「裸奔」的容器,安全問題迫在眉睫
汪照辉 twt企业IT社区
【摘要】容器本身就是弱安全的,容易帶來越權逃逸等問題,同時容器應用研發人員對容器技術又缺乏了解,缺乏相應的安全意識和安全知識,這就帶來了比較嚴重的潛在的安全 問題,有很多的事項迫在眉睫。
【作者】汪照輝,中國銀河證券架構師,專注於容器雲、微服務、DevOps、資料治理、數位轉型等領域,對相關技術有獨特的理解與見解。 擅長於軟體規劃和設計,提出的「平台融合」的觀點越來越被認同和事實證明。 發表了許多技術文章探討容器平台建置、微服務技術、DevOps、數位轉型、資料治理、中台建置等內容,受到了廣泛關注與肯定。
最近測容器安全,才發現部署的容器雲平台和容器應用幾乎在裸奔,每個鏡像和容器都有各種各樣的漏洞,平臺本身也不少問題,真是不測不知道,一測嚇一跳 。 容器本身就是弱安全的,容易帶來越權逃逸等問題,同時容器應用研發人員對容器技術又缺乏了解,缺乏相應的安全意識和安全知識,這就帶來了比較嚴重的潛在的安全問題。
容器安全問題涉及內容很多,比如說鏡像安全、容器運行時安全(入侵偵測監控、入侵攔截和隔離)、容器平臺本身的安全、容器網路安全、微隔離等,任何一項內容做好都不容易 ,而且可能涉及多個部門和團隊,需要協作,所以我們也在討論容器安全應該由安全團隊來負責還是容器雲平台團隊來負責,在安全左移的趨勢下,是否應該更多關注pre- runtime安全性等等。 安全問題無所不在,有很多的事項迫在眉睫。
一、 容器安全的核心在哪?
最近的測試讓我一直在思考容器安全的核心到底該在哪裡。 是鏡像安全? 還是容器運作時安全? 還是主機安全? 網路安全? 雖然都在鼓吹安全左移,但我覺得容器運行時安全依然是核心,要能及時的檢測到安全威脅並自動實現入侵攔截,網絡微隔離或者網絡阻斷可能是最後的手段了。 不過為了減少安全漏洞,降低安全威脅程度,前期的安全準備及安全措施也是至關重要,例如鏡像安全掃描和修補程式修復,平台和網路本身的安全能力等等,都是密切相關。 任何環節都有漏洞,都可能帶來嚴重的問題。
二、 安全左移
安全左移目的就是要提前採取措施修復潛在的漏洞,盡可能在後期的運作過程中增強抗攻擊能力。 對於容器雲端平台來說,基礎鏡像的維護就非常重要。 雖然目前說可以很方便的從網路上下載各種各樣的鏡像文件,但許多鏡像文件都存在這樣那樣的眾多漏洞,如果不加區分的部署在自己的容器雲環境,勢必會帶來很多潛在 的問題。 所以這就需要在容器雲平台提供企業業務應用開發所需的基礎鏡像,例如jdk、tomcat、nginx、mysql、kafka、nodejs、CentOs等等,這些鏡像需要容器團隊來維護並及時的更新,在發現 新的漏洞之後先更新基礎鏡像,然後在適當時間適當的方式用新鏡像更新存量運行時的容器。
基礎鏡像的安全維護可能是一個不小的工作量。 但是這是一個值得做的事情。 許多容器雲廠商也提供像製品庫、應用程式商店一樣的功能來管理鏡像,但缺乏對鏡像的深度維護和安全措施。 這些鏡像往往存在著許多漏洞,在公司內部網路可能還好,一旦運作在網路環境,就面臨極大的威脅。 依照安全左移的思想,最好的方法就是所有部署的鏡像都是安全的鏡像,在部署前解決掉安全問題。 在測試中我們震驚於一個鏡像竟然存在數百個高風險漏洞,如果讓業務應用團隊去修復,基本上是不可能的。 所有的業務應用鏡像最好來自於平台所提供的安全的基礎鏡像。 這樣,至少統一的安全的基礎鏡像會減少安全漏洞,也減少業務團隊自行下載、產生鏡像所帶來的安全隱患。
三、 Pre-Runtime鏡像掃描
提供安全的基礎鏡像應該是容器雲端平台的基本職責之一。 不過業務團隊也需要載入業務應用程式及對應的工具庫等到基礎鏡像,然後產生業務鏡像。 這就可能引入新的安全威脅。 在鏡像部署之前或在鏡像進入鏡像倉庫之前需要進行必要的安全掃描,以偵測鏡像檔案可能存在的漏洞和問題,在部署之前修復鏡像存在的漏洞。
