CloudNativeSecurityCon 2023:三大关键领域
CloudNativeSecurityCon 2023:三大关键领域
作者:Chris Aniszczyk
如果说过去几年教会了我们什么,那就是安全性在云原生和开源环境中的重要性。Log4j 等漏洞的后果,甚至影响到了美国联邦政府,包括关于改善网络安全的行政命令,以及随后的《保护开源软件法案》和OpenSSF 开源软件动员计划[1]。
组织不再质疑是否要迁移到云,而是在寻找最快、最有效的迁移方式。在这些过渡和升级过程中,安全常常被忽视。由于这一点以及开源软件使用的兴起,我们可能会在 2023 年看到另一个大的开源安全问题,这只是时间问题。现在是作为一个社区,走到一起,以确保我们做好准备的好时机,所以请于 2 月 1 日至 2 日在华盛顿州西雅图参加2023 年北美 CloudNativeSecurityCon[2]。
以下是 2023 年及以后的一些重要主题,以及一些 CloudNativeSecurityCon 会议,你可以从中了解更多信息。
eBPF
eBPF 允许组织编写在内核中运行的定制代码。通过使 Linux 内核可编程,eBPF 在网络、可观察性和安全性等领域引入了新一代的云原生工具。许多 CNCF 项目,包括 Cillium、Falco 和 Pixie,旨在将 eBPF 的优势引入云原生,而其他项目,如 Istio,正在重新设计以包括 eBPF 工具。eBPF 可以从几个方面提高云原生安全性。例如,Cillium 可以帮助提供对容器工作负载的更多可见性,而 Falco 提供了一个行为活动监视器,旨在检测容器运行时的异常活动。
eBPF 主题的 CloudNativeSecurityCon 会议:
- Verifiable GitHub Actions with eBPF – Jose Donizetti & Itay Shakury, Aqua Security
- Finding the Needles in a Haystack: Identifying Suspicious Behaviors with eBPF – Jeremy Cowan & Wasiq Muhammad, Amazon Web Services
- Securing the Superpowers: Who Loaded That EBPF Program? – John Fastabend & Natalia Reka Ivanko, Isovalent
SBOM(Software Bill of Materials,软件材料清单)
SBOM 的概念相对简单——它提供了一个软件中的组件列表,长期以来一直作为供应链管理的一部分用于传统制造业。在实践中,它提供了很多好处,包括对依赖关系的安全警告,对工件来源和软件供应链的更完整的视图。
SBOM 在云原生变得越来越常见,部分原因是最近的白宫行政命令,它们将继续成为软件供应链安全的重要组成部分。Kubernetes 已经采用了 SBOM,并将它们作为构建和发布的一部分。大多数 CNCF 项目很快也会这样做。
SBOM 主题的 CloudNativeSecurityCon 会议:
- An Inner Look Into What SBOMs Really Tell Us – Adolfo García Veytia, Chainguard
- SBOMs, VEX, and Kubernetes – Kiran Kamity, Deepfactor; Jonathan Meadows, Citi; Dr Allan Friedman, Cybersecurity and Infrastructure Security Agency; Andrew Martin, Control Plane; Rose Judge, VMware
- Leveraging SBOMS to Automate Packaging, Transfer, and Reporting of Dependencies Between Secure Environments – Ian Dunbar-Hall & Jerod Heck, Lockheed Martin
安全教育和培训
我们的 2022 年云原生安全微调查[3]发现,组织在运行云原生环境时,面临的最大安全挑战是:缺乏技术专业知识,以及难以将 DevOps 和 CI/CD 等新方法和流程,与现有要求、工具和流程相匹配。
在 CNCF,我们已经采取措施来解决这些差距,包括通过第三方安全审计和模糊测试,以及教育和培训,包括CKS[4](Certified Kubernetes Security Specialist)认证和Kubernetes 安全知识精要课程[5]使我们的项目本质上更加安全。2023 年,你可以期待更多。
人们显然需要更加精通安全实践——还有比 CloudNativeSecurityCon 更好的地方吗?该活动将包括 101 课程、关于教育和团队合作的讲座,以及实践教程。
关于教育、培训和团队合作主题的 CloudNativeSecurityCon 会议和教程:
- Cloud Native Security Landscape: Myths, Dragons, and Real Talk – Edd Wilder-James & Loris Degioanni, Sysdig; Kim Lewandowski, Chainguard; Isaac Hepworth, Google; Randall Degges, Snyk
- More Than Just a Pretty Penny! Why You Need Cybersecurity in Your Culture – Callan Andreacchi & Michaela Flatau, Defense Unicorns
- Tutorial: How to Build a K8s Admission Controller from Scratch! – Stephen Giguere, Bridgecrew; Jessica Cregg, LaunchDarkly; Matt Johnson, Prisma Cloud by PANW
欲了解完整的 CloudNativeSecurityCon 2023 日程安排,请访问时间表[6]。
立即注册[7]北美 CloudNativeSecurityCon。无法亲自参加的人可以注册参加免费的主题演讲直播[8],该活动将于太平洋标准时间 2 月 1 日和 2 日上午 8:55-10:30 举行。
参考资料
[1]
OpenSSF 开源软件动员计划: https://openssf.org/oss-security-mobilization-plan/
[2]
2023 年北美 CloudNativeSecurityCon: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/
[3]
云原生安全微调查: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf
[4]
CKS: https://www.cncf.io/blog/2020/07/15/certified-kubernetes-security-specialist-cks-coming-in-november/
[5]
Kubernetes 安全知识精要课程: https://www.cncf.io/blog/2021/01/08/kubernetes-security-essentials-course-now-available/
[6]
时间表: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/schedule/
[7]
立即注册: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/register/
[8]
注册参加免费的主题演讲直播: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/livestream/