基于容器特点和传统网络安全能力进行容器云安全规划设计
相比于传统应用而言,容器天然是弱安全的,这些不足随着容器一起跑在企业内网中,如果不能很好地识别并修复,分分钟就会成为“马奇诺防线”上的缺口,发生数据泄露、安全漏洞等,给企业带来不可估量的损失。很多早期建设容器云的企业已经深深感知到,面对容器技术的全新架构,“高筑城墙以御外敌”的传统安全方案已经不合时宜,更多的攻击面、监控和防护难度大、安全管控难度高,企业必须重新审视容器云环境的安全策略。
容器安全防护范围需要前移,防护粒度需要更细,也需要静态安全与动态安全防护相结合。具体体现在容器的开发、部署、运行的全生命周期中,从容器云平台的大边界,到租户小边界,再往内深入到虚拟机容器的微边界,对10+层的潜在攻击面进行安全防护加固,覆盖到代码安全审计、主机安全、镜像安全、容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎等领域。
本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结和思考,仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技术体系中的关键技术,对其的不同定位会带来安全规划的不同要求。云原生安全和传统安全能力的需求也有不同,因此认识到容器和云原生安全的特点来规划容器云安全,会更有针对性。
越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用,而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理工具平台,使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架构上来说,围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和容易实施的方案。
一、容器云定位
不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准化的运行时环境来说,
基于容器特点和传统网络安全能力进行容器云安全规划设计相关推荐
- 大一学生HTML5期末大作业——基于HTML+CSS制作传统节日美食13页(美食网站设计与实现)
- 中国网络安全能力图谱(2020.9)公布,中安威士多款产品受到认可
国内数字化领域第三方调研机构数世咨询于9月1日正式推出<中国网络安全能力图谱(2020.9)>之信息技术篇(以下简称能力图谱).该图谱对网络安全中的技术部分进行了详细说明,并对各领域的技术 ...
- 网络安全能力成熟度模型介绍
一.概述 经过多年网络安全工作,一直缺乏网络安全的整体视角,网络安全的全貌到底是什么,一直挺迷惑的.目前网络安全的分类和厂家非常多,而且每年还会冒出来不少新的产品.但这些产品感觉还是像盲人摸象,只看到 ...
- AI开发者福音!阿里云推出国内首个基于英伟达NGC的GPU优化容器
摘要: 3月28日,在2018云栖大会·深圳峰会上,阿里云宣布与英伟达GPU 云 合作 (NGC),开发者可以在云市场下载NVIDIA GPU 云镜像和运行NGC 容器,来使用阿里云上的NVIDIA ...
- 嵌入式linux程序加密,基于嵌入式操作系统uClinux实现网络安全加密系统的设计
金融安全支付系统是专门针对金融领域应用需求,实现小型化.便捷.安全的自助交易的软硬件平台,能够为多种应用提供高速安全服务,解决目前交易信息在传输过程中存在的各种安全问题,实现金融信息的安全交易.基于该 ...
- 【C++标准库】7-STL容器-Map与Multimap-导读-能力-操作函数
目录 0.导读 1.Map和Multimap的能力 2.Map和Multimap的操作函数 2.1 创建,赋值,销毁 2.1.1 创建-赋值-销毁的操作函数 2.1.2 map的可能形式 2.1.3 ...
- docker镜像了解(建立私有仓库,基于已有镜像创建,Docker的数据管理) 基于Dockerfile创建,基于本地模板创建,端口映射,容器互联)
文章目录 docker镜像 制作镜像的过程 基于已有镜像创建 基于本地模板创建 基于Dockerfile创建 Dockerfile操作指令 Docker的数据管理 数据卷 docker的网络通信 容器 ...
- 白宁超计算机科学院,基于主动学习的传统中医症状本体构建方法研究综述.PDF...
基于主动学习的传统中医症状本体构建方法研究综述.PDF 计算机技术应用 • the Application of Computer Technology 基于主动学习的传统中医症状本体构建方法研究综述 ...
- 基于Open vSwitch的传统限速和SDN限速--实验
基于Open vSwitch的传统限速和SDN限速--实验 基于Open vSwitch的传统限速和SDN限速--实验 1.下载与安装 1.1 安装Docker 1.2 Open vSwitch的安装 ...
最新文章
- linux mysql 升级_linux升级mysql
- 几何画板有没有计算器
- study notes for python
- C#LeetCode刷题之#9-回文数(Palindrome Number)
- TSQL--HASH JOIN
- 【学习笔记】计算机导论之操作系统和文件管理
- LINQ to SQL的不足
- django rest framework serializer 增加自定义字段
- html盒子背景图,CSS盒子模型以及背景图
- python编写英文字符频率统计小程序
- 计算机网络——数据从网卡到应用的过程
- 电脑ping手机该怎么玩(很多网友都说电脑ping不通手机)
- 洛谷 P3390 【模板】矩阵快速幂
- VSCode Conventional Commits 插件
- Self-attention(李宏毅2022
- manifestintert-filter详解
- 初级者与转行者,大数据如何学习最高效,简历该如何优化?
- 第二十九篇:故障处理流程
- 《开源之迷》有哪些迷?怎么解?
- 神经网络学习笔记(七) 自组织竞争神经网络
热门文章
- 最牛逼的自媒体平台今日头条申请秘籍,包过!
- Java中printf()方法里的%d和%s是什么意思?
- 写一篇上个月想写的文章
- android,ios配置scheme,react-native获取url
- HTML学习笔记--第一天
- 更新Ubuntu系统报错: Err http://mirrors.163.com lenny Relese.gpg Temporary failure resolving 'mirro
- mysql 组合主键索引_mysql 组合索引带主键ID的问题
- 内卷下的智能投影行业,未来何去何从?
- 30Kw 充电桩电源模块开发设计--未完待续
- 几个让我欲罢不能的Python项目!