中国联通研究院 中国联通网络安全研究院 下一代互联网宽带业务应用国家工程研究中心 2023 年 11 月 版权声明 本报告版权属于中国联合网络通信有限公司研究院，并受法 律保护。转载、摘编或利用其他方式使用本报告文字或者观点的， 应注明“来源：中国联通研究院”。违反上述声明者，本院将追 究其相关法律责任。 云原生安全威胁分析与能力建设白皮书 1 目 录 一、云原生安全概述... .40 图 14 k8s 权限提升攻击路径................................................................... 41 图 15 利用 CVE-2018-1002105 窃取高权限凭证...............................42 图 16 未授权访问结果........................... 浦明、张小勇、白黎明、左伟震、范璟玮、许秀莉 云原生安全威胁分析与能力建设白皮书 9 一、云原生安全概述 近年来，云计算技术一直处于高速发展的过程中，并且随着公有云和私有云 的广泛应用，利用云计算作为承载业务运行的基础设施，已经成为了企业的首选。 “十四五”时期，中国的信息化进入加快数字发展、建设数字中国的新阶段，在 数字化转型的浪潮中，云计算作为新型数字基础设施和新一代信息技术的核心引

。我们还提到有望提高性能的 ReAct 提示 工程，以及利用大语言模型驱动的自主代理开发远超简单的问答交互的动态应用。我们也提到一些向量数据库 （包括 Pinecone）由于大语言模型而重新流行起来。大语言模型的底层能力，包括更专业化和自行托管的能力， 将继续呈爆发性增长。 远程交付解决方案日臻成熟 尽管远程软件开发团队多年来利用技术克服地理限制，但疫情的影响进一步推动了这一领域的创新，巩固了向 巩固了向 完全远程或混合工作演进的趋势。在本期技术雷达中，我们讨论了远程软件开发实践和工具的成熟，和团队们 如何继续以有效协作为重点，不断突破界限，在一个更加分散和动态的环境中进行工作。一些团队利用新的协 作工具不断提出创新解决方案。其他团队则继续调整和改进现有的面对面实践，例如实时结对编程或集体编程、 分布式工作坊（例如 远程事件风暴）以及异步和同步沟通。远程工作提供了许多好处（包括更多样化的人才储 攻击路径分析是一种分析和评估潜在攻击路径的安全分析方式，黑客可能按照这些来自组织内系统网络的潜在 攻击路径进行攻击。此前的多数安全分析策略或工具主要聚焦在特定分线领域，例如错误的配置，脆弱的容器， 和常见漏洞上。这些孤立的方法意味着团队们不能看到这些风险与技术栈上其他层的弱点组合产生的危险攻击 路径。尽管这一技术已提出一段时间，但是近期安全分析工具的进展能使安全团队更易使用这项技术。Orca 和 Wiz

Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 自研代码 容器环境镜像风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管 SBOM 在提供对云原生应用可见性方面 发挥着基础性作用，但只有三分之一的组织遵循 SBOM 最佳实践。 SBOM的应用现状 云原生基于“责任自负”的开源世界 云原生开源应用漏洞 OpenSCA扫描结果 链攻击，比2021年增长三倍”——Gartner 云原生时代下的软件供应链攻击 软件供应链安全事件频发，“核弹级”第三方组件漏洞的影响面和危害大 2020 年12月，美国企业和政府网络突遭“太阳风 暴”攻击。黑客利用太阳风公司（SolarWinds） 的网管软件漏洞，攻陷了多个美国联邦机构及财富 500 强企业网络。2020 年 12 月 13 日，美国政府 确认国务院、五角大楼、国土安全部、商务部、财

Hat OpenShift Service Mesh 版本 版本 2.2.3 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.1.1. Red Hat OpenShift Service Hat OpenShift Service Mesh 版本 版本 2.2.2 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.2.1. Red Hat OpenShift Service Hat OpenShift Service Mesh 版本 版本 2.2.1 的新功能 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题(CVE)、程序错误修正， 并受 OpenShift Container Platform 4.9 和更高版本的支持。 1.2.2.3.1. Red Hat OpenShift Service

仍然占用了大约 2.6 GB 的磁盘空间。除非 Microsoft 更改虚拟化体系结 构，消除对 Windows 的依赖，否则其虚拟化产品仍然会很大，很容易受到 Windows 补丁程序、更新 和安全漏洞的困扰。所有基于 Xen 的专用产品（如 Citrix、Oracle、Red Hat、Novell 和 Virtual Iron） 也都面临着类似的问题，因为它们依赖于通用 Linux 操作系统作为其虚拟化体系结构的核心部分。 因是 1) VMware ESX 直接驱动程序模型和 2) 更为有效的内存管理。 5 直接驱动程序体系结构的优势 在 VMware ESX 中，VMware ESX 直接驱动程序模型利用了经过认证和加强的 I/O 驱动程 序。这些驱动程序必须首先通过 VMware 和硬件供应商联合进行的严格测试和优化步骤，然 后才能被认证为可以与 VMware ESX 结合使用。将这些驱动程序包含在虚拟化管理程序中 功能完全集成。 • 获得对虚拟机资源的精确可见性，能够监视系统执行的每个方面。 • 在先前无法检测到的病毒、Rootkit 和恶意软件感染虚拟化系统之前将其阻止。 • 在虚拟环境中，可利用物理环境中不具备的安全功能，比在物理环境中更好地保护资产。 而我们的竞争对手目前尚不提供任何同类功能。 业界对 VMware 的认可 VMware 产品的可靠性和公司的整体领导地位正逐渐受到媒体和分析家的广泛认可。

