300
2023-03-31 00:04
admin一、容器安全的防护有哪些
容器安全的防护包括:1、软件安全。大量的开源组件和软件,如何保证所有的软件都是安全的;2、网络防火墙。容器的横向扩缩容和重启后的 IP 和宿主机漂移,网络防火墙是否有效;3、镜像漏洞。作为容器的核心组件、容器镜像存在的大量漏洞和威胁,如何进行扫描和修复;4、漏洞修复。Docker 技术和 Kubernetes 技术本身较新,本身存在的漏洞如何防护;5、主机安全。容器是构建于物理机和虚拟机之上,是否对宿主机的安全提出了新的需求。面对这些防护痛点,HC-CSP容器安全平台可一一解决,如针对容器宿主机、容器自身、以及 kubernetes 容器调度系统进行基线检测;对容器镜像进行漏洞扫描、恶意文件扫描以及自定义规则扫描等等。
二、压力容器有哪些常用安全防护装置
压力容器的安全装置,按其使用性能或用途可以分为下四大类型:连锁装置、报警装置、计量装置和泄压装置。
最常用的是计量装置和泄压装置。
最重要、最关键的是泄压装置。
三、容器带来的六大好处?容器安全防护有必要找厂商吗?
容器带来了好处比较多,分别是1、部署方便。2、部署安全。3、隔离性好。4、能快速回滚。5、使用成本低。6、管理成本更低。但是容器在带来便利的同时也带来了风险,可能遭遇到一次漏洞攻击就会损失惨重,青藤云安全是容器安全这个领域佼佼者,口碑不错,更关键是服务也很棒。
要制作这些设备产品的话,其实可以自己有个小的加工厂,不必不必要去再找其他的厂商,简单的小作坊就可以。
1更小的计算开销=更低的总体成本
容器可以显著减少我们启动和管理的虚拟机数量。每个应用程序都需要运行一个虚拟机,这需要大量的存储和内存。我们可以通过容器技术减少这种浪费,重复的操作系统和资源的减少可以转化为巨大的成本节省,通过减少所需硬件的数量而降低总体资本性支出。容器所消耗的资源更少,云服务成本会降低,更显著的体现就是在私有的数据中心内部。
2降低许可成本=少花钱
总体成本的节省不仅体现在减少服务器硬件和服务中,还有我们生产环境中运行的虚拟机和操作系统的减少。这就意味着我们还可以显著降低许可成本(操作系统和响应工具的授权采购成本)。根据我们的许可结构,可以在IT的许可方面少花更多的钱。
3灵活的可移植性=一场说走就走的迁移
云计算一个显而易见的缺点就是一旦入驻某个云服务提供商,就很难再迁出。来容易,想走就没这么简单了。然而,如果利用容器,当需要迁出云服务提供商时,我们不再需要在缓慢的WAN链路上迁移庞大的虚拟机。相反,由于容器的小巧使它在云端的迁入和迁出非常简单。最终,这有助于消除困扰着IT决策者被云厂商锁定的担忧。
04
4低风险的快速部署=开发者和环境管理者从此幸福地生活在了一起……
许多的IT部门,应用程序开发者和基础架构管理者之间的冲突可能是巨大的,开发者通常需要在与生产环境不同的服务器上构建和测试程序。当开发者准备将新应用程序上线到生产环境中时,他们经常遇到来自服务器(生产环境)管理者的阻力。为了适应新应用程序而产生的对任何操作系统级别的变更,他们都很担忧,最终,开发者和管理者之间形成了流程的瓶颈,运作效率大大降低。然而,容器可以通过允许IT维护对服务器端配置的控制来解决这一难题,因为开发者只需将所需的任何添加or更改打包到一个纯净的小包里即可。然后,这些容器小包就可以快速上线到生产和测试中,如出现问题,直接删除即可,并不会对操作系统本身造成过多的影响或持久的变更。
5容器管理和自动化越来越好,并且便宜
根据最近发布的研究报告,容器的市场将在2020年达到27亿美元。这一增长的很大一部分将是来源于容器管理和自动化领域的激烈竞争、技术创新和颠覆”。那么对企业来说,这就是一个真正的买方市场,市场竞争将会大大降低买方的使用成本,而产品的功能和优势不断上升。所以,如果我们正在考虑大规模使用容器,那么它们的工具会是丰富并且便宜的。
四、“云管边端”协同的边缘计算安全防护解决方案
摘 要 边缘计算是 5G 重要新技术能力,通过低延时、大流量、高性能服务促进新应用创新。边缘计算能力的实施面临物理、网络、协议、应用、管理等多层面的威胁,急需新安全防护能力支撑。该解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。
关键词: 多接入移动边缘计算;边缘云;安全防护;机器学习;诱骗防御;用户及实体行为分析
内容目录 :
0 引 言
1 5G 及边缘计算
2 边缘计算面临的风险
2.1 基础设施层安全风险
2.2 电信服务层安全风险
2.3 终端应用层安全风险
2.4 管理面安全风险
