全生命周期的云原生安全框架

news2024/11/26 13:31:09

本博客地址:https://security.blog.csdn.net/article/details/129423036

一、全生命周期的云原生安全框架

如图所示:

在这里插入图片描述

二、框架说明

在上图中,我们从两个维度描述各个安全机制,横轴是开发和运营阶段,细分为编码、测试、集成、交付、防护、检测和响应七个阶段,而纵轴则是按照IT系统层级划分,包括基础设施、编排平台和服务应用三层。在二维象限中我们列举了若干安全机制,已覆盖全生命周期的云原生安全要求。

1、左侧的编码、测试和集成部分的安全机制是开发团队负责的。其中开发安全主要是处于编码和测试阶段,涉及静态和动态的代码审计等,而软件供应链安全则延展到集成阶段,涵盖了各类第三方软件库的安全评估,这两个安全机制都是面向云原生的服务和应用。

2、镜像是容器的长期载体,镜像安全是在持续集成、持续交付和运行时防护阶段,主要是对容器镜像进行持续安全评估和加固,以在镜像生成、上传、分发过程中保证安全和未被篡改。

3、容器加固机制主要在防护阶段,该机制主要作用是确认运行时的容器各项配置符合安全合规要求。容器运行在宿主机操作系统之上,因而宿主机内核和操作系统安全也是非常重要的。

4、云原生网络安全则是面向基础设施和编排平台,如Istio服务网格中包括了微服务间的网络通信,因而编排平台也涉及网络安全。云原生网络安全包括了网络中异常行为检测、恶意攻击防护,以及对攻击事件的响应,横跨了运营的全部阶段。

5、可观测性是指获知基础设施、编排平台和服务应用所有层面的必要信息,从而观察所有系统的各类行为是否存在异常,因而纵向跨度非常大。具体功能包括日志与审计、监控追踪等,主要目的是事中检测和事后溯源,因而覆盖检测和响应阶段。

6、容器异常行为检测是面向容器基础设施层面,目标是发现活动容器中的各类异常行为,因为其工作在端点的系统层面,正好与网络安全中的异常检测是互补的,共同构成了基础设施层面的异常检测。

7、Kubernetes安全加固目标是确保编排系统的组件和配置都是符合安全要求的,满足合规性要求,这部分与容器加固一样,主要处于防护阶段。

9、零信任与传统面向网络的授权和访问控制不同,它主要是面向应用的,因此将其置于服务应用层。它主要是处于防护阶段,但“永不信任,随时验证”的理念又要求其在检测阶段需要持续评估上下文,因而也会有部分在检测阶段。

10、云原生应用是云原生生态的重点,应保证其在运营阶段功能正常,不被攻陷。

11、云原生场景下服务被拆分成众多微服务,有些通过服务网格形成了Ad-hoc的连接模式,相关的安全机制也会出现一些变化。

12、无服务器计算是云原生场景下的一种创新计算模式,对应的风险和安全机制与普通的云原生应用和微服务也有所不同。

以上是从DevSecOps的角度来看云原生安全体系,如果从其他维度,则会看到不同的架构图,这都是正常的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/401020.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Grial UI Kit updated Crack

Grial UI Kit updated Crack 增加了“电影”流,该流由3个屏幕组成,呈现平滑过渡和动画的电影目录。 添加了新的栅格导航栏控件,允许您使任何页面导航栏透明,也可以从带有实心导航栏的页面导航到带有透明导航栏的网页,反…

指针数组 数组指针 常量指针 指针常量 函数指针 指针函数

一、指针常量与常量指针 1、指针常量 本质上是一个常量,常量的类型是指针,表示该常量是一个指针类型的常量。在指针常量中,指针本身的值是一个常量,不可以改变,始终指向同一个地址。在定义的时候,必须要初…

npm安装依赖和package.json版本不一致解决

npm或者cnpm 安装依赖,不会完全按照package.json中的版本号来,会有稍微的差异,这样的差异可能导致项目起不来,或者报错, 因为某些包只有特定的版本才能正常运行。 解决方案 npm提供了shrinkwrap命令来解决这个问题。 …

opencv-图像几何处理

缩放 缩放只是调整图像的大小。为此,opencv提供了一个cv2.resize()函数,可以手动指定图像大小,也可以指定缩放因子。你可以使用任意一种方法调整图像的大小: import cv2 from matplotlib import pyplot as pltlogo cv2.imread(…

害我走了8年弯路,接口测试和性能测试的区别原来是这几点,终于点通了......

