著者 |パン・リフェン 背景コンテナとクラウドネイティブ プラットフォームにより、企業はアプリケーションの展開を自動化できるようになり、ビジネスに大きなメリットをもたらします。ただし、新しく導入されたクラウド環境は、従来の環境と同様に、ハッカーや内部者による攻撃や悪用に対して脆弱です。ランサムウェア、暗号通貨マイニング、データ盗難、サービス中断攻撃は、コンテナベースのクラウドネイティブ環境を標的にし続けています。クラウド プラットフォームのセキュリティ上の欠陥が原因で大規模なネットワーク セキュリティ インシデントが頻繁に発生しているため、クラウド プラットフォームでのセキュリティ テストは特に重要です。 サイバーセキュリティインシデント関連事例:
クラウド時代のセキュリティ観点では、クラウドネイティブ環境でセキュリティ テストを実施するにはどうすればよいでしょうか?まず、時代によってセキュリティの観点やセキュリティ テストの優先順位が異なることを理解しましょう。 モノリシック端末アーキテクチャの時代では、すべてのビジネス シナリオのプレゼンテーション層、ビジネス ロジック層、データ アクセス層が 1 つのプロジェクトに配置され、コンパイル、パッケージ化されてサーバー上に展開されます。構造は比較的単純で、保護も比較的容易です。 インターネットの時代には、サービス指向アーキテクチャを使用します。このアーキテクチャは、アプリケーションのさまざまな機能ユニットを分割し、サービス間の明確に定義されたインターフェースと契約を通じてそれらを接続します。このアーキテクチャにより、セキュリティ保護がより複雑になります。 IDP、SSL、VPN に対するアプリケーション レベルのファイアウォールと関連する保護が必要です。 クラウド時代では、マイクロサービス アーキテクチャを使用します。マイクロサービス アーキテクチャは、実際には複数のサービスの組み合わせです。これらのサービスはさまざまなポートと複数のアプリケーション API を開くため、ネットワークの攻撃対象領域が拡大し、深刻なセキュリティ上の課題が生じます。この場合、このセキュリティの脅威を克服するには、すべてのマイクロサービスを適切に保護する必要があります。 クラウド時代のセキュリティテストの課題時代によってセキュリティの観点が異なることを理解した後、従来のセキュリティ テストと比較したクラウド時代のセキュリティ テスト技術が直面する課題を、次の違いから検討してみましょう。
クラウド時代が直面するセキュリティ テストの課題により、従来のセキュリティ テストの方法とツールでは、アーキテクチャとテクノロジーの違いにより、それらの課題に効果的に対処できません。たとえば、コンテナの脆弱性の検出、クラウド ネットワーク内を流れる情報の特定、大規模な展開に対するスケーラビリティの欠如などです。したがって、より効果的なセキュリティ テストを実施するには、より高度なテクノロジとツールが必要です。 クラウドネイティブセキュリティテストソリューション従来のセキュリティ テスト ツールと方法は、クラウド ネイティブ環境でのセキュリティ テストには適用できません。そのため、クラウドネイティブ環境で特別なセキュリティテストツールとテスト方法を導入し、クラウドネイティブネットワークとインフラストラクチャの特性に基づいて新しいセキュリティテストソリューションを設計し、これらの従来のセキュリティテストツールではカバーできない盲点に対処する必要があります。 クラウド ネイティブ セキュリティ テスト ソリューションを設計する前に、まずクラウド ネイティブ セキュリティ テストの内容を理解しておきましょう。
オープンソースのセキュリティテストツールボックス上記のクラウドネイティブ セキュリティ テストの内容に基づいて、セキュリティ テストを実行するために、完全にオープン ソース セキュリティ ツールに基づいた一連のテスト ツールに基づいて設計されたテスト ソリューションを導入できます。このセキュリティ テスト ツール セットはオープン ソース セキュリティ テスト ツールボックスと呼ばれ、次のツールが含まれています。
オープンソースのセキュリティ テスト ツールボックスを使用してクラウド ネイティブ セキュリティ テストを実施すると、次のような利点があります。
次に、Nginx、Nodejs、Redis を使用してマルチレイヤー アプリケーションをデプロイし、オープン ソース セキュリティ ツール NeuVector を使用して脅威攻撃テストのデモンストレーションと実施を行います。 1. テストデモ名前空間を作成します: kubectl create namespace demo 2. yamlを使用してRedisサービスとデプロイメントを作成する 3. yamlを使用してNodejsサービスとデプロイメントを作成する 4. このyamlを使用してNginxサービスとデプロイメントを作成します 5. 外部からNginxサービスにアクセスし、NodePortによって割り当てられたランダムポート(ポート80にマッピングされている)を見つけます。 