新書推薦:
《
东野圭吾:变身(来一场真正的烧脑 如果移植了别人的脑子,那是否还是我自己)
》
售價:NT$
295.0
《
推荐连接万物
》
售價:NT$
290.0
《
严复与福泽谕吉启蒙思想比较(王中江著作系列)
》
售價:NT$
750.0
《
甘于平凡的勇气
》
售價:NT$
225.0
《
存在与结构:精神分析的法国转向——以拉康与萨特为中心
》
售價:NT$
240.0
《
生成式人工智能:AIGC与多模态技术应用实践指南
》
售價:NT$
495.0
《
石油帝国的兴衰:英国的工业化与去工业化
》
售價:NT$
445.0
《
古典的回響:溪客舊廬藏明清文人繪畫
》
售價:NT$
1990.0
|
編輯推薦: |
(1)作者背景权威:本书由国内安全领域的领军企业奇安信官方出品,是奇安信网络安全部、奇安信云与服务器安全BU、安易科技多年的云原生安全经验总结(2)融合行业经验:本书不只是基于奇安信和安易科技的实践经验,而且还融合了行业内关于云原生安全的先进理念和优秀做法。(3)内容系统全面:除云原生安全的基础知识外,本书还从安全技术、安全工具、安全流程、攻击手段、防御措施以及运营体系建设6个维度对云原生安全做了全面的讲解。(4)攻守双方视角:基于ATT&CK框架详细讲解各个阶段的攻击手法及其对应的防御措施,提供细致入微的云原生安全攻防教学。(5)重实践、可上手、好落地:以实战为导向,提供代码级别的云原生安全防护案例,手把手指导具体操作,给出具体的可落地的方案。
|
內容簡介: |
内容简介这是一本体系化的云原生安全攻击、防御和运营实战指南,是奇安信和安易科技团队多年云原生安全的经验总结,同时融合了行业先进的理念和实践。首先详细介绍了云原生安全的核心概念、发展现状和未来趋势,以及云原生安全面临的新风险和挑战;然后讲解了云原生安全的技术、工具和流程等,包括主流的云原生安全框架、云基础设施安全、制品安全、运行时安全;接着根据ATT&CK的各个阶段讲解了针对云原生安全的攻击手段及其防御方法;最后讲解了如何构建体系化的安全运营方案,助力企业的云原生安全防护建设落地。本书有如下特点:?1.云原生安全领域核心概念快速扫盲。?2.参考行业先进经验,因地制宜的实践指南。?3.ATT&CK框架下的细致入微的云原生安全攻防教学。?4.代码级的云原生安全防护案例。
|
關於作者: |
薛庆伟,资深网络安全专家,毕业于西安邮电大学信息安全专业,现就职于奇安信。曾就职于京东信息安全部,参与公司JSRC漏洞审核和应急响应工作。2022年9月加入奇安信,在网络安全部担任网络安全工程师,主要负责公司内部云原生安全建设和漏洞管理等工作,热衷于云原生、安全技术和企业安全建设的研究。具有CISP-PTE认证资质。
|
目錄:
|
Contents 目 录
前 言
第一部分 云原生安全概述
第1章 云原生及其安全发展现状 3
1.1 云原生发展现状 3
1.1.1 云原生概述 3
1.1.2 云原生关键技术 5
1.1.3 云原生市场发展趋势 6
1.1.4 重点行业云原生应用现状 8
1.2 云原生安全发展现状 10
1.2.1 新技术带来新威胁 10
1.2.2 安全现状与发展趋势 10
第2章 云原生安全风险 13
2.1 云原生安全风险与挑战 13
2.1.1 云基础设施变革引入新的安全暴露面 14
2.1.2 业务开发模式改变带来新的安全风险 14
2.1.3 传统防护手段在云原生环境中失效 16
2.1.4 云原生应用在各阶段存在供应链风险 16
2.1.5 云原生安全运营面临巨大挑战 17
2.2 云原生安全风险案例 18
2.2.1 特斯拉:不安全的K8s配置 18
2.2.2 SolarWinds:供应链安全风险 18
2.2.3 DoS攻击:云原生基础设施风险 19
2.2.4 大规模挖矿:不安全的容器 19
第二部分 云原生安全防护
第3章 主流云原生安全框架 23
3.1 参考安全框架 23
