著者 |パン・リフェン 背景コンテナとクラウドネイティブ プラットフォームにより、企業はアプリケーションの展開を自動化できるようになり、ビジネスに大きなメリットをもたらします。ただし、新しく導入されたクラウド環境は、従来の環境と同様に、ハッカーや内部者による攻撃や悪用に対して脆弱です。ランサムウェア、暗号通貨マイニング、データ盗難、サービス中断攻撃は、コンテナベースのクラウドネイティブ環境を標的にし続けています。クラウド プラットフォームのセキュリティ上の欠陥が原因で大規模なネットワーク セキュリティ インシデントが頻繁に発生しているため、クラウド プラットフォームでのセキュリティ テストは特に重要です。 サイバーセキュリティインシデント関連事例:
クラウド時代のセキュリティ観点では、クラウドネイティブ環境でセキュリティ テストを実施するにはどうすればよいでしょうか?まず、時代によってセキュリティの観点やセキュリティ テストの優先順位が異なることを理解しましょう。 モノリシック端末アーキテクチャの時代では、すべてのビジネス シナリオのプレゼンテーション層、ビジネス ロジック層、データ アクセス層が 1 つのプロジェクトに配置され、コンパイル、パッケージ化されてサーバー上に展開されます。構造は比較的単純で、保護も比較的容易です。 インターネットの時代には、サービス指向アーキテクチャを使用します。このアーキテクチャは、アプリケーションのさまざまな機能ユニットを分割し、サービス間の明確に定義されたインターフェースと契約を通じてそれらを接続します。このアーキテクチャにより、セキュリティ保護がより複雑になります。 IDP、SSL、VPN に対するアプリケーション レベルのファイアウォールと関連する保護が必要です。 クラウド時代では、マイクロサービス アーキテクチャを使用します。マイクロサービス アーキテクチャは、実際には複数のサービスの組み合わせです。これらのサービスはさまざまなポートと複数のアプリケーション API を開くため、ネットワークの攻撃対象領域が拡大し、深刻なセキュリティ上の課題が生じます。この場合、このセキュリティの脅威を克服するには、すべてのマイクロサービスを適切に保護する必要があります。 クラウド時代のセキュリティテストの課題時代によってセキュリティの観点が異なることを理解した後、従来のセキュリティ テストと比較したクラウド時代のセキュリティ テスト技術が直面する課題を、次の違いから検討してみましょう。
クラウド時代が直面するセキュリティ テストの課題により、従来のセキュリティ テストの方法とツールでは、アーキテクチャとテクノロジーの違いにより、それらの課題に効果的に対処できません。たとえば、コンテナの脆弱性の検出、クラウド ネットワーク内を流れる情報の特定、大規模な展開に対するスケーラビリティの欠如などです。したがって、より効果的なセキュリティ テストを実施するには、より高度なテクノロジとツールが必要です。 クラウドネイティブセキュリティテストソリューション従来のセキュリティ テスト ツールと方法は、クラウド ネイティブ環境でのセキュリティ テストには適用できません。そのため、クラウドネイティブ環境で特別なセキュリティテストツールとテスト方法を導入し、クラウドネイティブネットワークとインフラストラクチャの特性に基づいて新しいセキュリティテストソリューションを設計し、これらの従来のセキュリティテストツールではカバーできない盲点に対処する必要があります。 クラウド ネイティブ セキュリティ テスト ソリューションを設計する前に、まずクラウド ネイティブ セキュリティ テストの内容を理解しておきましょう。
オープンソースのセキュリティテストツールボックス上記のクラウドネイティブ セキュリティ テストの内容に基づいて、セキュリティ テストを実行するために、完全にオープン ソース セキュリティ ツールに基づいた一連のテスト ツールに基づいて設計されたテスト ソリューションを導入できます。このセキュリティ テスト ツール セットはオープン ソース セキュリティ テスト ツールボックスと呼ばれ、次のツールが含まれています。
オープンソースのセキュリティ テスト ツールボックスを使用してクラウド ネイティブ セキュリティ テストを実施すると、次のような利点があります。
次に、Nginx、Nodejs、Redis を使用してマルチレイヤー アプリケーションをデプロイし、オープン ソース セキュリティ ツール NeuVector を使用して脅威攻撃テストのデモンストレーションと実施を行います。 1. テストデモ名前空間を作成します: kubectl create namespace demo 2. yamlを使用してRedisサービスとデプロイメントを作成する 3. yamlを使用してNodejsサービスとデプロイメントを作成する 4. このyamlを使用してNginxサービスとデプロイメントを作成します 5. 外部からNginxサービスにアクセスし、NodePortによって割り当てられたランダムポート(ポート80にマッピングされている)を見つけます。 