我們在建造容器雲端平台時,“以鏡像倉庫為媒介”,隔離開發和部署,我們不向終端用戶提供Docker和Kubernetes CLI命令,所有的操作都透過平台UI完成。 也就是說要部署鏡像,需上傳鏡像到鏡像倉庫,上傳鏡像倉庫裡的鏡像可以自動被安全掃描。 如果存在高風險漏洞,則可以透過設定的規則禁止部署。
我們測試的容器安全廠商提供Jenkins外掛程式來實現高風險漏洞鏡像阻斷部署,用於CD持續部署流程。 由於思路的不同,實作方式有差別。 不過我個人覺得可以再安全左移一點,把部署阻斷放在鏡像倉庫。 高風險漏洞的鏡像禁止出鏡像倉庫或甚至禁止進鏡像倉庫,在upload時實現鏡像的安全掃描和高危險阻斷。
四、 運行時安全偵測與監控… Continue reading
SD-WAN 如何解決多雲複雜性
思科联天下 作者:JL Valente Vice President, Product Management, Enterprise Routing and SD-WAN
《2023 年全球網路趨勢報告》系列部落格文章(二)
在支援分散式員工方面,雲端是毋庸置疑的重點。 但是,在規模不斷擴大的多雲環境中管理安全連線卻變得日益複雜、耗時且費用高昂。
軟體定義廣域網路 (SD-WAN) 應運而生。 這種強大的抽象軟體層可以用作集中控制平面,讓組織得以實現從任何應用到任何雲端的網路傳輸自動化、簡化和最佳化。
您是否已經準備好基於集中策略、網路洞察和預測性 AI 按需引導流量並透過端到端可視性進一步增強流量引導能力? 在管理此流量和運行網路時,您想變得被動為主動嗎? 如果是的話,請繼續往下看!
消除多雲複雜性
在疫情期間,為了支援在家中和途中辦公的分散式員工,企業加快了轉型為雲端和軟體即服務 (SaaS) 的步伐。 這使得多雲環境成為常態。 我們的《2023 年全球網路趨勢報告》發現,92% 的受訪者在基礎設施中使用多個公有雲,69% 的受訪者使用的 SaaS 應用程式超過五個。
在多雲環境中連接到不同的供應商和網路層導致基礎設施和管理控制器零星分散。 因此,如果組織希望確保提供安全、一致的使用者體驗,則會面臨更高的複雜性和成本。
網路複雜性貫穿從第一英里到最後一英里的全程
下面,讓我們研究一下這些網路層,看看為什麼 IT 簡化對於當今移動性極強的員工存取業務關鍵型應用至關重要。
在第一英里,使用者使用各種設備,或從靠近資料中心的辦公室和園區存取服務,或從不受受控設施遠端存取服務(圖 1)。 員工透過多協議標籤交換 (MPLS)、寬頻、Wi-Fi 和蜂窩網路建立連線。 遠端員工透過網際網路業者 (ISP) 連接到位於地區性入網點 (PoP) 的集中器。
圖 1… Continue reading
網路資訊安全設計及防護策略總結
原创 twt社区
【摘要】隨著網路+科技的快速發展,網路DDOS攻擊、勒索病毒、SQL注入、暴力破解、資料洩密等等網路安全事件經常發生,網路資訊安全面臨嚴重的挑戰,為保障客戶的資訊資產安全 ,保障客戶業務系統安全穩定運行,實現“高效預防、高效檢測,快速處理”,本文對網絡信息安全規劃及防護策略進行梳理、總結,希望對大家在實際工作起到借鑒與參考作用。
【作者】陳勇,從事IT產業10多年的老兵,熟悉各類系統,曾分別獲得IBM CATE、HP CSA、SUN SCSA、VMware VCP、HUAWEI HCNP等多項專業認證。
網路資訊安全的運作與防護不僅關係到整個資料中心業務系統穩定運行,同時,由於網路系統的多樣性、複雜性、開放性、終端分佈的不均勻性,致使網路極易遭到駭客、惡性軟體 或非法授權的入侵與攻擊。
