[go: up one dir, main page]
Skip to content

Commit

Permalink
Update cloud-native-security-whitepaper-simplified-chinese.md (cncf#740)
Browse files Browse the repository at this point in the history 
* Update cloud-native-security-whitepaper-simplified-chinese.md

 I have retranslated some words try to read more fluently.

* What: adding markdown & cSpell ignores

* What:ignore/disable correction

Co-authored-by: Emily Fox <33327273+TheFoxAtWork@users.noreply.github.com>
Co-authored-by: Emily Fox <themoxiefoxatwork@gmail.com>
Co-authored-by: Brandon Lum <lumjjb@gmail.com>
  • Loading branch information
@Alex-null @TheFoxAtWork @lumjjb
4 people authored Sep 15, 2021
1 parent 603c680 commit c88bf7c
Showing 1 changed file with 9 additions and 6 deletions.
15 changes: 9 additions & 6 deletions security-whitepaper/cloud-native-security-whitepaper-simplified-chinese.md
View file
Original file line number Diff line number Diff line change
@@ -1,3 +1,5 @@
<!-- markdownlint-disable MD013 MD012 MD019 MD024 MD025 MD036 -->

# **云原生安全白皮书中文版**

参考文献:[CNCF Security Whitepaper v1.1](https://github.com/cncf/tag-security/blob/017e77ff380e303d80adb78e60a1f262e80df0e8/security-whitepaper/cloud-native-security-whitepaper.md)
Expand Down Expand Up @@ -132,7 +134,7 @@ _图二_

开发阶段的安全强化是应用程序部署中的关键组成部分。这意味着必须在软件开发的早期就引入安全要求,并以与其他任何要求相同的方式对待安全要求。这些要求通常基于围绕风险和合规性的业务需求。在早期阶段解决这些需求可防止在生命周期后期重做工作,这会减慢 DevOps 流程并增加总体成本(5)。 DevOps 团队还必须利用专门构建的工具在部署这些应用程序之前识别安全性错误配置和漏洞。同样重要的是,这些工具可以无缝集成到 DevOps 团队利用的现有和熟悉的工具中,以补充敏捷性而不妨碍安全性。例如,工具需要在开发人员 IDE 内或发出“拉取请求”时,以代码模板以及应用程序清单的形式执行基础结构的扫描,并提供丰富,上下文相关的安全信息,这些信息可以在早期,快速,轻松地实施。开发管道。采用这些步骤可确保不存在已知漏洞或高风险配置。云原生组件应由 API 驱动,以允许复杂的调试工具与依赖编排器的已部署原始工作负载进行交互。

团队应部署专用的开发,测试和生产环境,以便为基础结构和应用程序开发人员提供隔离的环境,以开发,测试和部署系统和应用程序,容器基础镜像,虚拟机模板镜像以及非功能性测试。一些组织可能会发现利用金丝雀部署,蓝绿色或红黑色部署以及其他部署模型可以提高动态和交互式测试的可行性,并提高可行性。
团队应部署专用的开发,测试和生产环境,以便为基础结构和应用程序开发人员提供隔离的环境,以开发,测试和部署系统和应用程序,容器基础镜像,虚拟机模板镜像以及非功能性测试。一些组织可能会发现利用金丝雀部署,蓝绿或红黑部署以及其他部署模型可以提高动态和交互式测试的可行性,并提高可行性。

#### 测试开发

Expand Down Expand Up @@ -208,7 +210,7 @@ IaC 越来越受欢迎,在企业中的部署迅速增加,以部署云和容

- 应用程序清单中指定的镜像中包含的漏洞。

- 配置设置,比如可以升级权限的容器
- 配置设置,比如可以提权的容器

- 识别可能危及系统的安全上下文和系统调用;

Expand Down Expand Up @@ -370,7 +372,7 @@ _图四_

无服务器函数很容易受到各种攻击,因此需要进行适当的保护。进程必须只执行允许列表中明确定义的函数。此外,不应允许函数对关键的文件系统挂载点进行修改。

这些函数必须被限制只能访问被认可的服务,这种限制可以通过网络限制或权限模型中的最低权限来实现。此外,出口网络连接必须由管理员监控,以检测甚至阻止其访问 C&C(命令和控制)服务器和其他恶意域名。还需要监控入口网络连接,以检测和移除那些可用于数据泄露的恶意载荷和命令。例如,可以通过网络监控来检测 SQL 注入攻击。
这些函数必须被限制只能访问被认可的服务,这种限制可以通过网络限制或权限模型中的最低权限来实现。此外,出口网络连接必须由管理员监控,以检测甚至阻止其访问 C&C(命令和控制)服务器和其他恶意域名。还需要监控入口网络连接,以检测和移除那些可用于数据泄露的恶意payload和命令。例如,可以通过网络监控来检测 SQL 注入攻击。