目录:导读前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜)前言 性能测试和接口测试…

Allegro如何知道组合操作命令的拼写

Allegro如何知道组合操作命令的拼写 前面介绍了如何知道单个操作命令的拼写,但如果是复合命令,就无法直观的通过命令来了解,如下图 Snap Pick to -Segment这个命令拼写是什么 如何知道,具体操作如下 点击File点击Script 出现Scripting窗口

itextpdf生成报文总结

1.使用itextpdfgradle引入依赖compile ("com.itextpdf:itextpdf:5.5.13") compile ("com.itextpdf:itext-asian:5.2.0") compile ("com.itextpdf.tool:xmlworker:5.5.13")参考:https://www.cnblogs.com/ssslinppp/p/4976922.htmlhttp…

Linux性能补丁升级,避免不必要的跨核Wake-Up

导读一个由英特尔发起的、旨在改进Linux内核公平调度程序代码的补丁系列,也看到了来自AMD工程师和其他利益相关者的测试/反馈,并继续进行改进。这个补丁系列的重点是避免在不必要的情况下发生过多的跨核唤醒(Cross-CPU Wake-up)。这样一来,这…

Unity合批处理

一.静态合批标记为Batching Static的物体(标记后物体运行不能移动、旋转、缩放)在使用相同材质球的条件下在项目打包的时候unity会自动将这些物体合并到一个大Mesh*缺点打包后体积增大运行时内存占用增大二.动态批处理不超过300个顶点不超过900个属性不包…

手机通讯录--课后程序(Python程序开发案例教程-黑马程序员编著-第5章-课后作业)

实例2:手机通讯录 通讯录是记录了联系人姓名和联系方式的名录,手机通讯录是最常见的通讯录之一,人们可以在通讯录中通过姓名查看相关联系人的联系方式、邮箱、地址等信息,也可以在其中新增联系人,或修改、删除联系人信…

MySQL高级—约束与关系

🍎道阻且长,行则将至。🍓 目录 一、约束 1.约束的基本概念 2.分类 二、关系 1.一对多 2.多对多 3.一对一 三、多表查询 1.多查 2.连接查询 3.子查询 一、约束 1.约束的基本概念 数据库的表示用来存储数据的,为了保证…

PID控制算法详解

1. 前言 PID 即 Proportional(比例),Integral(积分),Differential(微分)的英文缩写。顾名思义,PID 控制算法是结合比例,积分和微分三种环节于一体的自动控制…

cs231n计算机视觉课程-(数据驱动方法)

姿态、环境、遮挡这些问题算法都因该是robust 课程中提到具体写一个识别猫咪的算法是不稳定的,容易出错的。 所以提出了Data-Driven Approach的方法 一个是训练函数, 这函数接受图片和标签,然后输出标签 另一个则是预测函数,输…

团队管理的七个要点

要掌握团队管理的要点和做好团队管理工作,不是一件容易的事,但也远非想象中那么难。首先,我个人比较推荐所有团队管理者都能阅读下《经理人参阅:团队管理》(注意该书仅可其官网获得)这本佳作。相信会为你带…

vue ssr的hydration问题

我的网站百家饭OpenAPI平台是vuepress写的,前段时间我还写了个专栏讲了vuepress2.0教学。 最开始我们的网站是类似公司网站的情况,以介绍为主,后来又加了一个openapi编辑器,编辑器主要在一个页面里面,vuepress还勉强可…

【Springboot系列】Springboot接管所有Controller,magic-api源码阅读

系列文章地址:Spring Boot学习大纲,可以留言自己想了解的技术点 最近在项目中使用了一个第三方的包 magic-api,节省了很多的时间,整体来说就是只用写sql就好了,不用写service,controller那些,全…

Flink从入门到精通系列(二)

3、Flink 部署 Flink 是一个非常灵活的处理框架,它支持多种不同的部署场景,还可以和不同的资源管 理平台方便地集成。 3.1、快速启动一个 Flink 集群 3.1.1、环境配置 Flink 是一个分布式的流处理框架,所以实际应用一般都需要搭建集群环境…

IO与NIO区别

一、概念 NIO即New IO,这个库是在JDK1.4中才引入的。NIO和IO有相同的作用和目的,但实现方式不同,NIO主要用到的是块,所以NIO的效率要比IO高很多。在Java API中提供了两套NIO,一套是针对标准输入输出NIO,另一套就是网络编程NIO。 二、NIO和IO的主要区别 下表总结了Java I…

GM8773C 是一款 1:2 DSI 桥接芯片,可实现 4 路进 8 路出转换器功能、视频分离器功能。

GM8773C 是一款 1:2 DSI 桥接芯片,可实现 4 路进 8 路出转换器功能、视频分离器功能。芯片内集成了一个 4 路单一链路的 MIPI DSI 接收器和 8 路双链路 MIPI DSI 发送器。 接 收 器 每 路 可 以 支 持 到 2.0Gbps/lane , 可 以 最 高 支 持 到…

平面设计软件Corel CDR2023又开始放大招啦,CorelDRAW Graphics Suite 2023有哪些新增功能?

CorelDRAW 2023中文版即将于2023年3月14日,在苏州举行线上直播的2023新品发布会,本次发布会主题为“设计新生力,矢量新未来”。 发布会邀请思杰马克丁公司领导、Corel 中国区总经理分享思杰与 Corel 的合作模式及在 CorelDRAW 产品上推动历程…