6. 次に、いずれかの Kubernetes ノードのパブリック IP アドレス/ポートに接続します。例: 7. コンテナにログインし、コンテナ内に DDos 攻撃ツール hping3 をインストールして、攻撃のシミュレーションを開始します。 8. 別のコンテナノードに攻撃を開始します。 9. 「通知→セキュリティイベント」ページを開いて警告情報を表示します。 出典: 自己展開されたオープンソース セキュリティ テスト環境のスクリーンショット 10。アラーム情報には Ping Death 攻撃コンテナの関連コンテンツが含まれており、NeuVector は違反を自動的に記録します。予想されるテスト結果が実際の結果と一致し、脅威攻撃テスト ケースは合格しました。 クラウドネイティブDevSecOpsDevSecOps は実際には DevOps に基づいてセキュリティ ステップを追加します。 DevSecOps の概念は 2012 年に提案されました。これは、セキュリティ テストの概念を DevOps の全体的な概念に統合します。セキュリティテストの関連コンテンツは、開発および運用プロセス全体を通じて継続的に実行されます。いくつかの機能があり、CI/CD パイプラインと統合してテストの左右シフトを実現します。標準の監視および警報システムに接続して、R&D および実稼働環境で実行されるアプリケーションの 24 時間セキュリティ監視を実現できます。 画像出典: https://www.sohu.com/a/207924559_804262 DevSecOps では、セキュリティはすべてのチームメンバーの責任であることを強調しています。研究開発、テスト、運用・保守のいずれの場合でも、セキュリティの概念は製品のライフサイクル全体にわたって実行されなければなりません。セキュリティ テストの分離、遅延、ランダム性、カバレッジ、変更の一貫性の問題を解決します。プロセスを固めることで、さまざまな担当者間の連携が強化されます。ツールと技術的手段を通じて、自動化および繰り返し実行できるセキュリティ テスト作業の一部が R&D システム全体に統合され、製品のセキュリティ属性を R&D および運用と保守のパイプライン全体に組み込むことができます。 要約するオープンソースのクラウドネイティブ セキュリティ テスト ツールを侵入テスト ツール、方法、手段と組み合わせて使用し、適切に設計されたセキュリティ テスト戦略を通じて、クラウド プラットフォーム インフラストラクチャのコンプライアンス テスト、コンテナー ネットワーク セキュリティ テスト、コンテナー ランタイム セキュリティ テスト、イメージ セキュリティ テストなど、クラウドネイティブ環境に固有のセキュリティ テストを実行できます。これにより、クラウド プラットフォームとクラウド アプリケーションに存在するセキュリティ リスクと隠れた危険性を理解し、関連するセキュリティ リスクと隠れた危険性を修正することで、クラウド プラットフォームとクラウド アプリケーションのセキュリティを継続的に向上させることができます。 |
>>: デジタル経済におけるクラウドコンピューティングとビッグデータ技術の応用
(文/Heven) 数日前、ネット界で大きなニュースが飛び込んできた。Luoji Siweiの主要ク...
プロモーションのコンセプトは、外側から始めて内側に働きかけることです。初期段階での短期間の運用で、一...
Baidu Knows は重みが高く、ランキングも良く、ウェブサイトに多くのトラフィックをもたらすこ...
最近、多くの友人が Xinchen に、なぜ自分のウェブサイトのランキングが下がったのか、なぜ他のウ...
最近、hudsonvalleyhost のプロモーションを頻繁に見かけますが、OVZ モデルは相変わ...
いわゆる SEO の専門家の中には、ただの誇大宣伝で、いわゆる SEO の達人の中には、ただの自称だ...
3月7日、第30回北京教育機器展示会が国家会議センターで開催されました。国内のクラウドコンピューティ...
どの香港のクラウドホストが優れていますか?どの香港クラウドサーバーが優れていますか?この記事は、香港...
1. 決済ドメイン名の価値は10年で500倍以上に上昇!決済ドメイン名の所有者は124万元で変更され...
インターネットに携わっている友人は皆、この問題に遭遇したことがあるでしょう。上司からオンライン広告の...
情報技術の急速な発展に伴い、クラウドコンピューティングとエッジコンピューティングは徐々に現代社会の主...
幸運な人を除いて、経験豊富なウェブマスターなら誰でも、自分のウェブサイトがブロックされた経験があると...
「江南スタイル」はどれほど人気があるのだろうか?海外の動画サイトYouTubeでの「江南スタイル...
楊城晩報の董劉記者、林金彪特派員、何娟特派員は次のように伝えた。ウェブサイト名は「見た目」が非常に似...
18 年間運営されている H4Y Technologies LLC が、特別価格で専用サーバー 3 ...