Kubernetes安全求生指南 ©2019 VMware, Inc. 2  您的Kubernetes環境夠安全嗎?  Kubernetes安全最佳實務  VMware Enterprise PKS平台如何實踐K8s與容器的安全強化  最困難的部分其實是....  總結 本日議程 3 ©2019 VMware, Inc. 您的Kubernetes環境夠安全嗎? ©2019 VMware, Inc. 4 ​整個Kubernetes運作環境是相當不安全的....  原生Kubernetes在安全設計上就有許多改善空間  公版Kubernetes許多預設值是不適當的  關於網路層級的安全實際上還有許多地方並未涵蓋  設計上並不特別考慮企業多團隊/多應用的分工與隔離  有非常多層次例如: 容器/映像/作業系統/基礎架構也須涵蓋 您知道所謂 “安全”的“標準”是什麼?  這些“標準”涵蓋範圍夠嗎? 足夠讓我們安心推上生產嗎?  我們具體該怎麼做來強化安全?  我們怎麼知道我們做強化安全以後有滿足這個標準...還是這些標準?  我們該如何確保安全性在未來開發/維運一直維持達標?  我們如何用最低的負荷與最快的速度完成上述任務? 隨便Google就可找到好幾卡車的Kubernetes安全最佳實務/指南

Page 1 of 18 Apache RocketMQ on Amazon Web Services 部署手册 顾明 版本：v1.0.0 最后更新时间: 2021 年 01 月 Copyright (c) 2021 by Amazon.com, Inc. or its affiliates. Page ................................................................ 13 如何使用浏览器查看 APACHE ROCKETMQ 的 WEB CONSOLE ................................................................ 14 如何登录 APACHE ROCKETMQ RocketMQ 是一款 java 语言开发的开源的、分布式的消息投递与流数据平台。 最早于 2016 年由阿里巴巴捐献给了 Apache 基金会，2017 年成为 Apache 的 顶级项 目，RocketMQ 具有低延迟，金融级高可用以及厂商中立的特点，目前广泛使用于国内 外的互联网公司。针对 AMAZON WEB SERVICES 客户需要在 AMAZON WEB SERVICES 上 使用 RocketMQ

Li Ma 云原生企业级安全的最佳实践 Cloud Native Security Cluster Security • Securing the cluster components that are configurable • Securing the applications which run in the cluster AKS Security Network Security Store CSI Driver Log & Monitor Log & Monitor Azure Policy Secure Center Li Ma Microsoft 云原生企业级安全的最佳实践

以SBOM 为基础的 云原生应用安全治理 董毅@悬镜安全 一瓶“牛奶”——你会喝吗？ 安全的保障——成分清单和监管机构 • 成分清单用于实现可见性（透明度） • 监管机构保障成分清单的可信度 软件物料清单 • 软件物料清单（SBOM, Software Bill Of Material）是代码库中所有开放源代码和第三方组件的清单。 • SBOM能够列出管理这些组件的许可证，代码库中使用的组件的版本及其补丁程序状态。 使用的组件的版本及其补丁程序状态。 云原生应用安全风险面 第三方组件 开源组件 应用安全 风险面 Web通用漏洞 SQL注入、命令执行、XXE、XSS等OWASP TOP10 业务逻辑漏洞 水平/垂直越权、短信轰炸、批量注册、验 证码绕过等 合规需求、安全配置 未能满足安全合规、未建立安全基线、敏 感数据泄漏 开源组件/闭源组件 CNNVD、CNVD、CVE等 开源许可风险 软件漏洞、恶意程序、敏感信息泄漏、不安全配 置、仓库漏洞、不可信镜像 容器环境 开 发 模 式 ： 瀑 布 > 敏 捷 > D e v O p s 应 用 架 构 ： 大 型 系 统 > S O A > 微 服 务 代 码 实 现 ： 闭 源 > 开 源 > 混 源 服 务 器 ： 物 理 机 > 虚 拟 化 > 容 器 化 聚焦到应用系 统风险源头 API安全性 失效的用户认证、安全性、错误配置、注入等

