中国移动磐舟DevSecOps 平台云原生安全实践 刘斌 中国移动信息技术中心 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试 • 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 1，00000000000 系统 国家 稳定 发展 健康 财富 安全 创新 安全的重要性 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps安全能力建设框架 安全开发 • • • 安全测试 • • • 安全管控 • • • 安全运营 • •

©2019 VMware, Inc. 21 安全團隊的角色十分重要! 更應該從一開始設計時就加入 企業所有團隊的思維都需要從DevOps進化為DevSecOps ​方法論: DevOps  DevSecOps ​DevSecOps的指導原則: • 團隊/社群而非個人 (Team/Community, not a person) • (自動化與自主性安全 (Automated 的安全強化即使不敢稱完美，但確實也是相當值得參考的範本  您的開源 Kubernetes 環境當然可以按照優秀範本做 – 當然我們建議是讓 VMware 幫您做  最困難的部分是 3個P，最理想的境界是DevSecOps，這個實在沒有辦法單靠產品了... Key Take-Aways 總結 ©2019 VMware, Inc. 23 ©2019 VMware, Inc. Thank You!

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边 缘计算盒子 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等）

number of options. “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps capability we needed. It allows us to do updates with different deployment strategies and operate quick to emphasize that, “K3s has been a foundational piece—giving us the automated cloud to edge DevSecOps ca- pability we needed. It allows us to do up- dates with different deployment strategies and operate streamlined container images in multiple flavors. Why? In designing the architecture and the DevSecOps pipeline estate, having a variety of container images would sup- port multiple specific architectures

VMware 数据解决方案 - 产品概述 © 在数据如此分散的情况下，企业如何能加速增长和扩大规模？ 分布的数据 客户 分布式工作团队 分布式应用 分布式的 “云”计算基础设施 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Infrastructure Transformation Transformation • 通过在现代基础设 施的安全组件，增 强平台的安全弹性 来帮助客户维持业 务连续性 Data Transformation 企业如何定位未来架构 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Application Transformation

化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色 部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架

Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管

的全方位云原生安全产品；Trend Micro 在容器 防护、API 安全等领域推出了 Cloud One、Deep Security 等产品； Fortinet 推出整套云原生保护策略，包含云原生安全态势管理、 DevSecOps、云原生防火墙等。初创安全厂商 Lacework 凭借其在云 原生应用保护、容器安全等领域的云原生安全产品，已获得近 20 亿 美元风险投资。此外，在素有“全球网络风向标”之称的 RSAC