2.5 租户服务面安全风险
2.6 MEC 安全威胁总结
3 “云管边端”安全防护技术
3.1 功能架构
3.2 主要功能
4 “云管边端”安全防护实践
4.1 应用场景
5 结 语
“云管边端”协同的边缘计算安全防护解决方案是恒安嘉新针对边缘计算发展提出的全面安全解决方案。方案综合考虑边缘计算产业中用户、租户、运营者多方面的要求,通过多级代理、边缘自治、编排能力,提供高安全性和轻量级的便捷服务。整体方案提供边缘计算场景的专业防护;提供多种部署方式;在提供高性价比服务的同时为边缘云计算输送安全服务价值。
5G 是驱动创新互联网发展的关键技术之一。5G 边 缘 计 算(Multi-access Edge Computing, MEC)提供了强大的云网一体化基础设施,促使应用服务向网络边缘迁移。MEC 的一大特点是同时连通企业内网和运营商核心网,其安全性直接影响企业内网安全以及运营商基础设施安全。随着边缘计算在各行各业商用,MEC 和生产管理流程逐渐融合,安全问题将日益突出, 对于 MEC 的安全防护需求日益强烈 。
采用标准 X.805 模型,MEC 安全防护由 3 个逻辑层和 2 个平面组成。3 个逻辑层是基础设施层(分为物理基础设施子层、虚拟基础设施子层)、电信服务层和终端应用层。2 个平面为租户服务面和管理面。基于此分层划分识别得到如下 MEC 安全风险。
2.1 基础设施层安全风险
与云计算基础设施的安全威胁类似,攻击者可通过近距离接触硬件基础设施,对其进行物理攻击。攻击者可非法访问服务器的 I/O 接口, 获得运营商用户的敏感信息。攻击者可篡改镜像, 利用虚拟化软件漏洞攻击边缘计算平台(Multi- access Edge Computing Platform,MEP) 或者边缘应用(APPlication,APP) 所在的虚拟机或容器, 从而实现对 MEP 平台或者 APP 的攻击。
2.2 电信服务层安全风险
存在病毒、木马、蠕虫攻击。MEP 平台和APP 等通信时,传输数据被拦截、篡改。攻击者可通过恶意APP 对MEP 平台发起非授权访问, 导致用户敏感数据泄露。当 MEC 以虚拟化的虚拟网络功能(Virtual Network Function,VNF)或者容器方式部署时,VNF 及容器的安全威胁也会影响 APP。
2.3 终端应用层安全风险
APP 存在病毒、木马、蠕虫、钓鱼攻击。APP 和 MEP 平台等通信时,传输数据被拦截、篡改。恶意用户或恶意 APP 可非法访问用户APP,导致敏感数据泄露等。另外,在 APP 的生命周期中,它可能随时被非法创建、删除等。
2.4 管理面安全风险
MEC 的编排和管理网元(如 MAO/MEAO) 存在被木马、病毒攻击的可能性。MEAO 的相关接口上传输的数据被拦截和篡改等。攻击者可通过大量恶意终端上的 APP,不断地向用户APP 生命周期管理节点发送请求,实现 MEP 上的属于该用户终端 APP 的加载和终止,对 MEC 编排网元造成攻击。
2.5 租户服务面安全风险
对于存在的病毒、木马、蠕虫、钓鱼攻击, 攻击者近距离接触数据网关,获取敏感数据或篡改数据网管配置,进一步攻击核心网;用户面网关与 MEP 平台之间传输的数据被篡改、拦截等。
2.6 MEC 安全威胁总结
基于对上述风险的认识,可以看出:MEC跨越企业内网、运营商服务域、运营商管理域等多个安全区域,应用了基于服务化接口的多类 5G 专用接口和通信协议,网络中存在面向应用、通信网、数据网的多维度认证授权处理, 传统的简单 IDS、IPS、防火墙等防护方式很难满足 MEC 安全防护的要求,需要新的具备纵深防御能力的专业性的解决方案处理。
3.1 功能架构
“云管边端”安全防护解决方案总体功能架构如图1 所示。解决方案利用机器学习、诱骗防御、UEBA 等技术,针对边缘计算的业务和信令特点设计,结合“云管边端”多层面的资源协同和防护处理,实现立体化的边缘计算安全防护处理。解决方案由五个层面的功能组件实现,分别为可视化层、中心安全云业务层、边缘安全编排层、安全能力系统层、数据采集层。
图 1 MEC 安全防护解决方案功能架构
在可视化层,产品通过 MEC 安全防护统一管理平台提供安全资源管理、安全运维管理、安全运营管理、统一门户、租户门户、安全态势感知服务。在中心安全云业务层,产品通过MEC 安全云实现基础数据资源统管、安全运算资源统管、安全能力编排。
边缘安全能力层部署适应虚拟化基础环境的虚拟机安全等服务能力,这些能力由 DDoS 攻击防护系统、威胁感知检测系统、威胁防护处理系统、虚拟防火墙系统、用户监控及审计系统、蜜网溯源服务系统、虚拟安全补丁服务系统、病毒僵木蠕钓鱼查杀系统以及边缘侧 5G 核心安全防护系统。
