡意軟件、未授權訪問和其他安全威脅的侵害。它在保護組織的關鍵資產(chǎn)和數(shù)據(jù)、確保業(yè)務連續(xù)性和數(shù)據(jù)完整性方面發(fā)揮著至關重要的作用。提高系統(tǒng)穩(wěn)定性，并快速響應安全威脅，為維護網(wǎng)絡安全提供了堅實的基礎。主機工作負載保護主要包 11應以等保標準，行業(yè)標準等建立和維護操作系統(tǒng)、應用程序和配置的標準安全基線，確保所有系統(tǒng)遵循一致的安全標準，可以快速識別配22賬號風險，應用風險等問題，主動識別風險幫助及時修復漏洞，減少3344應維護一個準確的主機資產(chǎn)清單，包括基本資產(chǎn)、系統(tǒng)層資產(chǎn)、應用層資產(chǎn)、業(yè)務層資產(chǎn)、各類資產(chǎn)進行詳細統(tǒng)計，清晰的資產(chǎn)清單有助于更有效地管理安全補丁和合規(guī)性，減少未管理資產(chǎn)帶來的風險，同基本資產(chǎn)包括硬件、CPU、內(nèi)存、磁盤、網(wǎng)卡IP、操作系統(tǒng)等信息。主機系統(tǒng)層資產(chǎn)包括包括進程、端口、賬號、啟動項、計劃任務、環(huán)各種場景，包括持續(xù)集成和持續(xù)部署（CI/CD）流程、微服 11應維護一個準確的容器資產(chǎn)清單，包括基本鏡像資產(chǎn)、集群資產(chǎn)、應用層資產(chǎn)、業(yè)務層資產(chǎn)等各類資產(chǎn)進行詳細統(tǒng)計，清晰的資產(chǎn)清單有助于更有效地管理安全補丁和合規(guī)性，減少未管理資產(chǎn)帶來的風險，鏡像資產(chǎn)管理應能夠清點倉庫鏡像、和節(jié)點鏡像，具體包括Repository、Tag、創(chuàng)建時間鏡像大小、關聯(lián)鏡像、以及關聯(lián)到鏡像的風險信息。集群資產(chǎn)管理應能夠支持自動獲取集群中的資源對象，至少包括應用名、應用類型、應用版本、運行用戶、二進制路徑等。22應以等保標準，行業(yè)標準等建立和維護操作系統(tǒng)、應用程序和配置的標準安全基線，確保所有系統(tǒng)遵循一致的安全標準，可以快速識別配33應支持全面的容器運行時入侵檢測，如容器反彈shell、webshell、暴力破解、病毒檢測、可疑進程、webrce、黑客工具、隧道攻擊、網(wǎng)絡行為、容器逃逸、K8SAPI可疑調(diào)用等行為進行實時檢測。應支持44節(jié)點中鏡像、CI過程中鏡像、倉庫中鏡像進行統(tǒng)一掃描和風險識別。 Serverless提供了一種“無服務器”的計算模式，允許開發(fā)人員構建和運行應用程序和服務，需管理基礎設施或服務器端。這種模式簡化了CI/CD、服務器配置維護更新、IT資源容量的規(guī)劃和伸縮等工作，使研發(fā)人員專注于業(yè)務邏輯的編寫，而運維人員則轉(zhuǎn)向確保服務水平協(xié)議（SLA）的實現(xiàn)。在同時，定期審查權限設置，確保它們符合最小權限原則，并通過安全審計功能監(jiān)控權限使用情況，代碼層面的安全至關重要，首先，對開發(fā)人員進行安全編碼培訓，確保他們了解如何編寫避免安全漏洞的代碼。其次，通過代碼審查和自動化的靜態(tài)代碼分析工具（SAST）來識別代碼中的安全問題，同時使用動態(tài)代碼分析工具（DAST）在運行時檢測漏洞。管理好項目依賴項，定期掃描并更新有安全漏洞的庫。在設計階段采用安全設計原則，如最小權限原則，并確保配置文件和環(huán)境變量不包含硬編碼的敏感信息。將安全測試，如滲透測試和模糊測試，納入軟件開發(fā)生命周期。