鑑於資料資訊的嚴肅性和敏感性,為了保障和加強系統安全,防止偶然因素和惡意原因破壞、更改、洩密,保障工作正常持續進行,同時,提高系統應對威脅和抵禦攻擊的對抗能力和恢復能力 ,需要建置安全保障系統,滿足資訊安全等級保護的要求。 使系統具有抵禦和防範大規模、較強惡意攻擊、較為嚴重的自然災害、電腦病毒和惡意程式碼危害的能力;具有檢測、發現、警報、記錄入侵行為的能力;具有對安全事件進行回應處置, 並且能追蹤安全責任的能力;在系統遭到損害後具有能夠較快恢復正常運作狀態的能力,對於服務保障性要求高的系統,應能快速恢復正常運作狀態;具有對系統資源、使用者、安全 機制等進行集中控管的能力。
1.網路資訊安全範圍
網路資訊安全範圍主要包括:網路結構、網路邊界以及網路設備本身安全等,具體的控制點包括:結構安全、存取控制、安全稽核、邊界完整性檢查、入侵防範、惡意程式碼防範、網路設備防護等 ,透過網路安全的防護,為使用者資訊系統運作提供一個安全的環境。
1.1、結構安全
結構安全範圍包括:
1) 應確保主要網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需求;
2) 應確保網路各部分的頻寬滿足業務高峰期需求;
3) 應在業務終端與業務伺服器之間進行路由控制,建立安全的存取路徑;
4) 應依各業務系統類型、重要性及所涉及資訊的重要程度等因素,劃分不同的子網或網段,並依方便管理及控制的原則為各子網、網段分配位址段;
5) 應避免將重要網段部署在網路邊界處且直接連接外部資訊系統,重要網段與其他網段之間採取可靠的技術隔離手段;
6) 應依照對業務服務的重要次序來指定頻寬分配優先級別,並保證在網路發生擁堵的時候優先保護重要主機。
1.2、門禁控制
存取控制範圍包括:
1)、應在網路邊界部署存取控制設備,啟用存取控制功能;
2)、應能根據會話狀態資訊為資料流提供明確的允許/拒絕存取的能力,控製粒度為連接埠級;
3)、 應對進出網路的資訊內容進行過濾,實現對應用層 HTTP、FTP、TELNET、SMTP、POP3等協定命令級的控制;
4)、 應在會話處於非活躍一定時間或會話結束後終止網路連線;
5)、 應限製網路最大流量數及網路連線數;
6)、 重要網段應採取技術手段防止地址欺騙;
7)、… Continue reading
報告|借助理想的 SASE 架構實現網路與安全的融合
報告|借助理想的 SASE 架構實現網路與安全的融合
思科聯天下
作者:Omri Guelfand
Cisco VP, Product Management
《2023 年全球網路趨勢報告》系列部落格文章(一)
IT 理念正經歷一場重大轉變。
這種轉變是從相互獨立的網路和安全運維孤島、工具和管理控制面板,轉變為基於以雲端為中心的運維模式融合策略、技術、工具和維運工作流程。
在這場轉變過程中,安全存取服務邊緣 (SASE) 成為安全多雲存取的首選融合架構。 我們的《2023 年全球網路趨勢報告》發現,在 2577 名來自世界各地的受訪者中,47% 的受訪者計劃在 2025 年前採用 SASE 模式連接分行和遠端客戶端。
然而,並非所有 SASE 都一般無二。 SASE 主要以服務的形式提供,可以作為一組模組化或分散化的元件進行部署,以單獨的軟體定義廣域網路(SD-WAN)、新一代防火牆(NGFW) 和其他安全解決方案構成基於雲端的安全 服務邊緣(SSE)。 或者,SASE 也可以作為統一的預先整合軟體即服務(SaaS) 提供,讓管理員能夠透過高度簡化和統一的方式來實現SASE 環境,並管理員工對應用程式的端到端安全多雲訪問,擺脫員工辦公 位置帶來的限制。
為什麼說網路與安全融合是一種致勝策略? 如何在分散化、模組化和統一 SASE 解決方案之間做出抉擇? 下文給了答案。
