第二、三期 Q&A 汇总|关于「云原生」你想要的回答我们都有~

admin 2023年3月20日22:04:42评论21 views字数 2516阅读8分23秒阅读模式
  • 问题一:IaC 有没有什么安全问题是 IaC 工具无法检测到的?

  • 问题二:Rego 语言与传统编程语言有什么差异?学习成本会不会很高?

  • 问题三:云安全攻防中有什么需要特别注意的地方吗?

  • 问题四:可以检测云上的配置错误吗?是依赖什么工具呢?

  • 问题五:云安全和容器安全对于有相关业务架构的企业怎么做规划?

  • 问题六:什么东西叫云原生,云原生的定义是什么?

  • 问题七:想要了解、学习云原生,有什么资料推荐?


经过「问脉」底层架构大揭秘 & IaC 安全保卫战 两期公开课的学习想必大家都有所收获、发问,下面收集了一些大家的问题并作出回答。

问题一:IaC 有没有什么安全问题是 IaC 工具无法检测到的?
答:IaC 现在大部分的扫描的逻辑还是依靠于我们刚才讲的那一套规则驱动。比如说像刚才讲的API未授权的问题,IaC 文件的格式,从dockerfile 的角度来讲是很难去捕获说这个端口到底有没有实际地去公开到外网的一个服务,也就是说他有没有做认证、有没有做授权。可能会更多的通过比如说通过端口探测扫描或者 docker info 配置信息的一些检查,做一个第三方组件工具的核查,才能去解决这样的问题。当然这个也要看安全工具自身到底配置了哪些能力,有一些开源扫描器规则并没有那么全,只做了他们想要的一些核查,同时一些规则可能也并不是非常贴合最佳实践,更多的是符合他们自己公司的一些标准。


问题二:Rego 语言与传统编程语言有什么差异?学习成本会不会很高?
答:Rego 语言与传统编程语言本质上还是有差异的,但如果你熟悉 Go/Golang 开发还是能很快上手,因为它的编程思想以及面向对象的模式与 Golang 语言风格非常相似。从学习成本来讲,个人认为会比一些传统 IaC 工具低,因为它还是一个比较新的语言,会更贴合云原生的整体环境。像 K8s 的权限认证,底层就是用的 OPA 的引擎去做的校验效果。


问题三:云安全攻防中有什么需要特别注意的地方吗?
答:这也是我最开始想讲的点,和真正在一线去努力的红队兄弟们聊天的时候,往往就会遇到这样的一个问题,我们最开始接触的一些政企和学校项目时,可能会把我们的整个思想限制在了传统的 web 架构或是一些实际生产应用布置的虚拟机的基础设施组建,但是实际在大部分互联网公司里面可能已经完成了初步的数字化的上云转型。可能更多的一些基础设施直接就是在云上,我们拿到的就是一个容器,那么在容器中做横向移动和在虚拟机中去做横向移动,是有很大的区别。希望有更多的人能也能去关注这一点,真正在云环境里面去做的一些内网渗透的以及一些 我们该关注的风险点,比如说:我们进到一个容器里,拿到一个最低的权限,那我们怎么能够去做基础的提权?在虚拟机里的思路我们更多会找一下内核漏洞、应用组件的漏洞;而在云原生的环境下,我们更期望拿到整个宿主机的权限,我们可能要从这个容器里面做逃逸的操作。这才是做横向移动的第一步会考虑的问题。


问题四:可以检测云上的配置错误吗?是依赖什么工具呢?
答:IaC 扫描对象不一定非是文件,比如说 K8s 集成的一些 IaC 检测它其实就是通过 API server 来调接口获取所有 pod 的状态信息,这些 pod 信息都是标准的 YML 模板格式 我们就可以通过解析这个 YML 格式,把它格式化成一个标准化的结构对象,通过使用OPA引擎对此结构对象进行分析来判断我们是否应该允许这个 pod 的创建,还是说阻断这个 pod 创建。所以不一定非说我们要登录到这个机器上去扫描配置文件,它只是一种形式,对于云上配置错误,如果有接口或者有 API 可以拉到。我觉得也是可以通过 IaC 工具直接去集成的。


问题五:云安全和容器安全对于有相关业务架构的企业怎么做规划?
答:每家企业上云的情况有所不同,有私有云、公有云、混合云;基于以上情况首先要看公司目前的架构。以私有云为例,使用私有云一般都是一个公司内部的人,技术架构上不会有太大差异,要么都是 K8s、要么都是 OpenShift ,如果使用混合云,在各个云上都有集群,则会增加一些适配的成本。如果企业想要做好云安全,最好和跟标准接入,这样能覆盖更多风险面。


问题六:什么东西叫云原生,云原生的定义是什么?
答:书面的定义是:云原生是一种新型技术体系,是云计算未来的发展方向。云原生是基于分布部署和统一运管的分布式云,以容器、微服务、DevOps 等技术为基础建立的一套云技术产品体系。但我个人认为事实比定义重要很多,比如我们会发现有了 K8s 之后,才有了编排系统等一系列东西的出现,所以只要一个东西是在云上跑的、轻量化的、能给人类带来价值,那它迟早会成为云原生的,不用过于纠结书面解释的定义。


问题七:想要了解、学习云原生,有什么资料推荐?
答:具体看哪本书我没有办法推荐,不过我建议从云原生体系的大类入手进行学习:镜像、容器、集群,然后与之相关的可能会涉及到集群仓库和容器运行时等等。要明确自己的目标是想做云原生相关的开发还是说以了解为主,如果是以了解为主,那么 CNCF 上面文档性的资料就足够了。技术层面的话,我认为最好的学习方法就是多看相关代码


以上就是我们本期 Q&A 汇总,希望对大家有所帮助,欢迎大家多多提问,我们都会尽力解答!之后的课程依旧是干货满满,你们的参与支持是我们更新的最大动力!
让我们携手共同营造云原生社区良好的学习氛围,下期见!

问脉(VeinMind Tools)是由长亭科技自研的开源容器安全工具集,提供容器逃逸检测、漏洞扫描等多种安全检测功能。


牧云·云原生安全平台是长亭牧云团队以开源社区为生态载体,基于问脉开源社区沉淀,以技术积累为驱动所打造的云原生安全平台。首推零侵入探针,采用 Agentless 方案进行部署,保证业务节点实现严格意义上的零侵入检测,让用户能够轻装上阵,轻松解决云原生安全问题。


往期回顾:

云原生安全趋势演进大揭秘|长亭科技·云原生安全公开课第一期

第一期 Q&A 汇总|长亭科技·云原生安全公开课

「问脉」底层架构大揭秘|长亭科技·云原生安全公开课第二期

「IaC 保卫战」图文技术干货精炼版





扫码添加小助手,一起学习、共同进步!


第二、三期 Q&A 汇总|关于「云原生」你想要的回答我们都有~


若有收获,就点个赞吧~

原文始发于微信公众号(长亭百川云平台):第二、三期 Q&A 汇总|关于「云原生」你想要的回答我们都有~

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月20日22:04:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第二、三期 Q&A 汇总|关于「云原生」你想要的回答我们都有~https://cn-sec.com/archives/1617388.html

发表评论

匿名网友 填写信息