边缘安全编排层由安全微服务和引擎管理微服务构成。数据采集层主要提供信令面和数据面的流量采集,并对采集到的信令面流量进行分发,对用户面流量进行筛选和过滤。
3.2 主要功能
“云管边端”安全防护解决方案提供如下八个方面的特色安全功能。
(1)基本安全
提供基础的安全防护功能,包括防欺骗、ACL 访问控制、账号口令核验、异常告警、日志安全处理等能力。
(2)通信安全
提供针对 MEC 网络的通信安全防护能力, 包括防 MEC 信令风暴、防 DDoS、策略防篡改、流量镜像处理、恶意报文检测等能力。
(3)认证审计
提供针对 MEC 网络的认证审计和用户追溯安全防护能力,可以处理 5GC 核心网认证交互、边缘应用和服务的认证交互、以及 5G 终端的认证交互,并可以进行必要的关联性管理和分析。
(4)基础设施安全
提供对 MEC 基础设施的安全防护能力, 包括关键基础设施识别,基础设施完整性证实,边缘节点身份标识与鉴别等。并可以提供Hypervisor 虚拟化基础设施的安全防护处理,保障操作系统安全,保障网络接入安全。
(5)应用安全
提供完善的 MEC 应用安全防护能力,包括APP 静态行为扫描、广谱特征扫描和沙箱动态扫描,保护 APP 和应用镜像安全。
(6)数据安全
提供多个层面的 MEC 数据安全防护能力。在应用服务中提供桌面虚拟镜像数据安全能力, 避免应用数据安全风险。在身份认证过程中, 结合 PKI 技术实施双因子身份认证,保护认证信息安全。通过安全域管理和数据动态边界加密处理,防范跨域数据安全风险。
(7)管理安全
提供完善的管理安全防护能力。包括安全策略下发安全防护,封堵反弹 Shell、可疑操作、系统漏洞、安全后门等常规管理安全处理,以及针对 MEC 管理的 N6 及 N9 接口分析及审计。实现对于管理风险的预警和风险提示。
(8)安全态势感知
通过对资产、安全事件、威胁情报、流量进行全方位的分析和监测,实现针对 MEC 网络的安全态势感知。
4.1 应用场景
“云管边端”安全防护解决方案不仅为基础电信企业提供 5G 场景下 MEC 基础设施的安全保护能力和监测 MEC 持续运营安全风险的工具,而且赋能基础电信企业向 MEC 租用方提供安全保护增值服务,推动 5G 安全产业链上下游协同发展。整体解决方案支持私有边缘云定制部署,边缘云合作运营,安全服务租用等多种商业模式。
企业通过部署“云管边端”安全防护解决方案,能够有效实现将网络安全能力从中心延伸到边缘,实现业务快速网络安全防护和处理,为 5G 多样化的应用场景提供网络安全防护。因此,企业更有信心利用 5G 部署安全的智能化生产、管理、调度系统,从而丰富工业互联网应用,促进工业互联网智能化发展 。
4.2 主要优势
“云管边端”安全防护解决方案具备如下优势:
(1)专为边缘计算环境打造,整体方案在分级架构、安全编排、安全性能、协议分析等多方向优化,提供 MEC 最佳防护方案。
(2)多种模式适应各类应用场景需求,企业可根据自身需求和特点灵活选择。可以选择租用模式,无需专业技术人员即获得最新 MEC 安全技术服务。也可以选择定制模式,深度研发适配企业特性的安全防护处理。
(3)高效融合 MEC 各个层面的安全保护能力,降低综合安全防护成本,支持多种收费模式,降低入门门槛,让MEC 安全保护不留死角。
(4)创造安全服务价值,安全策略自动化以及与网络和云服务能力的联动,深度优化MEC 安全运维管理,创造边缘云服务安全价值。
本解决方案当前已在多个实际网络中部署,实现对于智慧港口、智慧工厂、智慧医疗、工业互联网等重要信息化应用资产的安全防护。例如,随着 5G 网络的发展,可以实施对于工业大型工程设备的 5G 远程控制改造,实现远程实时控制,完成高清视频回传,从而提升生产效率。但远控过程中的各类网络安全风险可能威胁到生产稳定性,造成重大损失。通过本解决方案的实施,可以保障 5G 远程控制改造实施,保护生产运行的高效运转。
引用文本:张宝山,庞韶敏“. 云管边端”协同的边缘计算安全防护解决方案[J].信息安全与通信保密,2020(增刊1):44-48.
张宝山,硕士,高工,主要研究方向为核心网、边缘计算、网络功能虚拟化、物联网、网络安全等; 庞韶敏 ,硕士,高工,主要研究方向为核心网、边缘计算、物联网、网络安全、主机安全等。 选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
- 相关评论
- 我要评论
-
1