3.1.1 CNCF云原生安全框架 23
3.1.2 Gartner云原生安全框架 25
3.1.3 信通院云原生安全框架 28
3.2 奇安信对云原生安全的理解 30
3.2.1 设计原则 30
3.2.2 总体框架 31
第4章 云基础设施安全 32
4.1 云基础设施风险 32
4.2 云安全配置管理平台简介 33
4.3 云安全配置管理平台的核心功能 34
4.3.1 资产清点 34
4.3.2 配置核查 35
4.3.3 流量采集 35
4.3.4 集群漏洞 36
4.4 云安全配置管理平台的优势 36
4.4.1 统一管理 36
4.4.2 部署灵活 37
4.5 云安全配置管理平台的应用价值 37
第5章 制品安全 39
5.1 代码安全 39
5.1.1 安全风险 39
5.1.2 API资产收集 40
5.1.3 IaC代码安全 44
5.1.4 开源软件代码安全 46
5.1.5 代码审查 54
5.2 镜像安全 59
5.2.1 镜像风险 59
5.2.2 镜像分层 60
5.2.3 镜像扫描 63
5.3 镜像仓库安全 66
5.3.1 Harbor简介 67
5.3.2 Harbor镜像扫描和运营 68
第6章 运行时安全 74
6.1 入侵检测 74
6.1.1 基于规则的已知威胁发现 75
6.1.2 基于行为的未知威胁发现 83
6.2 准入控制 90
6.2.1 准入控制原理 90
6.2.2 策略引擎 92
6.2.3 椒图容器安全实践 96
6.3 API安全防护 99
6.3.1 API安全的挑战 100
6.3.2 API框架标准 105
6.4 网络微隔离 107
6.4.1 来自网络的安全威胁 107
6.4.2 Sidecar代理模式下的流量管控 108
6.4.3 eBPF模式下的网络控制 109
6.4.4 网络流量的可视化和监控 111
6.4.5 三、四层网络访问控制 116
6.4.6 七层容器WAF 120
第三部分 云原生安全攻防
第7章 云原生环境下常见的攻防矩阵 127
7.1 CNCF K8s攻防矩阵 127
7.2 MITRE ATT&CK容器安全攻防矩阵 131
7.3 Microsoft K8s攻防矩阵 131
7.4 奇安信云原生安全攻防矩阵 133
7.5 攻防矩阵的战术点 133
第8章 云原生环境下的攻击手法 137
8.1 云原生场景下的ATT&CK框架 137
8.2 初始访问 139
8.2.1 kube-apiserver未授权 139
8.2.2 kubelet未授权 144
8.2.3 etcd未授权 147
8.2.4 kubeconfig文件泄露 149
8.2.5 K8s Dashboard未授权 151
8.2.6 kubectl proxy暴露 153
8.2.7 Docker Daemon未授权 154
8.3 执行 155
8.3.1 通过kubectl exec进入容器 155
8.3.2 创建后门Pod 156
8.3.3 利用服务账号连接API Server执行指令 158
8.3.4 未开启RBAC策略 159
8.3.5 不安全的容器镜像 161
8.4 持久化 161
8.4.1 部署后门容器 161
8.4.2 在容器或镜像内植入后门 163
8.4.3 修改核心组件的访问权限 164
8.4.4 伪装系统Pod 164
8.4.5 部署静态Pod 164
8.4.6 创建Shadow API Server 166
8.4.7 K8s集群内的Rootkit 168
8.5 权限提升 169
8.5.1 K8s RBAC权限滥用 170
8.5.2 利用特权容器逃逸 173
8.5.3 利用容器的不安全配置提权 174
8.5.4 容器基础应用或容器编排平台的软件漏洞 188
8.5.5 利用Linux内核漏洞逃逸 190
8.6 防御绕过 191
8.7 凭证窃取 192