6. 次に、いずれかの Kubernetes ノードのパブリック IP アドレス/ポートに接続します。例: 7. コンテナにログインし、コンテナ内に DDos 攻撃ツール hping3 をインストールして、攻撃のシミュレーションを開始します。 8. 別のコンテナノードに攻撃を開始します。 9. 「通知→セキュリティイベント」ページを開いて警告情報を表示します。 出典: 自己展開されたオープンソース セキュリティ テスト環境のスクリーンショット 10。アラーム情報には Ping Death 攻撃コンテナの関連コンテンツが含まれており、NeuVector は違反を自動的に記録します。予想されるテスト結果が実際の結果と一致し、脅威攻撃テスト ケースは合格しました。 クラウドネイティブDevSecOpsDevSecOps は実際には DevOps に基づいてセキュリティ ステップを追加します。 DevSecOps の概念は 2012 年に提案されました。これは、セキュリティ テストの概念を DevOps の全体的な概念に統合します。セキュリティテストの関連コンテンツは、開発および運用プロセス全体を通じて継続的に実行されます。いくつかの機能があり、CI/CD パイプラインと統合してテストの左右シフトを実現します。標準の監視および警報システムに接続して、R&D および実稼働環境で実行されるアプリケーションの 24 時間セキュリティ監視を実現できます。 画像出典: https://www.sohu.com/a/207924559_804262 DevSecOps では、セキュリティはすべてのチームメンバーの責任であることを強調しています。研究開発、テスト、運用・保守のいずれの場合でも、セキュリティの概念は製品のライフサイクル全体にわたって実行されなければなりません。セキュリティ テストの分離、遅延、ランダム性、カバレッジ、変更の一貫性の問題を解決します。プロセスを固めることで、さまざまな担当者間の連携が強化されます。ツールと技術的手段を通じて、自動化および繰り返し実行できるセキュリティ テスト作業の一部が R&D システム全体に統合され、製品のセキュリティ属性を R&D および運用と保守のパイプライン全体に組み込むことができます。 要約するオープンソースのクラウドネイティブ セキュリティ テスト ツールを侵入テスト ツール、方法、手段と組み合わせて使用し、適切に設計されたセキュリティ テスト戦略を通じて、クラウド プラットフォーム インフラストラクチャのコンプライアンス テスト、コンテナー ネットワーク セキュリティ テスト、コンテナー ランタイム セキュリティ テスト、イメージ セキュリティ テストなど、クラウドネイティブ環境に固有のセキュリティ テストを実行できます。これにより、クラウド プラットフォームとクラウド アプリケーションに存在するセキュリティ リスクと隠れた危険性を理解し、関連するセキュリティ リスクと隠れた危険性を修正することで、クラウド プラットフォームとクラウド アプリケーションのセキュリティを継続的に向上させることができます。 |
>>: デジタル経済におけるクラウドコンピューティングとビッグデータ技術の応用
上海SEO連盟は、すべてのウェブマスターが独自のURLを提供することを歓迎しており、SEOに興味のあ...
ワイヤレス部門で働く者として、モバイルデバイスを理解しないわけにはいきません。無限の再構築として、レ...
ホスティング プロバイダーの nethosting を紹介したいと思います。今日は主に、同社の仮想ホ...
12月10日、北京でPartner Cloud × Enterprise WeChat合同記者会見が...
2010 年に比較的優秀で有名な独立系 SEO ブログをいくつかチェックしました。14 のブログをチ...
デジタル時代において、企業のビジネスはデジタル変革を実現する必要があります。いずれにせよ、企業がクラ...
検索エンジン最適化 (SEO) 業界で働く友人たちは、とても苦労しています。退屈で面倒な作業に対処す...
最近、編集者は世界のモバイルアプリケーション市場に関するデータを入手し、6月の主要市場におけるiOS...
CIO は、特に小売業やサービス業において、クラウドと分析を活用してデジタルの進歩をリードする傾向が...
コードはどこで実行されていますか?何が実行されていますか? また、なぜ中断されるのですか?私たちには...
インターネットの急速な発展に伴い、ビッグデータの時代が静かに到来しました。しかし、膨大なデータ情報は...
最近、インターネット上で「QQドリフトボトルを巧みに利用して外部リンクを作る」という方法が広まってい...
ドメイン名はインターネット企業にとって間違いなく大きな意味を持ちます。有名なソーシャル ネットワーキ...
今年ももうすぐ終わり、クリスマスとボクシングデーが次々とやって来ます。今年最後の時期に、皆様ができる...
日常生活で電子機器を使用するとき、誤ってファイルを削除したり、コンピューターを他人に貸したときに相手...