成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

三大容器安全防線,護航云原生5G應(yīng)用

2022-10-07    分類: 網(wǎng)站建設(shè)

三大容器安全防線,護航云原生5G應(yīng)用

5G的三大應(yīng)用場景分別是eMBB(增強型移動寬帶),uRLLC(低時延、高可靠通信) 和mMTC(海量物聯(lián)網(wǎng)),而垂直行業(yè)主要應(yīng)用場景應(yīng)該是mMTC和uRLLC。垂直行業(yè)應(yīng)用廣泛,大量場景要求通訊高效率和輕量化,傳統(tǒng)集中式核心網(wǎng)已不能滿足要求,故3GPP在5G時代將傳統(tǒng)核心網(wǎng)設(shè)計成服務(wù)化架構(gòu)(SBA)。以核心網(wǎng)為主的5G云原生應(yīng)用在服務(wù)化之后帶來了可裁減、高擴展、調(diào)用簡單等好處,是分布式技術(shù)的典型范例。在實際使用中要求承載服務(wù)的實際物理載體輕便小巧,易于擴展,此時主機和虛擬化技術(shù)都顯得過于笨重,而容器技術(shù)使用命名空間在操作系統(tǒng)中建立隔離,使用更少的資源滿足復(fù)雜多樣的需求。在此背景下,基于Docker的容器技術(shù)脫穎而出,得到廣泛應(yīng)用。

容器風(fēng)險

雖然容器帶來的技術(shù)優(yōu)勢無可比擬,但同時也引入了新的安全風(fēng)險。從容器的Dev&Ops生命周期來看,鏡像制作開始容器就面臨風(fēng)險,鏡像加載、容器運行和數(shù)據(jù)傳輸這類運行期風(fēng)險更多。

三大容器安全防線,護航云原生5G應(yīng)用

圖一:容器云特有風(fēng)險

容器鏡像選擇面廣,自由度高,其中帶來的風(fēng)險也很多,據(jù)2017年統(tǒng)計數(shù)據(jù)顯示(圖二源自https://www.federacy.com/blog/docker-image-vulnerability-research/),Docker官方社區(qū)提供的鏡像中,有10%含高危漏洞,而最常見的Ubuntu鏡像,含高危漏洞的鏡像占鏡像總數(shù)的25%以上,官方渠道尚且如此,可見其他非官方渠道的鏡像質(zhì)量。此外,近年來bit幣的流行導(dǎo)致攻擊者的逐利行為已經(jīng)蔓延到容器領(lǐng)域。2018年6月,安全廠商Fortinet和Kromtech在Docker Hub上發(fā)現(xiàn)17個用于數(shù)字貨幣挖礦惡意程序的Docker鏡像,并且這些鏡像至少被下載了500萬次,可謂是防不勝防。這些帶有挖礦程序的惡意代碼一旦進(jìn)入容器云中就會自我擴散,消耗云算力用于挖礦,影響網(wǎng)絡(luò)帶寬和吞吐,威脅云上應(yīng)用的正常運行。

三大容器安全防線,護航云原生5G應(yīng)用

圖二:官方社區(qū)鏡像漏洞統(tǒng)計

容器加載時,Docker鏡像倉庫提供了明文下載鏡像方式,給中間人攻擊提供了便利。同時,鏡像倉庫的端口可能因配置不當(dāng)而暴露在互聯(lián)網(wǎng)中,攻擊者可以上傳帶有惡意軟件的鏡像給企業(yè)帶來災(zāi)難。

容器運行時,隔離也不如虛擬機嚴(yán)格,部分系統(tǒng)路徑如/sys /dev仍和其他容器共享;如果宿主機(Host)的文件路徑與Docker路徑被聯(lián)合掛載(union mount)到一起,那么惡意代碼就有機會“穿透”容器,攻擊到宿主機,進(jìn)而攻擊到其他應(yīng)用;容器可以通過內(nèi)網(wǎng)平面向其他容器發(fā)起攻擊,比如通過向Docker守護進(jìn)程發(fā)送創(chuàng)建新容器并且和宿主機聯(lián)合掛載文件的方式來達(dá)到另一種形式的“穿透”攻擊。容器銷毀時,對應(yīng)掛載的volume數(shù)據(jù)會留在宿主機上,如果不主動刪除則會造成數(shù)據(jù)泄露。