8.7.1 kubeconfig凭证或集群Secret泄露 192
8.7.2 利用K8s准入控制器窃取信息 192
8.8 发现探测 193
8.8.1 探测集群中常用的服务组件 193
8.8.2 通过NodePort访问Service 194
8.8.3 访问私有镜像库 194
8.9 横向移动 195
第9章 云原生环境下的攻击检测与防御 197
9.1 初始访问的检测与防御 197
9.1.1 未授权的接口或暴露的敏感接口 197
9.1.2 kubeconfig文件泄露 199
9.1.3 不安全的容器镜像 199
9.2 执行的检测与防御 199
9.2.1 通过kubectl进入容器 199
9.2.2 通过SSH服务进入容器 200
9.2.3 部署后门容器 201
9.2.4 通过服务账号连接API Server执行指令 201
9.3 持久化的检测与防御 202
9.3.1 部署后门容器 202
9.3.2 挂载目录向宿主机写入文件 202
9.3.3 创建Shadow API Server 202
9.3.4 K8s CronJob持久化 203
9.3.5 K8s集群Rootkit利用 203
9.3.6 静态Pod 204
9.4 权限提升的检测与防御 205
9.4.1 RBAC权限滥用 205
9.4.2 特权容器逃逸 206
9.4.3 利用容器不安全的挂载和权限逃逸 206
9.4.4 容器或容器编排工具存在漏洞 206
9.5 防御绕过的检测与防御 207
9.5.1 清除容器日志 207
9.5.2 删除K8s事件 207
9.5.3 使用代理或匿名访问K8s API Server 207
9.6 凭证窃取的检测与防御 208
9.6.1 K8s Secret泄露 208
9.6.2 服务账号凭证泄露 208
9.6.3 配置文件中的应用程序凭证 209
9.6.4 恶意准入控制器窃取信息 209
9.7 发现探测的检测与防御 209
9.7.1 访问 K8s API Server 209
9.7.2 访问 kubelet API 210
9.7.3 网络映射 210
9.7.4 暴露的敏感接口 211
9.8 横向移动的检测与防御 212
第四部分 云原生安全运营
第10章 云原生安全运营管理 217
10.1 云原生安全运营建设的必要性 217
10.2 云原生安全运营的重要性 218
10.3 云原生安全运营建设过程 220
10.3.1 云原生安全运营平台 221
10.3.2 云原生安全运营人员 231
10.3.3 云原生安全运营流程 232
10.4 云原生安全体系的主要应用场景 234
10.4.1 云原生应用全生命周期安全风险管控 234
10.4.2 云原生应用供应链全流程安全 234
10.4.3 云原生安全事件应急处置 235
|
內容試閱:
|
前 言?Preface
为何写作本书
当前全球数字化的发展逐步进入深水区,云计算模式已经广泛应用到了金融、互联网、能源、通信等众多领域。在云计算的发展过程中,云原生(Cloud Native)起到了举足轻重的作用,容器化、DevOps和微服务架构实现了应用弹性伸缩和自动化部署,极大地提高了云计算资源的利用效率。
2013年,Pivotal公司的技术经理Matt Stine首次提出云原生的概念,随后Docker、 Kubernetes宣布开源,引领了容器化和编排的新时代。2015年,CNCF(云原生计算基金会)的加入给云原生技术增添了新的活力,推动了它在各个方面的发展。云原生的理念逐渐深入人心,成为数字化转型的核心引擎。2022年,AIGC(生成式人工智能)相关领域的崛起进一步推动了云原生的发展。
云原生由于具备可伸缩性、敏捷、服务化等特性而颠覆了传统的开发模式,同时这些特性在某种程度上也带来了新的风险,增加了攻击面。以云原生为底座的相关产业和应用系统已经成为黑客的重要攻击目标之一,各类针对云基础设施和容器化应用的攻击案例屡见不鲜,云原生安全的建设迫在眉睫。