目前狀況的由來
長久以來,為了應對各種網路威脅,組織已經增添了許多單點安全產品。 隨著雲端技術的採用不斷增加並因此使敏捷性和彈性得到保證,組織開始將更多應用程式從傳統資料中心遷移到私有雲、公有雲和 SaaS,導致環境高度分散。 除此之外,現今分散式混合辦公員工使得傳統的邊界不復存在,在這種超分散式 IT 環境中,受攻擊面急劇擴大。 顯然,基於邊界的傳統解決方案已不敷使用。
此外,根據《2023 年全球網路趨勢報告》的數據,51% 的受訪者認為技能差距是所在組織在使用雲端原生技術時面臨的主要挑戰。 根據 Gartner 的數據,到 2025 年,這種人才短缺加上人為錯誤,可能是造成半數以上重大網路安全事件的原因。… Continue reading
Huawei Certified ICT Professional – 5G- RNP&RNO
培養與認證能對5G網路原理與訊號流程深入理解、對5G網路規劃原則與網路特性深入理解、對5G網路特性部署與系統化調優、對無線網路效能最佳化與複雜問題分析處理、對 5G產業專網指標需求分析,旨在建構5G無線網路規劃優化專業人才技能標準的5G無線網規網優高階工程師
通過認證驗證的能力
獨立完成華為5G無線網路的規劃與小區參數設計,對網優相關特性進行評估與應用、管理無線網路效能,完成效能問題的分析與最佳化
建議掌握的知識
5G空中介面原理、5G協定與訊號分析、5G無線網路規劃、5G無線網路特性應用、5G無線網路效能管理與最佳化、5G 無線網路最佳化、5G 產業應用與解決方案
物件導向
準備參加華為認證5G無線網規網優高階工程師認證的人員、希望掌握5G深入原理及網路詳細規劃與效能最佳化的人員
認證前提
掌握2G/3G/4G之一的行動通訊網路基礎、了解5G的基本概念及華為5G基地台產品、能夠完成5G網路的基本操作與業務測試
考試科目
考試代碼:H35-581 HCIP-5G-RNP&RNO
認證考試目前版本:V2.0, 推薦您學習新版本
版本說明:HCIP-5G-RNP&RNO V1.0 認證考試將於2022年9月10日正式下線。
考試大綱
考試內容
HCIP-5G-RNP&RNO V2.0 5G無線網路深入原理,5G無線網路特性應用,5G無線網路最佳化,5G 產業應用與解決方案。
知識點
1.5G 無線網路深入原理30%
2.5G 無線網路規劃10%
3.5G 無線網路特性應用35%
4.5G 無線網路優化20%
5.5G 產業應用與解決方案5%… Continue reading
學習 Python® – 世界上發展最快的程式語言
Python 是一種比其他語言打開更多大門的程式語言,您對 Python 的了解越多,您在 21 世紀能做的事情就越多。憑藉紮實的 Python 知識,您可以從事多種工作和多種行業。
軟體工程師、軟體開發人員、機器學習工程師、AI工程師、DevOps工程師、全端開發人員、資料科學家、專案經理、系統管理員、安全工程師、測試人員…涉及Python的工作多種多樣且有趣。而且有很多。
你每天所做的選擇塑造了你的現實並決定了你是誰,但你改變生活的決定決定了你成為誰。在 OpenEDG,我們相信教育和認證的價值,以及改變生活的決定的力量。
遵循 OpenEDG Python Institute 專業發展計劃之一,學習、認證您的技能,以啟動您作為開發人員的職業生涯,並實現最終目標 – 找到您夢想的工作。
完成課程並接受教育,使您具備在所選職業中取得成功所需的技能和知識。通過考試並獲得行業認證,您將擁有獲得所需工作的正確工具。正確的行業認可的認證會打開正確的大門,讓您能夠充分利用在另一邊找到的所有機會。
為什麼要學Python?