自動化安全流程并集成到CI/CD中，持續(xù)評估代碼質(zhì)量和安全性，包括對供應鏈中第三方服務和工③應用防護 種網(wǎng)絡和應用程序?qū)拥耐{。從爬蟲程序監(jiān)測和抵御，到DDoS防護和自我調(diào)整建議，實單化，一個多維自適應安全引擎可將威脅情報與每應具備內(nèi)存馬防護能力專門針對攻擊者植應具備內(nèi)存馬防護能力專門針對攻擊者植入的惡意腳本，如WebShell，能夠及時檢測并阻止其執(zhí)行，從而保護服務器不受持實現(xiàn)網(wǎng)絡層實現(xiàn)網(wǎng)絡層DDoS攻擊防護，并在幾秒內(nèi)抵御應用程序?qū)庸?，在應用的登錄頁面和表單提交處添加CAPTCHA，以區(qū)分人類用戶和自動化bot。安全威脅，這不僅減少了對傳統(tǒng)規(guī)則引擎的依賴，也降低了誤報率，提高了安全防護的應具備補丁能力允許在應用程序運行時快速應用安全補丁，無需重啟服務，這大大縮短了漏洞修復的時間窗口，減少了系統(tǒng)宜具備應用調(diào)用鏈路跟蹤能力通過監(jiān)控應用的內(nèi)部調(diào)用和數(shù)據(jù)流，為安全團隊提供了深入分析和快速定位問題的能力，提高了自動化工具識別和映射網(wǎng)絡應用程序及API，確保所有面向網(wǎng)絡的服務都被識別并納入保護范圍，減少人工管理的需要，確保 微隔離是一種高效的網(wǎng)絡安全策略，適用于數(shù)據(jù)中心虛擬化、云服務、容器化部署、微服務架構和大型網(wǎng)絡分段等多種場景。它通過創(chuàng)建網(wǎng)絡中的細微隔離邊界，顯著減少攻擊面，有效防止攻擊者在網(wǎng)能夠直觀實時展示云環(huán)境的網(wǎng)絡拓撲結(jié)構，幫助用戶掌握云內(nèi)部的細包括訪問者、被訪問者、訪問協(xié)議、訪問端口、訪問次數(shù)等，增強的可見性使得網(wǎng)絡安全團隊能夠?qū)崟r監(jiān)控和理解網(wǎng)絡內(nèi)部的通信模式，11應支持主機環(huán)境下的主機隔離策略同時支持kubernetes集群環(huán)境下image、IP等維度。細粒度的訪問控制限制了潛在攻擊者在網(wǎng)絡內(nèi)部的橫向移動能力，減少了安全事件的影響范圍。同時，它也支持更精22同時應確保在多云或混合云環(huán)境中，安全策略的一致性，無論工作負33應支持實現(xiàn)對失陷的工作負載的快速隔離能力，禁止攻擊的外溢和 企業(yè)CNAPP建設路徑圖1CNAPP建設框架CNAPP建設應覆蓋三大安全方向并具備兩大能力。其中三大方向包含基礎設施安全、制品安全以組件風險評估以及安全策略管理為核心的云（原生）安全態(tài)勢管理；權限管理三大部分。制品安全需要包含的功能有涉及靜態(tài)安全檢測和軟件成分分析的代碼安全；包含鏡像安全掃描；具備檢測分析能力、測試管理能力以及足夠的開放性的交互式應用安全檢測；涉及代碼庫安全、鏡像倉庫安全以及持續(xù)集成持續(xù)交付環(huán)境安全的制品環(huán)境安全；具備檢測分析能力、測試管理能力以及足夠的開放性的動態(tài)應用安機器人保護以及應用拒絕攻擊保護；具備流量識別、流量隔離及統(tǒng)計分析能力的網(wǎng)絡微隔離功能；保障 工具等進行有效集成，并能夠與本地開發(fā)環(huán)境緊密配合。具體而言，要做到無縫集成可以從集成的廣度安全、運行時安全三大方向的能力，通過將多種安全方案與工具做到在一個安全平臺內(nèi)能夠?qū)φ麄€云原生安全應用的各個組成部分進行高可視性的監(jiān)控并在發(fā)生安全事件時以整體為對象幫助安全人員及時進運工作負載保護及網(wǎng)絡微隔離，并針對每個細分問題進行針對型的方案調(diào)度。