云安全的新技术、新趋势、新研究 云安全联盟大中华区研究院 2022年05月 b u h t i g m o c . 5 4大区 关于 CSA国际云安全联盟 CSA 简介 美国西雅图 2009年 美洲区 国际 NGO (网络安全类) m o c . 5 国际云安全联盟(CSA)是世界领先的独立、中立、权威国际产业组织,于2008年创立, 2009年在RSA大会上宣布正式成立。致力于定义和提高业界对云计算和下一代数字技术 安全最佳实践的认识和全面发展 。CSA在全球范围内与其他国际组织机构、政府、高校、 b u h t i g 企业开展深入而广泛的合作中,以其中立性、敏捷性和专业性被各界认可,是云计算领 域的 是云计算领域的 “ISO”、“ITU”国际标准组织。 2012年 亚太区 新加坡 2013年 欧非区 德国柏林 2015年 大中华区 中国香港 10万+ 1000+ 个人会员 企业会员 100+ 6000+ 国际城市分会 国际高端专家 联合国数字安全合作伙伴 会员包括:联合国国际计算中心、欧盟网 络安全局、中国信通院、美国国家标准和 安全研究 通用认证 行业标准 最佳实践 人才教育 国际生态 技术研究院、公安三所等机构,微软、亚 马逊、谷歌、华为、腾讯、阿里、IBM、中 国国家电网、平安、顺丰、深信服、竹云 等世界500强科技公司,以及云用户、安 全厂商、行业用户、中小型企业等 1000多 家企业会员。 CSA大中华区简介 CSA大中华区治理架构 云安全联盟大中华区(简称“CSA GCR”、“CSA大中 华区”)于2016年在香港正式注册,是独立、中立、权 业务主管单位 战略指导单位 m o c . 5 威的非营利性组织。 联合国秘书处 CSA大中华区立足于中国,作为国际桥梁联接世界,专 注于下一代数字安全的前沿技术标准研究与产业最佳实 践,致力于构建国际网络安全的生态体系。 2021年,CSA大中华区在网信办、工信部、公安部支持 下,成为了网络安全领域里首家在中国正式注册备案的 境外非政府组织,并在上海设立中国总部。 上海市经信委 b u h t i g 云安全联盟CSA 云安全联盟大中华区CSA GCR CSA总部/美洲区 品牌共享 资源协同 CSA亚太区 CSA欧非区 云计算发展史之关键里程碑 1999年,Saleforce成立,开启“软件终结者”之路,成为SaaS里程碑 m o 2006年,Amazon发布EC2,成为IaaS里程碑 .c 5 b 2009年,Google发布Google App Engine,成为PaaS里程碑 u h t i g 2009年,国际云安全联盟CSA (Cloud Security Alliance)正式成立,是 云安全研究的里程碑 云安全新兴技术/理念/方案 b u h t i g m o c . 5 云安全新兴技术/理念/方案 传统 £ £ £ £ £ £ 虚拟化安全 管理平面安全 租户隔离 身份与访问管理IAM 数据加密 数据防泄露DLP 新兴 £ £ £ £ £ £ £ £ 云原生安全 DevSecOps 零信任 SASE CASB CWPP CSPM CNPP b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全 m o c 于各组织在公有云、私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用。 . 5 b 云原生主要包括容器、不可变基础设施(基础设施即代码)、弹性服务编排、微服务、 u h DevOps、CI/CD、Serverless等技术。it g 云原生计算基金会CNCF(Cloud Native Computing Foundation)认为云原生技术有利 云原生安全作为一种新兴的安全理念,强调以原生的思维构建云上的安全建设、部署与 应用,即云客户不需要进行额外的安全部署或配置就天然具备安全能力。云原生安全主 要包括容器安全、微服务安全Serverless安全等。 云安全新兴技术/理念/方案 云原生安全—容器安全 b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—容器安全责任划分 b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—容器安全 £ £ £ £ £ £ 内核安全 镜像安全 仓库安全 运行时安全 身份与访问管理 宿主系统安全 b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—容器镜像安全 !"#$% &'()*+,!"=>? &'(!"@>A- m !"56% o c . ('(789:;<) 5 !"./)0 &'(1234- b u h t i g! " B C &'(DE3F? !"- 云安全新兴技术/理念/方案 云原生安全—容器镜像仓库安全 GHIJ !"OP m o K L M N .c 5 b u h t i g QR IAM 云安全新兴技术/理念/方案 云原生安全—容器注册安全 m o c . 5 STKLMN b u ! "tM N h gi UVWXYZ1 云安全新兴技术/理念/方案 云原生安全—容器安全加固:Docker为例 [\]=^_`a lfmnop1 禁用--privileged参数 m3 e f r o o t 1 2 o c . 5d ghDocerifj b/GHIJ c b u k h t gi efMNF?!" qOYrs 云安全新兴技术/理念/方案 云原生安全—容器编排平台安全 £ £ £ £ £ 编排平台配置与加固 认证授权 密钥管理 传输安全 监控审计 b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—容器编排平台安全风险 tuv12 IJ34 mnyz{ |)}~• m o c . w Z 1 Gb H5 u h t i g 3€•‚ƒ„o mn…†E‡ UVWXY Z13x 云安全新兴技术/理念/方案 云原生安全—容器编排平台加固:以K8S为例 efMNo!" APIMN &ŒXZ1•GH IJ•Ž•- m o c . 5" 2 J ‰ KG8HS Š ‹ o ˆ e f Z 1b! u h t i g •C.‘ STMN’“MN ”•./ 云安全新兴技术/理念/方案 云原生安全—无服务器计算Serverless b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—无服务器计算Serverless责任划分 b u h t i g m o c . 5 云安全新兴技术/理念/方案 云原生安全—无服务器计算责任模型 b u h t i g m o c . 5