容器安全防護

上述風(fēng)險都是容器云特有的風(fēng)險,所以除了一般云安全防護之外,容器云還需要針對以上風(fēng)險做特殊防范。中興通訊結(jié)合業(yè)內(nèi)好實踐,將安全融入Dev&Ops,提出容器云安全三道防線解決方案,將容器云風(fēng)險降至最低。

三大容器安全防線,護航云原生5G應(yīng)用

圖三:容器安全防護

第一道防線:正本清源

針對供應(yīng)鏈的“降維打擊”風(fēng)險,中興通訊組織專業(yè)團隊,構(gòu)建自研安全鏡像(base line)。在CI/CD過程中集成鏡像漏洞、惡意代碼掃描和準(zhǔn)入條件,基于基礎(chǔ)鏡像改進(jìn)的應(yīng)用鏡像,漏洞不治理完成或是有不合規(guī)配置,均無法提交,從源頭上杜絕惡意代碼引入。中興通訊容器云提供的服務(wù)均出自安全的鏡像源,大程度降低由鏡像引入的“天然”風(fēng)險,是容器云內(nèi)生安全最重要的一環(huán)。云用戶也可直接使用這些鏡像,減少引入的漏洞。

第二道防線:靜態(tài)分析

考慮到容器云還有第三方應(yīng)用會引入不可控鏡像,中興通訊容器云將CI/CD中使用的提供漏洞檢測和合規(guī)掃描功能引入到容器云中,使容器云可以檢查鏡像倉庫中所有鏡像,阻擋風(fēng)險鏡像運行;也可以發(fā)現(xiàn)運行中容器的風(fēng)險,主機和存儲掃描可以檢測volume與容器的關(guān)聯(lián)并提供清除volume的操作,防止數(shù)據(jù)泄露和“穿透”攻擊。第二道防線截斷了惡意代碼引入到運行環(huán)境的路徑,鏡像倉庫也得到了保護,尤其開放給第三方使用邊緣云上,更顯其重要性。

第三道防線:動態(tài)監(jiān)測

在兩道防線的精準(zhǔn)打擊下,常規(guī)惡意軟件已無所遁行,但部分漏網(wǎng)之魚尤其是APT(Advanced Persistent Threat)攻擊利用0day,可能會在容器云中運行,此時必須使用第三道防線的動態(tài)監(jiān)測功能。第三道防線提供了東西向虛擬防火墻和南北向應(yīng)用防火墻的功能,阻擋已知惡意流量入侵,也可以將依據(jù)通訊矩陣配置強制訪問控制規(guī)則,僅放行容許需要的通訊端口流量;動態(tài)監(jiān)測功能始終監(jiān)控進(jìn)出容器的流量和訪問的文件,以自學(xué)習(xí)的方式為容器行為畫像,當(dāng)有異常流量出入容器時,動檢監(jiān)測會告警、攔截或進(jìn)行容器隔離;云用戶幾乎不需要做配置即可使用動態(tài)監(jiān)測帶來的安全和便利,這對海量容器云運維尤其重要。

總結(jié)

三道防線相輔相成,針對容器云特有的風(fēng)險做精準(zhǔn)打擊,并可用于虛機容器和原生容器等多種場景,全面保障容器云安全。隨著5G垂直行業(yè)的開展,容器云,尤其是邊緣云必將受中小企業(yè)的青睞,三道防線也會在垂直行業(yè)應(yīng)用中展現(xiàn)價值。一直以來,中興通訊強調(diào)將安全融于血脈,容器云安全是這一理念的又一最好證明。

分享標(biāo)題:三大容器安全防線,護航云原生5G應(yīng)用
網(wǎng)站路徑:http://jinyejixie.com/news38/203238.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制開發(fā)、做網(wǎng)站、Google、小程序開發(fā)ChatGPT、網(wǎng)頁設(shè)計公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站
巴中市| 南宁市| 仲巴县| 许昌市| 布拖县| 锦屏县| 定边县| 富源县| 广水市| 黑河市| 西藏| 昆明市| 岳阳市| 会同县| 栾川县| 聊城市| 德昌县| 舒兰市| 长沙市| 大厂| 北流市| 枣阳市| 葵青区| 临安市| 镇巴县| 清水县| 南宁市| 甘孜县| 武山县| 保康县| 潍坊市| 十堰市| 光泽县| 定陶县| 瑞丽市| 左贡县| 汉阴县| 南溪县| 东乡县| 丹阳市| 伊春市|