例如在運工作負載保護功CNAPP的“以應用為中心”原則強調(diào)對云原生應用全生命周期的安全保護。它專注于應用及其運規(guī)性檢查，同時利用行為分析技術監(jiān)控應用行為，快速識別并響應安全威脅。此外，CNAPP提供端到端的可見性和監(jiān)控，確保安全團隊能夠全面了解應用狀態(tài)。它還支持跨云環(huán)境的一致性安全策略，幫助企業(yè)滿足合規(guī)性要求，同時優(yōu)化用戶和開發(fā)者的體驗。這一原則確保了云原生應用的安全性，同時提高動態(tài)，因此所面臨的安全挑戰(zhàn)也更為復雜，出現(xiàn)安全問題可能造成的損失也會更嚴峻。因此在云原生應用領域安全不應再作為一種事后的補充，而應該作為一個內(nèi)置的過程嵌入到整個開發(fā)運營過程當中。因與開發(fā)環(huán)境相融合。具體而言建設得當?shù)腃NAPP應該能夠在開發(fā)過程中就為開發(fā)人員提供漏洞檢測、使用過程中，各類功能也都應該盡可能實現(xiàn)自動化以減少安全人員的工作量，特別是對于重復性的低難度工作，可以根據(jù)先前的處理經(jīng)驗及安全人員設置的策略進行自動處理。更進一步還可以將大模型與 復雜的安全基礎設施和安全概念、為跨團隊協(xié)同提供更簡潔的方式以及降低開發(fā)、安全團隊的復雜性。安全問題進行精簡呈現(xiàn)，減少所涉及到的安全工具數(shù)量；利用其覆蓋云原生應用全生命周期的優(yōu)勢連接開發(fā)團隊和安全團隊使之在統(tǒng)一平臺上進行合作，簡化跨團隊協(xié)作的成本；通過自動化來減少不必要的?支持代碼靜態(tài)安全檢測?支持常見的軟件成分分析?支持鏡像安全掃描、可信鏡像管理?對制品環(huán)境（鏡像倉庫和代碼庫）實施訪問控制、用戶行為審計?支持對鏡像倉庫的漏洞掃描能力?運行時對所有容器鏡像、鏡像倉庫、容器主機和虛擬機實例進行漏洞掃描?靈活的安全報告輸出?整合外部漏洞信息源，具有統(tǒng)一的漏洞清單，包含漏洞優(yōu)先級?統(tǒng)一資產(chǎn)清單，包括Kubernetes和云資源?為所有資源創(chuàng)建簡單靈活的策略設置和漏洞修復，具備運行時修復和IaC修復能力?可在策略中執(zhí)行鏡像配置規(guī)則和簡單實施基礎鏡像補救措施?對工作負載上的惡意活動進行實時檢測，具有持續(xù)更新的規(guī)則和集成威脅信息源能力?強大的調(diào)查和取證能力，如證據(jù)獲取、自動化調(diào)查/取證?同時涵蓋云工作負載和Kubernete30 ）：），?在云環(huán)境中對所有策略和配置狀態(tài)進行詳細和靈活的報告，最好具備行業(yè)框架、合規(guī)報告?通過將運行時上下文與靜態(tài)檢查（配置錯誤、已?身份和訪問管理分析能力，能夠評估權限使用情況，并能夠按照最嚴格的身份和訪問策略?實時檢測惡意活動和行為，不斷更新規(guī)則并集成威脅源?靈活的規(guī)則語言用于自定義規(guī)則?支持跨越云、容器和Kubernetes多個不同平臺?強大的調(diào)查和取證能力，如證據(jù)捕獲、自動化調(diào)查/取證操作?事件豐富化和轉(zhuǎn)發(fā)，能夠與第三方安全工?檢測和分析Kubernetes網(wǎng)絡事件?具備主機、托管容器服務工作負載的檢測和響應能力表2CNAPP基礎能力表始了云原生安全的相關建設，但這些措施往往是孤立的，缺乏一個統(tǒng)一的防護框架。這是因為在云原生安全技術的早期發(fā)展階段，還沒有形成成熟的體系化防護框架，同時，由于資源和技術基礎的限制，安隨著云原生技術被應用于更多核心業(yè)務，這種分散的安全防護體系顯然無法滿足日益增長的安全需求。