从政策法规、安全技术、安全理念、安全生态、安全思维等维度为产业互联网的安全建设提供前瞻性的参考和指引，助力夯实产业互联网的安全底座。 《趋势》认为，2021年将进一步完善个人信息保护体系，企业对个人信息利用规范化，数字安全合规管理将成为企业的必备能力。与此同时，企业还 应将安全作为“一把手工程”，在部署数字化转型的同时，推进安全前置。 前沿的数字化技术也让产业安全有了更多内涵。5G、AI、隐私计算等技 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等） 进行静态扫描，尽可能前置，在IDE编写代码或者提交代码时进行，将极 大优化整体效率和成本 可以无视环境随时可以进行，覆盖漏洞类型全面， 可以精确定位到代码段 路径爆炸问题，并一定与实际相符合，误报率较 高。 DAST(动态安全应用 程序安全测试) 黑盒测试，通过模拟业务流量发起请求，进行模糊测试，比如故障注入 或者混沌测试 务报警进而干扰测试，同时由于污点跟踪测试模 式，IAST可以像SAST一样精准的发现问题点 SCA（软件成分分析） 有大量的重复组件或者三方库的依赖，导致安全漏洞被传递或者扩散， SCA就是解决此类问题的办法，通过自动化分析组件版本并与漏洞库相 比较，快速发现问题组件，借助积累的供应链资产，可以在快速定位的 同时，推动业务快速修复。 安全左移的一种，在上线前发现依赖组件的安全 问题，快速借助供应链资产库，帮助业务修复问

決方案，雖然處理了 Kubernetes生命週期的初期階段，也就是第0天和第1天，但真正的挑戰要到第2 天才開始。 就第2天作業而言，Canonical Kubernetes及OpenShift都利用運算子提供完整的 生命週期自動化。不過OpenShift運算子大多設計為隔離作業，而Canonical Kubernetes運算子則可共同組合，提供高度複雜的應用程式及服務。Canonical • SUSERancher支援GlusterFS、NFS、vSphere及Longhorn 12. 監控及作業管理 能夠由單一中央位置監控Kubernetes部署狀態，是非常寶貴的功能。企業可利用各 種有效的監控解決方案，輕鬆追蹤資源使用率、應用程式效能及瓶頸，藉此主動管理 及最佳化Kubernetes叢集。 這三種Kubernetes發行版本開箱後都能立即提供強大的監控及作業管理功能。 時，哪一 種 Kubernetes 可輕鬆在各種不同平台部署及連接，應視為關鍵的考量因素。 Canonical Kubernetes利用Juju協助企業導覽多雲佈建、安裝及設定的複雜度。 Juju Charmed Operators(以下簡稱「Charm」)利用模型導向作業(Model- Driven Operations)的概念，協助部署及管理Kubernetes，涵蓋各種不同的雲端供 應商及

重防护。 云原生虚拟化开发集群 利用虚拟化技术实现开发集群，分钟级交 付，突破有限资源开发集群供给。 原生使用模式，开发组件一键部署 云原生CI持续集成 使用Dockerfile进行云原生方式的CI构建， 拓展形成ARM、x86双架构流水线，底层 安全漏洞统一修复 全面云原生安全 支持代码安全扫描、镜像安全扫描、开源 协议扫描、依赖漏洞扫描。并可给出修复 建议。支持开源风险持续治理。 安全需求分析通过将安全策略左移至软件开发生命周期的初始阶段，着重在需求设计环节确定关键安全要求，旨在降低风险暴露 并增强产品安全质量。安全团队针对企业内部的业务流程和场景展开威胁建模与风险识别，同时依据实际生产漏洞的运营情况完 善威胁建模知识库，持续优化和维护内部安全需求知识库以适应不断变化的安全挑战。 ①需求分析阶段，分析业务需求，选择相应的安全需求 分类，并添加至安全需求清单列表 ②根据安全需求清单选择安全设计要求，整理为安全设 供应链各个环节的攻击急剧上升，已然成为企业主要的安全威胁。 缺点 低误报率 高检出率 集成灵活 只能检测已知 漏洞 优点 可见 100%资产覆盖 可治 90%效率提升 可防 100%流程覆盖 ü 建立资产台账 ü 分类分级标记 ü 关联责任人 ü 关联内外网业务 ü 漏洞及投毒检测 ü 自主可控率分析 ü 许可证合规分析 ü 自动化修复技术 ü 安全可信私有源 ü 供应链准入审查

1.4.1. Red Hat OpenShift distributed tracing 2.5 的新功能和增强 此 Red Hat OpenShift 分布式追踪发行版本解决了 CVE 报告的安全漏洞问题以及程序错误。 OpenShift Container Platform 4.6 分布式追踪 分布式追踪 4 此发行版本为 Red Hat OpenShift distributed tracing 4.2. Red Hat OpenShift distributed tracing 2.4 的新功能和功能增强 此 Red Hat OpenShift 分布式追踪发行版本解决了 CVE 报告的安全漏洞问题以及程序错误。 此发行版本还添加了对使用 Red Hat Elasticsearch Operator 自动置备证书的支持。 自助置备，这意味着在安装过程中使用 Red Hat OpenShift 3. Red Hat OpenShift distributed tracing 2.3.1 的新功能和功能增强 此 Red Hat OpenShift 分布式追踪发行版本解决了 CVE 报告的安全漏洞问题以及程序错误。 第 第 1 章 章 分布式追踪 分布式追踪发 发行注 行注记 记 5 1.4.3.1. Red Hat OpenShift distributed tracing 版本 版本