日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
探索創(chuàng)新互聯(lián)安全測試

背景

容器和云原生平臺使企業(yè)能夠?qū)崿F(xiàn)自動化應(yīng)用部署,從而帶來巨大的業(yè)務(wù)收益。但是,這些新部署的云環(huán)境與傳統(tǒng)環(huán)境一樣,容易受到黑客和內(nèi)部人員的攻擊和利用。勒索軟件、加密貨幣挖礦、數(shù)據(jù)竊取和服務(wù)中斷的攻擊持續(xù)發(fā)生在針對基于容器的云原生環(huán)境之中。由于云平臺安全缺陷導(dǎo)致頻繁發(fā)生的重大網(wǎng)絡(luò)安全事故,使得云平臺下的安全測試顯得尤為重要。

陸豐ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應(yīng)用場景,ssl證書未來市場廣闊!成為創(chuàng)新互聯(lián)的ssl證書銷售渠道,可以享受市場價格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:028-86922220(備注:SSL證書合作)期待與您的合作!

網(wǎng)絡(luò)安全事故相關(guān)案例:

  • 2017年,網(wǎng)絡(luò)安全導(dǎo)致美國征信公司 Equifax約 1.48 億美國公民數(shù)據(jù)遭泄露。(來源:新華網(wǎng))
  • 2018年,特斯拉云服務(wù)器遭黑客劫持,變?yōu)榧用茇泿诺V機,機密數(shù)據(jù)遭泄漏。(來源:網(wǎng)易)
  • 2022年,匯豐網(wǎng)絡(luò)銀行遭到拒絕服務(wù)攻擊(DDOS)攻擊,在不到一個月內(nèi)癱瘓了兩次。(來源:安全狗)

云時代的安全視角

那么該如何開展云原生環(huán)境下的安全測試呢?首先讓我們來了解下不同時代安全的視角和安全測試重點的差異。

在單體架構(gòu)的終端時代,所有的業(yè)務(wù)場景的表示層、業(yè)務(wù)邏輯層、數(shù)據(jù)訪問層放在一個工程里面,然后經(jīng)過編譯打包部署到一臺服務(wù)器上,結(jié)構(gòu)比較簡單,防護起來相對也比較容易。

在互聯(lián)網(wǎng)的時代,使用面向服務(wù)的架構(gòu)。這種架構(gòu)將應(yīng)用程序的不同功能單元進行拆分,并且通過服務(wù)之間定義良好的接口和契約進行聯(lián)系。這種架構(gòu)使得安全防護變得更加復(fù)雜,它需要做好應(yīng)用級的防火墻,要對IDP、SSL、VPN做好相關(guān)的防護。

在云的時代,使用微服務(wù)的架構(gòu)。微服務(wù)的架構(gòu)其實是多服務(wù)的結(jié)合體。這些服務(wù)開放不同的端口,開放多個應(yīng)用程序API,這樣就會導(dǎo)致網(wǎng)絡(luò)的攻擊面增加,帶來嚴(yán)重的安全挑戰(zhàn)。在這種情況下,所有的微服務(wù)都需要得到充分的保護,才能克服這種安全的威脅。

云時代安全測試面臨的挑戰(zhàn)

了解不同時代安全視角差異后,再讓我們從這些差異來審視云時代安全測試技術(shù)相較傳統(tǒng)安全測試所面臨的挑戰(zhàn):

  • 微服務(wù)架構(gòu)帶來了大量的內(nèi)部網(wǎng)絡(luò)流量與動態(tài)復(fù)雜的網(wǎng)絡(luò)環(huán)境,使得云網(wǎng)內(nèi)部可視化變得相當(dāng)?shù)?,以至于傳統(tǒng)的網(wǎng)絡(luò)安全測試手段無法勝任任務(wù)
  • 資源的彈性伸縮特性使得傳統(tǒng)的安全測試方案難以發(fā)揮作用,無法有效測試出系統(tǒng)的最終安全性
  • 大量的開源軟件漏洞、復(fù)雜的內(nèi)部攻擊以及應(yīng)用的快速迭代,使我們對安全防護的及時性要求更高。

由于云時代所面臨的安全測試挑戰(zhàn),傳統(tǒng)安全測試手段和工具由于架構(gòu)和技術(shù)上的差異無法有效應(yīng)對,例如:檢測容器漏洞、識別云網(wǎng)絡(luò)內(nèi)部流動的信息以及同大規(guī)模部署的可擴展性缺乏等,因此,需要采用更加先進的技術(shù)和工具來進行更有效地安全測試。

云原生安全測試方案

傳統(tǒng)安全測試工具和手段無法適用于云原生環(huán)境下的安全測試,因此必須引入云原生環(huán)境下一些特殊的安全測試工具和測試方法,針對云原生網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)的特點,設(shè)計全新的安全測試方案,解決這些傳統(tǒng)的安全測試工具無法覆蓋的盲點。

當(dāng)我們設(shè)計云原生安全測試方案前,首先讓我們先了解下云原生安全測試的內(nèi)容:

  • 基礎(chǔ)架構(gòu)層面,我們需要開展主機和基礎(chǔ)架構(gòu)安全合規(guī)測試、Docker/Kubernetes 標(biāo)準(zhǔn)合規(guī)性測試、鏡像漏洞、病毒掃描測試、鏡像審計測試、云上數(shù)據(jù)庫和存儲安全測試
  • 鏡像安全方面,我們需要開展鏡像漏洞、病毒掃描,自動實時掃描,第三方日志工具集成測試
  • 云原生網(wǎng)絡(luò)層面,我們需要開展云原生網(wǎng)絡(luò)安全測試,Macvaln、Calico、Ovs等云原生cni集成安全測試等。
  • 應(yīng)用和容器安全測試方面,我們需要開展容器病毒掃描測試、應(yīng)用漏洞掃描測試
  • 應(yīng)用運行時候安全,我們需要開展服務(wù)運行時安全測試,惡意進程掃描測試
  • 同時,我們也可以結(jié)合一些傳統(tǒng)的滲透測試手段對云上的存儲、數(shù)據(jù)庫,操作系統(tǒng)開展相關(guān)滲透測試

開源安全測試工具箱

基于以上云原生安全測試內(nèi)容,引入一套完全以開源安全工具為基礎(chǔ)的測試工具為基礎(chǔ)設(shè)計的測試方案,就可以開展我們的安全測試了,這套安全測試工具,我們稱它為開源安全測試工具箱,開源安全測試工具箱包含以下工具:

  • 云原生基礎(chǔ)架構(gòu)總體安全:NeuVector
  • 鏡像審計和漏洞、病毒掃描測試:Clair、Anchore、Dagda
  • 云原生網(wǎng)絡(luò)安全測試:kubescape
  • 容器運行時安全測試:Falco
  • 容器病毒掃描測試:ClamAV
  • 滲透測試:sqlmap、Metasploit

使用開源安全測試工具箱開展云原生安全測試具有以下優(yōu)點:

  • 經(jīng)濟性:采用開源工具,和動輒上百萬、千萬級別其他商用方案相比,工具使用零成本。
  • 安全性:可以查看和取得全部檢測工具源代碼,匹配金融、政府、軍工等行業(yè)特殊安全需求。
  • 擴展性和全面性:數(shù)以千計社區(qū)安全測試工具,可以任意根據(jù)客戶需求擴展云原生安全測試策略,覆蓋客戶所有安全測試盲點。
  • 靈活性:可以靈活地定制云原生安全解決方案,根據(jù)客戶需求選擇最合適的云原生安全測試策略。

下面我們用Nginx、Nodejs和Redis部署多層應(yīng)用程序,使用開源安全工具NeuVector演示開展和進行威脅攻擊測試:

1. 創(chuàng)建測試演示命名空間:kubectl create namespace demo

2. 使用yaml 創(chuàng)建 Redis 服務(wù)和部署

3. 使用yaml 創(chuàng)建 Nodejs 服務(wù)和部署

4. 使用此 yaml 創(chuàng)建 Nginx 服務(wù)和部署

5. 外部訪問Nginx服務(wù),找到NodePort分配給它的隨機端口(映射到80端口:

6. 然后連接到其中一個kubernetes節(jié)點的公共IP地址/端口,例如:

7. 登錄容器,在容器內(nèi)部安裝DDos攻擊工具hping3,開始模擬攻擊:

8. 對另一個容器節(jié)點發(fā)起攻擊:

9. 打開「通知→安全事件」頁面,查看告警信息

來源:自行部署的開源安全測試環(huán)境截圖10. 告警信息有 Ping Death 攻擊容器的相關(guān)內(nèi)容,NeuVector 自動記錄該違規(guī)動作。測試期望結(jié)果和實際結(jié)果一致,威脅攻擊測試用例通過。

云原生DevSecOps

DevSecOps其實是在DevOps基礎(chǔ)上增加了Security的一個步驟,DevSecOps概念是在2012年提出來的,它把安全測試?yán)砟钊谌肓苏麄€DevOps的概念里面,在整個開發(fā)和運維的過程中都會持續(xù)地運行安全測試的相關(guān)內(nèi)容。它有幾個特性,它會和CI/CD流水線做集成,實現(xiàn)測試左移和右移。它能夠?qū)訕?biāo)準(zhǔn)的監(jiān)控告警體系,對研發(fā)和生產(chǎn)環(huán)境中運行的應(yīng)用實現(xiàn)24小時安全監(jiān)控。

圖片來源:https://www.sohu.com/a/207924559_804262

DevSecOps強調(diào)安全是團隊每個人的責(zé)任,無論我們是研發(fā)測試還是運維,安全的理念要貫穿在產(chǎn)品整個生命周期當(dāng)中。它解決了安全測試的孤立性、滯后性、隨機性,覆蓋性、變更一致性等問題。通過固化流程,加強了不同人員的協(xié)作。通過工具和技術(shù)手段,將可以自動化重復(fù)運行的部分安全測試工作融入到整個研發(fā)體系內(nèi),讓產(chǎn)品的安全屬性嵌入到整條的研發(fā)和運維的流水線之中。

總結(jié)

當(dāng)我們使用開源的云原生安全測試工具結(jié)合滲透測試工具、方法和手段,通過設(shè)計良好的安全測試策略,就能很好地開展云平臺基礎(chǔ)架構(gòu)合規(guī)測試、容器網(wǎng)絡(luò)安全測試、容器運行時安全測試、鏡像安全測試等云原生環(huán)境下特有的安全測試。從而了解云平臺和云上應(yīng)用存在的安全隱患和風(fēng)險,通過修復(fù)相關(guān)的安全隱患和風(fēng)險,來不斷提升我們云平臺和云上應(yīng)用的安全性。


本文題目:探索創(chuàng)新互聯(lián)安全測試
轉(zhuǎn)載來源:http://www.5511xx.com/article/ccshded.html