安全防護體系的一個顯著特點是木桶效應，即整體防護效果往往受限于最弱的環(huán)節(jié)。此外，云環(huán)境下的安全孤島和整體復雜性的增加，缺乏端到端的可觀測性，為網(wǎng)絡攻擊提供了可利用的盲點，同時也31 因此，企業(yè)需要從云原生整體的技術棧出發(fā)，從網(wǎng)絡安全完整的攻擊鏈出發(fā)，構建一個覆蓋開發(fā)到運行時流程的一體化云原生安全防護體系。在這個階段，企業(yè)用戶需要對自身的云原生安全建設進行深力包括五個方面，分別是開發(fā)安全、云工作負載保護（CWPP）、云安全態(tài)勢管理（C同時，我們支持鏡像安全掃描、可信鏡像管理，以及對制品環(huán)境的訪問控制和行為審計，實現(xiàn)自動化漏32 在云工作負載保護（CWPP）方面，企業(yè)應當實現(xiàn)風險管理、云原生安全態(tài)勢管理（鏡像倉庫、容器主機和虛擬機實例進行漏洞掃描，同時具備靈活的安全報告輸出形式，支持word、助生成自動化的漏洞掃描和報告。其次，風險管理應該具備完善、全面的漏洞情報源，具備統(tǒng)一的漏洞清單。云原生安全態(tài)勢管理的基本要求首先是需要提供云原生資產(chǎn)的統(tǒng)一資產(chǎn)清單，這里的資產(chǎn)包括kubernetes集群資產(chǎn)和云上資源，同時應當為所有資源創(chuàng)建簡單靈活的策略設置和漏洞修復，具備運配置規(guī)則和簡單實施基礎鏡像補救措施，同時對工作負載上的惡意活動進行實時檢測，具有持續(xù)更新的規(guī)則和集成威脅信息源能力。并且在安全事件發(fā)生后具備強大的調(diào)查和強大的調(diào)查和取證能力，如證據(jù)統(tǒng)一的操作界面，最大程度上增加安全問題的可視性，確保安全人員在處理問題時不必在多個控制面板中出現(xiàn)的配置漂移以及在受到攻擊后循序進行綜合多個事件的高級攻擊路徑分析，并基于其結(jié)果生成一下文與靜態(tài)檢查相結(jié)合，從而為安全漏洞進行排序，在云檢測與響應方面，建設中期的CNAPP應具備絕大部分核心能力。包括能夠跨云、容器和Kubernetes等多個不同的平臺進行實時的惡意活動和惡意行為檢測，并不斷更新規(guī)則集成威脅源，讓安全團隊具備更強的及時反應能力及總結(jié)備案能力；具備強大的調(diào)查和取證能力，能夠完成證據(jù)捕獲、自動化調(diào)查及取證操作，并將獲取到的證據(jù)及時存檔并與第三方安全工具和平臺快速對接，構建起全方33 表3CNAPP進階能力表34 包括判斷這些功能是否真正滿足產(chǎn)品的安全需求，以及是否存在資源配置過剩的情況。通過與團隊成員的深入討論，企業(yè)可以有序地調(diào)整功能配置，優(yōu)化資源使用效率，并通過不斷的迭代來實現(xiàn)一個更加貼新不僅是為了保持技術的先進性，也是為了確保CNAPP能夠適應不斷變化的云原生環(huán)境和安全威脅。全防護中的整體效益。這樣的全方位策略將有助于企業(yè)在不斷變化的云原生環(huán)境中保持領先地位，確保35 某大型運營商研究院是該集團公司產(chǎn)品開發(fā)和業(yè)務研究的主要科研機構，是該運營商研發(fā)和創(chuàng)新體在業(yè)務支撐、架構能力、平臺擴展性等方面對舊有的煙囪式建設的業(yè)務支撐系統(tǒng)提出了巨大的挑戰(zhàn)。該容器之間可以相互訪問和影響；二是在應用容器技術的過程中，存在多個安全薄弱點，包括鏡像、鏡像隨技術路線從虛擬化轉(zhuǎn)向容器化，基于云原生容器技術重構了基礎設施，建立了開發(fā)平臺、容器云等基于云原生為底座的基礎平臺。