近几年来,在许多大型网络攻防演练项目中,我们发现攻击方利用漏洞进入系统后,以 Kubernetes集群Pod或容器作为跳板,简单横向就能获取无数主机的权限,因此我们必须高度重视云原生安全问题。然而,许多客户对于云原生安全本身了解并不多,缺少相关的安全防护知识和经验,在实际的工作中更是心有余而力
不足。
奇安信同样面临着这样的风险。一方面,奇安信集团由网络、物理机、私有云和公有云所组成的基础设施规模大、业务场景复杂,因此网络安全部每天都面临大量内外攻击威胁;另一方面,公司内部运营着约1200个集群环境、10 000个以上工作节点,不同业务线之间的集群管理及开发工具和流程也存在差异,所以要做好云原生的安全防护非常具有挑战性。
由于云原生环境的复杂性和特殊性,安全防护人员在新环境面前采用传统的安全防护手段只能望洋兴叹,因此我们必须考虑采用新技术、新方法和新策略。
网络安全部结合集团的优势(产品全且多)及各类外部商业的、开源的产品或方案,尽力使集团的网络安全工作可控、可视、可追溯,其间运营团队结合集团的实际情况落地实现了很多具有集团特色的管理流程及技术工具/平台。由于市面上系统化、可落地的中文指导资料并不多,因此网络安全部携手云与服务器安全BU的同事,尝试依托奇安信内部的实践和管理经验编写一本云原生安全建设的实践指南,以方便大家一起探讨,并为云原生安全的建设尽绵薄之力。
本书主要内容
本书从企业云原生安全的建设实践出发,结合业界优秀的安全理念和方案,为读者提供重实践、可上手、好落地的安全建设方案。本书共分为4个部分,包含10章,由浅入深地阐述企业云原生安全的建设实践。
首先,第一部分(第1~2章)解读当前云原生安全的发展现状,以及当前新环境所带来的新风险;接着,第二部分(第3~6章)是本书的重点,分主流云原生安全框架、云基础设施安全、制品安全和运行时安全4个方面,从安全技术到安全流程详细剖析奇安信内部的安全建设实践;然后,第三部分(第7~9章)对云原生环境下ATT&CK框架的各个攻击阶段分别展开讨论,为读者提供较为全面、翔实的攻击手法和细节,同时针对每种攻击类型提供了安全防护或检测的建议;最后,第四部分(第10章)介绍如何进行云原生安全运营体系的建设,并针对不同的应用场景提供建设方法论。
本书读者对象
云原生安全建设的研究者、一线技术人员和安全负责人。
云原生爱好者。
资源和勘误
本书准备了多场景、可落地的云原生系统日志采集手册,放在“奇安信安全应急响应中心”公众号上(回复“云原生日志采集”即可领取),读者可以直接利用该手册进行实践。
另外,本书是网络安全部的各团队结合企业现状,根据已落地/部分落地(持续推进中)的实践编写而成的。所有实践原则都是在满足安全管理的前提下,不对现有业务做过大的变更,因此实践过程难免有遗憾、缺陷甚至错误,欢迎各位读者不吝赐教。
致谢
写书的过程并不总是那么顺利,从确定目录到最后成稿历经一年多的时间,其间我们在云原生安全建设的实践中一边探索一边沉淀,最终形成本书。
感谢安易科技的安全专家王章政,他在云原生安全的产品开发、运营管理和安全攻防等方面有很深的造诣,为我们提供了很多帮助;感谢日志解析方向的资深专家邓小刚,他的日志采集和解析方案让云原生安全运营得以快速落地;感谢产品安全的同事尉北北、方颖对本书的支持;感谢市场中心刘洋、运营管理部孙红娜对本书提出的修改建议。
感谢互联网上积极分享安全技术的博客作者、公众号作者、论坛维护者等;感谢每一位致力于网络安全事业的研究者、建设者,他们让网络更安全、让世界更
美好。
《孙子兵法》曰:“兵无常势,水无常形,能因敌变化而取胜者,谓之神。”攻防是相生相长的过程,云原生的安全建设者也应审时度势,只有随着新技术、新风险的出现不断地自我革新和自我优化,才能立于不败之地。安全建设是永无止境的,我们愿意与各位同人一起探讨安全技术和安全建设的方法论,共同推动云原生安全的发展,为数字化产业的蓬勃发展保驾护航。
|
|