Python Institute 課程的特點是價格實惠、友善且對學生開放。它們都從絕對的基礎開始,一步步指導您解決複雜的問題,使您成為一個有能力、負責任的軟體創建者,能夠在 IT 行業的許多職位上承擔不同的挑戰。話雖如此,你應該學習 Python 至少有五個充分的理由:
擁有就業保障:我們生活在科技時代,科技進步永不停息,人們每天都使用大量Python驅動的設備,無論他們是否意識到。在這個世界上,對程式設計師的需求非常高,而且沒有任何跡象表明這種情況會很快改變(如果有的話)。
賺取體面的薪水:免費、開源且易於學習,Python 現在在網路領域佔據主導地位,其程式設計師的薪水反映了這一點。憑藉在物聯網和人工智慧等領域的強大立足點,Python 開發人員現在是科技業收入最高的程式設計師之一。
任何時候,全球都有超過 100,000 個 Python 職缺,而目前合格的 Python 程式設計師的供應無法滿足需求。隨著人們對網路的依賴不斷增加,以及 Python 發揮的作用越來越大,Python 程式設計師的平均薪資幾乎肯定會上漲。
遠距工作:大多數程式設計工作都在北美和西歐,但即使您無法到達這些地方,無論您現在身在何處,您都可以確信您的 Python 技能非常受歡迎,並且您將為他們支付費用。
根據《經濟學人》的一項分析,2011 年,在名為「誰在招募」的貼文中分析的職位中,只有 13% 提到了遠距工作的可能性。十年後,在 2021 年,這一數字超過 75%,而新冠病毒大流行加速了這一變化。由於程式設計只需要一台能夠存取網路的計算機,因此越來越多的員工有機會在舒適的家中遠端工作。
不需要 CS/IT 學位:程式設計師通常需要電腦科學、IT 或相關領域(例如數學或工程)的學士學位,但越來越多的程式設計工作,尤其是與更具體的工業領域相關的工作,不再要求將此作為先決條件。相反,公司和招聘人員對你的程式設計技能和專案組合、你在特定領域的專業知識以及任何可以幫助你找到工作的行業認可的證書更感興趣。… Continue reading
300-420 ENSLD Designing Cisco Enterprise Networks
300-420 ENSLD
Designing Cisco Enterprise Networks
Duration: 90 minutes
Languages: English and Japanese
Price: $300 USD
考試概述
該考試測試您的企業設計知識,包括:
先進的尋址和路由解決方案
先進的企業園區網絡
廣域網路
安全服務
網路服務
SDA
300-420 ENSLD v1.1 考試主題
考試說明
設計思科企業網路 v1.1 (ENSLD 300-420) 是與 CCNP 企業認證相關的 90 分鐘考試。該考試旨在證明考生的企業設計知識,包括高級尋址和路由解決方案、高級企業園區網路、WAN、安全服務、網路服務和 SDA。設計思科企業網路課程可協助考生準備此項考試。
以下主題是考試中可能包含的內容的一般準則。但是,其他相關主題也可能出現在任何特定的考試中。為了更好地反映考試內容並為了清晰起見,以下指南可能隨時更改,恕不另行通知。
1.0 高階尋址和路由解決方案
1.1 建立 IPv4 和 IPv6 的結構化尋址計劃
1.2 為IS-IS創建穩定、安全、可擴展的路由設計
1.3 為 EIGRP 創建穩定、安全且可擴展的路由設計
1.4 為 OSPF 創建穩定、安全且可擴展的路由設計
1.5 為 BGP 建立穩定、安全且可擴充的路由設計
1.5.a 地址族
1.5.b… Continue reading
揭開 IT 的未來:VMware 認證專家 – VMware Cloud Foundation 部署 2024
施米雪
2023 年 11 月 2 日
資訊科技的格局不斷發展,因此隨時了解最新的創新解決方案對於推進您的職業生涯至關重要。VMware 認證專家 – VMware Cloud Foundation 部署 2024 是協助實現此目標的最新認證之一!