云原生技術使得大型復雜軟件的應用拆分，各應用之間松耦合，從而降低了系統(tǒng)復雜度，還做到了獨立發(fā)布部署、獨立擴展和跨語言編程等，這些變化也驅(qū)動著安全工作模36 所以在安全方案設計上，也要貼合云原生技術架構，以滿足業(yè)務容器化后，傳統(tǒng)安全能力不再適用的問題，例如：業(yè)務容器會動態(tài)漂移、容器內(nèi)部行為及日志等默認不會記錄、基于IP的訪問控制方式不再適用等?；诖苏w的方案需滿足以下幾個方面：一是滿足容器技術高密度、高動態(tài)、快速迭代、敏捷等多種特性；二是能夠?qū)踩雷o覆蓋云原生應用的整個生命周期，從需求分析、軟件開發(fā)、軟件首先，鏡像是容器運行的基礎，包含業(yè)務運行需要的所有環(huán)境、文件和配置等信息，但基礎鏡像當前基于公網(wǎng)的開源倉庫，且代碼也引入許多開源組件，無法保障業(yè)務鏡像的安全性。且研發(fā)更側(cè)重于業(yè)軟件許可、惡意文件、敏感信息等多個方面的安全風險。阻斷能力可防止風險鏡像流入線上業(yè)務。在能力落地前，研發(fā)流程為從公網(wǎng)拉取基礎鏡像，通過開發(fā)構建后，經(jīng)過測試驗證后，滿足業(yè)務功能需求則直接上線。而能力融入后，在業(yè)務鏡像構建完成后，以及上線前，又嵌入了安全檢測的步驟。極大的加37 在推進以容器為基礎平臺的戰(zhàn)略過程中，發(fā)現(xiàn)容器平臺由于自身的技術實現(xiàn)，大多的傳統(tǒng)安全能力已經(jīng)不再適用，例如入侵檢測無法侵入容器內(nèi)部、容器平臺漏洞及配置合規(guī)性無法驗證、基于IP的訪務的漏洞發(fā)現(xiàn)、容器集群安全等相關能力，填補了應用容器技術后，多個安全建設空白。對容器涉及到的全生態(tài)，業(yè)務的全生命周期建立了安全防護。且落地只需在容器集群內(nèi)運行安全終端，即可實現(xiàn)一鍵不單單是安全問題，在管理方面也有待提升，這包括由于容器技術的實現(xiàn)機制，導致業(yè)務容器在由于迭代更新、編排調(diào)度等消逝后，其在運行過程中存在的行為事件將不可查。對溯源、排障等多個方面都帶來極大影響；且在應用容器技術后，對于云外及云內(nèi)流量可以感知并進行檢測，但對于容器集群內(nèi)的網(wǎng)絡流量還暫未形成清晰臺賬，內(nèi)部的業(yè)務連接關系無法感知；以及由于細化到命名空間級的權限配因此，建立了一個整體的安全管理平臺，并搜集容器的所有事件行為，對容器資產(chǎn)進行管理。在記錄容器的所有行為事件的同時，還可自定義時間留存信息。網(wǎng)絡的事件也會進行拓撲繪制，并可進行數(shù)據(jù)導出，外加安全能力的補足，形成了整體的解決方案。在使用上也可基于功能以及資產(chǎn)兩個維度進行38 通過整體解決方案的落地，首先補足了該運營商研究院在容器方面安全的空白，建立起自構建鏡像在當今數(shù)字化時代，應用安全至關重要，它不僅是企業(yè)業(yè)務的基石，更是防止數(shù)據(jù)泄露和系統(tǒng)被攻擊的關鍵。近年來，攻防對抗日趨激烈，互聯(lián)網(wǎng)應用系統(tǒng)側(cè)的淪陷是較為常見的突破口。太平洋保險因業(yè)務需要，部分業(yè)務系統(tǒng)部署使用了外部成品軟件，這些外部軟件存在的已知和未知安全漏洞依賴外部手中掌握可靜默攻擊受影響應用，甲方單位對此類漏洞面臨無補丁或無修復方案的問題，安全防護挑戰(zhàn)將防護引擎插樁到應用內(nèi)部，能夠感知應用上下文攔截從應用程序到系統(tǒng)的所有調(diào)用，實時檢測和阻斷39 “兩高一弱”涵蓋了高危端口（服務）和高危漏洞，對于F碎片化的第三方組件庫和開發(fā)框架組件，往件引用，存在修復難度大，時效長，防護難度高的特點。