无服务器函数中存在一些安全威胁,但可供租户使用的控制措施是有限的。这些问题包括有缺陷的身份验证机制和与依赖服务之间不安全的 API 集成等。有一些措施有助于解决这类问题,如确保所有无服务器函数在基于租户的资源隔离环境中和相似的数据类型上运行。然而,由于隔离环境中可用的地址空间有限,这些措施会对性能造成影响。

Expand Down Expand Up @@ -559,7 +561,7 @@ _图四_

对于任意一个适用于组织关注领域的保护区,应使用多种工具相组合。策略驱动型工具可实施基于规则的策略,无论是手动编写还是通过推荐系统编写。一旦投入应用,这些策略驱动的工具将提供可预测的结果,并可在监测模式或执行模式下应用。

威胁和漏洞反馈使安全工具能够拦截来自未知或已知威胁的异常行为和安全事件。这些信息源通常会定期、频繁进行更新。使用这些反馈能够提供一个防御层,驱动工具以补充策略,并且可以实施到覆盖大多数保护区域的工具中。团队应在反馈中寻找已知的 C&C(指令与控制)服务器、加密域、恶意软件文件校验等网络威胁情报,从而协助更新策略工具。
威胁和漏洞反馈使安全工具能够拦截来自未知或已知威胁的异常行为和安全事件。这些信息源通常会定期、频繁进行更新。使用这些反馈能够提供一个防御层,驱动工具以补充策略,并且可以实施到覆盖大多数保护区域的工具中。团队应在反馈中寻找已知的 C&C(指令与控制)服务器、矿池域名、恶意软件文件校验等网络威胁情报,从而协助更新策略工具。

现有的工具可以提供机制来管理假阳性和假阴性问题产生的噪声,处理已知的威胁,并使用策略驱动的防护栏来规范操作。但是基于机器学习(ML)的安全工具给我们提供了一个对已知和未知威胁的检测层,能够超出可预测工具建立的预测边界。例如,基于行为分析身份授权日志,以检测内部人员威胁和违规行为,或自适应分析协调器审计日志,以检测漏洞尝试或服务账户盗窃。对主机系统调用模式进行机器学习驱动分析,可用于检测容器逃逸或主机利用企图。

Expand Down Expand Up @@ -704,14 +706,15 @@ https://www.cisecurity.org/benchmark/Kubernetes/

[威胁建模。12 种可用方法](https://insights.sei.cmu.edu/sei_blog/2018/12/threat-modeling-12-available-methods.html)

https://owasp.org/www-community/Application_Threat_Modeling
https://owasp.org/www-community/Threat_Modeling

[NIST 应用安全容器指南](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf)[互联网安全中心 (CIS)](https://www.cisecurity.org/)[NIST 微服务安全策略](https://csrc.nist.gov/publications/detail/sp/800-204/final)[OpenSCAP](https://www.open-scap.org/) 基准存在于 [Docker](https://www.cisecurity.org/benchmark/docker/)[Kubernetes](https://www.cisecurity.org/benchmark/kubernetes/) 和几个托管 Kubernetes 发行版。

[Kubernetes 的 MITRE ATT&CK 矩阵](https://www.darkreading.com/threat-intelligence/microsofts-kubernetes-threat-matrix-heres-whats-missing/a/d-id/1339106)

# **鸣谢**

<!-- cSpell:disable -->
本白皮书是由 CNCF Security-TAG 成员推动的社区工作。感谢大家的杰出贡献。特别感谢 Emily Fox 和 Jeyappragash JJ。

原版撰稿人:
Expand Down Expand Up @@ -781,7 +784,7 @@ https://owasp.org/www-community/Application_Threat_Modeling
- [@gtb-togerther](https://github.com/gtb-togerther)
- [@dwctua](https://github.com/dwctua)


<!-- cSpell:enable -->

# 注释

Expand Down

0 comments on commit c88bf7c

Please sign in to comment.