阿里云云原生开源开发者沙龙 -零信任策略下K8s安全监控最佳实践

阿里云技术专家2024/04/13CONTENT01云原生安全架构体系概述目录02典型的K8s安全监控场景03安全数据监控最佳实践01云原生安全架构体系概述业务数字化背景下企业T变化趋势体验是关键竞争力1%的延迟增加，带来7%的用户流失运维依赖的数据1%的延迟增加，带来7%的用户流失运维依赖的数据分布式复杂性分布式复杂性K8s的架构和组件相对复杂，包括多个层次和模块K8s环境产生大量日志数据，需集中分析并审计集群变更，预防安全风险访问控制运行时安全网络安全运行时防护运行时监控可信软件供应链静态数据加密镜像扫描镜像安全运行时安全网络安全运行时防护运行时监控可信软件供应链静态数据加密镜像扫描镜像安全〔-〕阿里云〔-〕阿里云●访问所有资源必须认证、授●细粒度访问控制，最小化授权●持续监控，自适应、动态策略，运行时防护安全合规，基于角色的认证、访问控制，审计，RAM安全合规，基于角色的认证、访问控制，审计，RAM联合认证和细粒度授权公有云专有云安全场景-K8s运行时监控Logs/Metrics三TCP/IPTCP/IPApplicationApplication〔-〕阿里云安全场景-K8s运行时监控Networking7可观测性ProcessProcessexecve()eBPFsyscallexitScheduler安全场景-K8s运行时防护用户空间规则引擎eBPFAPIserver:K8s集群资源变更、查询的入APIserver:K8s集群资源变更、查询的入审计日志：·记录集群所有安全相关的时序操作记录。·追溯集群状态变更；了解集群运行状况；发现集群潜在安全、性能风险等。〔-〕阿里云安全场景-K8s集群审计监控查看审计查看审计日志报表集群管理员设置告警自定义分析集成报表存储检索分析大盘LogtailK8SApiServer审计事件事件采集组件9Kubernetes审计中心概览时间选择C刷新②重置Ω告警订阅另存为分享3√三编辑▽Namespace(可选)请输入√了请输入√▽状态码(可选)请输入√帮助文档事件总数1周(相对):非法访问次数1周(相对):13次创建事件数1周(相对)删除事件数1周(相对):APIServer重定向次数1w:0次子账号操作分布1周(相对)删除事件分布1周(相对)2.02%-■deployments总计：11484995.99%4000002000001周(相对)0.00%-0.00%-59923~~^333464.100.00%024-03-311924-04-022124-04-042324-04-0701安全场景-K8sEventNPD加持·将节点的异常转换为Node的事件。podsaneletnodepodsaneletnodeEventEventEmit/DashboardaplWatchEventsDetector)SinkEventsConditionSinkEventsWarning:event三SLSDingtalkService2ServiceService2AppAppNginxNginxIngressService4ServiceService4AppApp数据采集层安全监控场景：配曹监控：版本管理、变更记录、配置信息:安全监控：安全漏洞、入侵事件·从核心组件到上层应用容器·从核心组件到上层应用容器·容器动态迁移、伸缩·容器运行时：从Docker到〔-〕阿里云K8s安全监控场景特点数据规模大数据种类多数据规模大数据种类多CloudSIEM主机/容器运行时安全安全可观测CloudSIEM主机/容器运行时安全安全可观测大模型安全UEBA网络安全安全数据模型安全事件处理与分析安全规则安全事件管理关联分析独享计算LogStoreMetricStore冷热分离安全数据采集数据加工消费投递MetricTraceEvent加工清洗数据聚合数据投递·内置规则监控。数据采集消费投递典型云原生安全监控平台K8s预聚合指标配置安全操作审计配置安全规则应用定时规则应用AIOps巡检iLogtail规则引擎iLogtail网络监控安全数据模型运行时告警网络监控安全数据模型运行时风险分析数据拓扑·K8s支持·容器过滤·上下文关联·K8s支持·容器过滤·上下文关联·数据处理·灵活编排·多租户隔离。机器组管理,更原生友好的K8s支持〔-〕阿里云安全数据采集器iLogtail定位为可观测数据的采集器，构建统一的业务输入输入云计算产品集成Supervisor输出telegrafinfluxdbOpenTelemetryWindowsACK告警selectselectts_predicate_arma(time,value,5,1,1,1,1,true)from安全数据分析SQL=Search+SQL92+PromQL+ExtendedFunctions·多数据源(关键词查询、PromQL、机器学习函数、外部DB)融50+算子扩展50+算子扩展关键词查询PromQLselect*fromlogwherename='up'andmachinelike'et2*'selectpromql_query('up')frommetricsselectpromql_query_range('up',1m')frommetricsselectsum(value)from(selectpromql_query('up')frommetrics)((select(time/1000)astime,valuefrom(selectpromql_query_range('1-avg(irate(node_cpu_seconds_total{instance=~".*",mode="idle"}[10m]))','10m')astfrommetrics)orderbytimeasc)limit10000LogStoreMetricStoreML模型CMDB短信短信邮件〔-〕阿里云安全监控告警机制告警通知告警管理告警通知开放告警开放告警路由抑制链路中心了过滤了过滤语音语音钉钉认证额度映