本次形成了在漏洞修復前，集高危組SQL注入以及一些應用反序列化等較為難以簡單歸類的行為，將其歸類為灰名單實施告警后人工③實現(xiàn)應用檢測與響應ooo進行深入分析和實時監(jiān)控，快速識別并響應安全事件，建立應用運行時監(jiān)測模型，應對不斷圖6太平洋保險RASP技術架構圖40 11用自我保護技術，對高危組件及應急漏洞進行收斂與防御。RASP插樁技術與真實業(yè)務流量結(jié)合，通過應用行為發(fā)現(xiàn)潛在攻擊。此外，通過監(jiān)控還可以發(fā)現(xiàn)漏洞導致的異常行為，深度洞察發(fā)現(xiàn)漏洞利用。RASP的動態(tài)安全防護機制，隨應用變化能夠不斷學習和適應新的威圖7太平洋保險RASP部署架構圖41 22量過濾規(guī)則。這種無縫配合不僅提高了威脅檢測的準確性，還大大縮33RASP技術能夠在應用運行時，實時監(jiān)控內(nèi)存中的行為，通過異常行為的感知，及時發(fā)現(xiàn)并清除內(nèi)存馬。此外，RASP還能夠感知其他異11Docker容器化、K8S集群。防護策略細分了高危組件應用攔截、專項應用攔截、通用應用攔截策略。上述應用的約1000個節(jié)點部署22在內(nèi)部安全攻防演練階段，RASP工具捕捉到了一項潛在攻擊警告。析與研判，最終確認這是一次針對系統(tǒng)上傳功能的漏洞利用嘗試。利針對另一起SQL注入針對內(nèi)部某保險系統(tǒng)的攻擊告警，經(jīng)過對SQL語句的研判及業(yè)務核實，確認該SQL語句雖屬正常42 33時也可以在測試環(huán)境獲取一定的應用行為，進行上線前的規(guī)則學習及調(diào)參。同時在測試、投產(chǎn)、推廣過程中，太平洋保險的安全部門與應用研發(fā)、應用運維部門緊密協(xié)同，平滑實施切換攔截策略，保障業(yè)務在當前的云計算發(fā)展中，安全團隊面臨著前所未有的挑戰(zhàn)。隨著組織越來越多地采用多云環(huán)境并優(yōu)迫切需要整體的解決方案?云原生應用程序保護平臺（CNAPP）。很多制造行業(yè)公司，出于保障工廠穩(wěn)定生產(chǎn)或用戶高可用的考慮，都采用多云部署應用的架構，公CNAPP平臺旨在整合多云威脅預防和檢測，提供從代碼到云的全面安全性。云原生應用程序保護平臺（CNAPP）提供了一個集中和集成的云原生安全解決方案，用于監(jiān)控、管理和檢測云上安全風險，能夠在云基礎設施內(nèi)進行主動管理和風險緩解。它涵蓋了云安全的重要方面，包括云安全態(tài)勢管理隨著各制造業(yè)廠商在云原生戰(zhàn)略上的加速，保護云應用程序和工作負載也需要一種不同的方式來應性側(cè)重于防御外部威脅，然后云原生則不同于上述的方式。云安全必須滿足跨提供商和云環(huán)境（公共、（CNAPP）在制造業(yè)中的應用日益廣泛和深入。制造業(yè)也會打造一套全面的安全與合規(guī)解決方案，覆蓋從研發(fā)到生產(chǎn)運營的各個環(huán)節(jié)。43 從代碼提交到生產(chǎn)部署的每個階段進行安全檢測和風險評估。例如，通過基礎設施即代碼（IaC）掃描和容器掃描，確保代碼和配置文件在進入生產(chǎn)環(huán)境前已經(jīng)過嚴格的安全審查。例如汽車制造行業(yè)經(jīng)常需要在高峰需求時擴展資源，例如在用戶早晚出行高峰期，節(jié)假日出行高峰需要增加計算和存儲資源。CNAPP提供的自動擴展和安全策略能夠動態(tài)適應資源變化，確保在擴展過程中不引入安全風險。安全44 ①痛點安全風險閉環(huán)與能力覆蓋提升