Hadoop开发指南 开发指南 注解：本例中所运⾏脚本需在CentOS操作系统上，其他操作系统请修改脚本后再尝试执⾏。 1. 在 在UHost上安装 上安装Hadoop客户端 客户端 出于安全性考虑，⼀般建议⽤⼾在⾮UHadoop集群机器上安装客⼾端进⾏任务提交与相关操作 1.1 控制台安装 控制台安装 可通过控制台⼀键安装，参考：客⼾端安装。 1.2 ⾃⾏安装 ⾃⾏安装 针对部分存 利⽤安装脚本部署 在任⼀master节点下的都有 /root/install\_uhadoop\_client.sh，⽤⼾可以利⽤此脚本进⾏客⼾端的安装部署 也可以通过外⽹下载最新版本安装脚本 Hadoop开发指南 Copyright © 2012-2021 UCloud 优刻得 1/12 wget http://new-uhadoop.cn-bj.ufileos.com/install_uhadoop_client_new 安装hadoop客⼾端，从集群master1节点上拷⻉安装包到UHost： 注解: hadoop-为hadoop具体对应的版本，可查看master的/home/hadoop/bin的软连接指向的版本，下同 Hadoop开发指南 Copyright © 2012-2021 UCloud 优刻得 2/12 #hadoop scp -r root@master_ip:/home/hadoop/.versions/hadoop-

Service Mesh 在蚂蚁金服生产级安全实践 彭泽文 蚂蚁金服高级开发工程师 2019.8.11 Service Mesh Meetup #6 广州站基于 Secret Discovery Service Sidecar 的证书管理方案 使用可信身份服务构建敏感数据下发通道 Service Mesh Sidecar 的 TLS 生产级落地实践 分享内容基于 Secret Discovery Volume 形式挂载。 存在以下三个问题：  Secret 管理方式与现有密钥管理系统有冲突，需要密钥管理系统强依赖 Kubernetes  Secret 以明文形式挂载在容器的文件系统中，存在安全隐患  Secret 更新时，Sidecar 需要通过热重启方式重新加载，成本高昂基于 Secret Discovery Service Sidecar 的证书管理方案 Envoy SDS 证书管理流程 进行密钥管理和分发，Sidecar 通过 gRPC 请求获取证书，并利用 gRPC stream 能力实现证书动态轮转。 当然，Sidecar 和 SDS Server 的通信也需要保证自身的通信安全，存在以下两种方案：  Sidecar 与 SDS Server 采用 mTLS 通信，采用静态证书方案，通过 Secret Mount 方式获取通信证书  Sidecar 与 SDS Server

张之晗 Tetrate ⼯程师/Istio 社区 Release Manager 服务⽹格安全—— 理解 Istio CNI Istio Meetup China About me Istio 1.10 Release Manager, Istio Community, 2021-Present GetMesh(GetIstio) core contributor, Istio Community

Mesh 在服务网络间提供了实现关键功能的统一方式： 流量管理 流量管理 - 控制服务间的流量和 API 调用，提高调用的可靠性，并使网络在条件不好的情况保持 稳定。 服 服务标识 务标识和安全性 和安全性 - 在网格中提供可验证身份的服务，并提供保护服务流量的能力，以便可以通 过信任度不同的网络进行传输。 策略 策略强 强制 制 - 对服务间的交互应用机构策略，确保实施访问策略，并在用户间分配资源。通过配置 1.0.0 1.3.4. Red Hat OpenShift Service Mesh 1.1.2 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了一个安全漏洞问题。 1.3.5. Red Hat OpenShift Service Mesh 1.1.1 的新功能 此 Red Hat OpenShift Service Mesh 发行版本增加了对断开连接的安装的支持。 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.3.8. Red Hat OpenShift Service Mesh 1.0.9 的新功能 此 Red Hat OpenShift Service Mesh 发行版本解决了 CVE 报告的安全漏洞问题。 1.3.9. Red Hat OpenShift Service Mesh 1

Container Platform 4.2 Web 控制台 在OpenShift Container Platform 4.2中使用Web控制台 Last Updated: 2020-08-21 OpenShift Container Platform 4.2 Web 控制台 在OpenShift Container Platform 4.2中使用Web控制台 法律通告 法律通告 Copyright are the property of their respective owners. 摘要 摘要 本文档提供了有关使用和定制 OpenShift Container Platform 4.2 Web 控制台的信息。 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 目 目录 录 第 第 1 章 章 访问 访问WEB控制台 控制台 1.1. 了解和访问WEB控制台 第 第 2 章 章 使用 使用 OPENSHIFT CONTAINER PLATFORM DASHBOARD 获 获取集群信息 取集群信息 2.1. 关于 OPENSHIFT

数字签名在云原生应用安全中的实践 小马哥 Agenda 1 2 3 何为数字签名，数字签名为何？ 为何要对容器镜像进行签名 使用 cosign 对容器镜像进行签名验证 4 Demo show 小美，等我 小美， 不要等我 一段唯美爱情的悲伤结局！ 截获 篡改 防止数据被篡改，保证数据的 完整性、机密性，从而提高安 全性！ app app app 云原生时代：容器是核心，镜像是灵魂