此認證展示了個人使用 VMware Cloud Foundation 部署私有雲和混合雲環境的能力。它還顯示了他們安裝、配置和管理環境的能力。此外,該認證還驗證了個人在利用 VMware Cloud Foundation 排除故障和最佳化 VMware 解決方案方面的專業知識。與 VMware Cloud Foundation 合作的任何人都將從該認證中受益,該認證證明了他們的專業知識和知識。
在本部落格中,我們將深入探討這項新認證、考試詳細信息,以及為什麼 VMware Cloud Foundation 是私有雲、混合雲和現代應用程式的交鑰匙平台。本部落格的目標是為您提供成功獲得此認證所需的一切資訊。
VMware Cloud Foundation 的重要性
VMware Cloud Foundation™ 是現代 IT 環境的關鍵多雲平台。它專為資料中心現代化和當代應用程式部署而設計,是企業敏捷性、可靠性和效率的體現。無論目標是運行傳統應用程式還是容器化應用程序,VMware Cloud Foundation 都能提供跨私有雲、混合雲和公有雲的無縫體驗。
VMware Cloud Foundation 讓組織能夠有效率地管理虛擬機器 (VM) 和容器。本地超融合基礎架構 (HCI) 部署可以受益於雲端功能。Forrester 進行的總體 經濟影響 (TEI) 研究 確定 VMware Cloud Foundation… Continue reading
EXAM 3V0-22.21N:Advanced Deploy VMware vSphere 7.x
考試 3V0-22.21N
進階部署 VMware vSphere 7.x
此考試測試您實施 vSphere 7.x 解決方案的技能和能力,包括部署、管理、最佳化和故障排除。
產品:vSphere 7.x
相關認證: VCAP-DCV 部署 2023
考試 3V0-22.21N:進階部署 VMware vSphere 7.x
語言:英語
問題數量:17 號
格式:基於實驗室
期間:205 分鐘
及格分數:300(縮放)
通過分數- VMware 考試的評分範圍為 100-500,確定的原始分數縮放至 300。您的考試除了評分問題外還可能包含不評分問題,這是標準測試實踐。您不會知道哪些問題不計分,您的考試結果將僅反映您在計分問題上的表現。
價錢:450 美元
考试指南
考試詳情(最後更新:2020 年 11 月 16 日)
進階部署 VMware vSphere® 7.x (3V0-22.21N) 考試可通往 VMware 認證高階專業人員 –
Data Center Virtualization 2023 (VCAP-DCV Deploy 2023) 認證是一項包含 17 項的實驗室考試,及格分數為
300… Continue reading
訊號網由哪幾個部分組成?各部分的功能是什麼?
訊號網由訊號點、訊號轉接點和訊號連結組成。 訊號點是訊息的節點,訊號轉接點是轉發節點,訊號連結是速度點。
訊號點是訊號網路中產生和接收訊號訊息的節點,它的功能是將產生的訊號訊息傳送到通往所屬目的地的一條訊號鏈路,或將從一條訊號鏈路接收 的訊號訊息傳送至本訊號點的相應使用者。
訊號轉接點是具有將訊號訊息從一條訊號連結到另一個訊號連結功能的訊號節點。 訊號方式的訊號轉接點主要由訊息傳遞部分構成,但作為STP的訊號點還可包含比MTP更多的功能,如訊號連接控制部分和電話使用者部分等功能,這種STP 稱為綜合型STP。 如果訊號轉接點只具有MTP或MTP+SCCP功能,稱為專用獨立型STP。
訊號鏈路由訊號資料鏈路和資料鏈路控制功能組成,用來可靠地傳送訊號訊息。 信令鏈路分為類比和數位兩種。 訊號方式類比訊號連結採用4.8kbit/s的速率,數位訊號連結採用64kbit/s的速率。
各個訊號連結的介紹
1、第一級訊號資料鏈路
訊號資料鏈路是一條雙向的訊號傳輸路徑。 由兩個工作方向相反和資料速率相同的資料通道組成。 圖1示出了信令資料鏈路的框圖。 圖中的介面是由信令終端提供介面的終端設備所組成。 傳輸通道可能是數位的也可能是類比的。
2、第二級訊號鏈路功能
訊號連結功能的主要任務是將訊號訊息送到訊號資料連結的相關功能和過程。 它保證兩個信令點之間訊息的可靠傳遞。 第二級功能是將上一層來的訊號訊息轉換成不同長度的訊號單元,然後傳送至訊號連結。 訊號單元除包括訊號訊息之外,還包括使訊號鏈路正常運作的控制資訊。… Continue reading