《云原生安全攻防》 云原生场景下的应急响应思路

随着容器和K8s技术的广泛应用，各种安全事件也日益增多‌。一旦发生安全事件，我们需要第一时间做出应急响应，以最短时间内恢复业务正常运行。

在本节课程中，我们将从防守者的视角出发，深入了解云原生场景下的应急响应，熟悉常见的安全事件以及应急响应的最佳实践。

在这个课程中，我们将学习以下内容：

• 云原生场景下的应急响应：容器和K8s安全事件的应急场景。
• 云原生应急响应最佳实践：云原生环境的安全事件应急响应流程。

在云原生场景下，我们可能会面临各种各样的安全事件，比如：Web应用入侵、供应链攻击、挖矿程序以及恶意后门等。其中，挖矿行为是比较常见的，攻击者利用容器资源进行挖矿，甚至利用整个集群资源进行挖矿。

根据应急场景，我们可以大致分为两类。第一类是容器安全事件，比如Docker或pod遭受入侵，这种情况，一般就是容器应用遭受入侵，也有可能是恶意镜像投毒导致的容器被入侵。第二类是K8s集群安全事件，如果大量容器或节点出现异常，那就意味着集群出现安全问题了，可能是集群组件遭受入侵或是管理凭证泄露导致集群被入侵。

一个完整的安全事件应急响应流程应该是什么样子呢？ 在应急响应领域，有一个被广泛认同的最佳实践，就是 PDCERF模型。这个模型将应急响应分为6个阶段： 准备（Preparation）、检测（Detection）、遏制（Containment）、消除（Eradication）、恢复（Recovery）、跟踪（Follow-up） 每个阶段对应一个英文的缩写，为应急响应提供了整体的框架。

通过将PDCERF模型映射到容器和K8s的应急场景中，我们就可以整理出适用于云原生环境的应急响应最佳实践。

更多云原生应急响应的内容，建议观看以下视频，预计时长6分钟，深入解析云原生场景下应急响应思路。

原文始发于微信公众号（Bypass）：《云原生安全攻防》-- 云原生场景下的应急响应思路