CloudNativeSecurityCon 2023：三大关键领域

作者：Chris Aniszczyk

如果说过去几年教会了我们什么，那就是安全性在云原生和开源环境中的重要性。Log4j 等漏洞的后果，甚至影响到了美国联邦政府，包括关于改善网络安全的行政命令，以及随后的《保护开源软件法案》和OpenSSF 开源软件动员计划[1]。

组织不再质疑是否要迁移到云，而是在寻找最快、最有效的迁移方式。在这些过渡和升级过程中，安全常常被忽视。由于这一点以及开源软件使用的兴起，我们可能会在 2023 年看到另一个大的开源安全问题，这只是时间问题。现在是作为一个社区，走到一起，以确保我们做好准备的好时机，所以请于 2 月 1 日至 2 日在华盛顿州西雅图参加2023 年北美 CloudNativeSecurityCon[2]。

以下是 2023 年及以后的一些重要主题，以及一些 CloudNativeSecurityCon 会议，你可以从中了解更多信息。

eBPF

eBPF 允许组织编写在内核中运行的定制代码。通过使 Linux 内核可编程，eBPF 在网络、可观察性和安全性等领域引入了新一代的云原生工具。许多 CNCF 项目，包括 Cillium、Falco 和 Pixie，旨在将 eBPF 的优势引入云原生，而其他项目，如 Istio，正在重新设计以包括 eBPF 工具。eBPF 可以从几个方面提高云原生安全性。例如，Cillium 可以帮助提供对容器工作负载的更多可见性，而 Falco 提供了一个行为活动监视器，旨在检测容器运行时的异常活动。

eBPF 主题的 CloudNativeSecurityCon 会议：

• Verifiable GitHub Actions with eBPF – Jose Donizetti & Itay Shakury, Aqua Security
• Finding the Needles in a Haystack: Identifying Suspicious Behaviors with eBPF – Jeremy Cowan & Wasiq Muhammad, Amazon Web Services
• Securing the Superpowers: Who Loaded That EBPF Program? – John Fastabend & Natalia Reka Ivanko, Isovalent

SBOM（Software Bill of Materials，软件材料清单）

SBOM 的概念相对简单——它提供了一个软件中的组件列表，长期以来一直作为供应链管理的一部分用于传统制造业。在实践中，它提供了很多好处，包括对依赖关系的安全警告，对工件来源和软件供应链的更完整的视图。

SBOM 在云原生变得越来越常见，部分原因是最近的白宫行政命令，它们将继续成为软件供应链安全的重要组成部分。Kubernetes 已经采用了 SBOM，并将它们作为构建和发布的一部分。大多数 CNCF 项目很快也会这样做。

SBOM 主题的 CloudNativeSecurityCon 会议：

• An Inner Look Into What SBOMs Really Tell Us – Adolfo García Veytia, Chainguard
• SBOMs, VEX, and Kubernetes – Kiran Kamity, Deepfactor; Jonathan Meadows, Citi; Dr Allan Friedman, Cybersecurity and Infrastructure Security Agency; Andrew Martin, Control Plane; Rose Judge, VMware
• Leveraging SBOMS to Automate Packaging, Transfer, and Reporting of Dependencies Between Secure Environments – Ian Dunbar-Hall & Jerod Heck, Lockheed Martin

安全教育和培训

我们的 2022 年云原生安全微调查[3]发现，组织在运行云原生环境时，面临的最大安全挑战是：缺乏技术专业知识，以及难以将 DevOps 和 CI/CD 等新方法和流程，与现有要求、工具和流程相匹配。

在 CNCF，我们已经采取措施来解决这些差距，包括通过第三方安全审计和模糊测试，以及教育和培训，包括CKS[4]（Certified Kubernetes Security Specialist）认证和Kubernetes 安全知识精要课程[5]使我们的项目本质上更加安全。2023 年，你可以期待更多。

人们显然需要更加精通安全实践——还有比 CloudNativeSecurityCon 更好的地方吗？该活动将包括 101 课程、关于教育和团队合作的讲座，以及实践教程。

关于教育、培训和团队合作主题的 CloudNativeSecurityCon 会议和教程：

• Cloud Native Security Landscape: Myths, Dragons, and Real Talk – Edd Wilder-James & Loris Degioanni, Sysdig; Kim Lewandowski, Chainguard; Isaac Hepworth, Google; Randall Degges, Snyk
• More Than Just a Pretty Penny! Why You Need Cybersecurity in Your Culture – Callan Andreacchi & Michaela Flatau, Defense Unicorns
• Tutorial: How to Build a K8s Admission Controller from Scratch! – Stephen Giguere, Bridgecrew; Jessica Cregg, LaunchDarkly; Matt Johnson, Prisma Cloud by PANW

欲了解完整的 CloudNativeSecurityCon 2023 日程安排，请访问时间表[6]。

立即注册[7]北美 CloudNativeSecurityCon。无法亲自参加的人可以注册参加免费的主题演讲直播[8]，该活动将于太平洋标准时间 2 月 1 日和 2 日上午 8:55-10:30 举行。

参考资料

[1]

OpenSSF 开源软件动员计划: https://openssf.org/oss-security-mobilization-plan/

[2]

2023 年北美 CloudNativeSecurityCon: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/

[3]

云原生安全微调查: https://www.cncf.io/wp-content/uploads/2021/10/Cloud-Native-Security-Microsurvey-rev.pdf

[4]

CKS: https://www.cncf.io/blog/2020/07/15/certified-kubernetes-security-specialist-cks-coming-in-november/

[5]

Kubernetes 安全知识精要课程: https://www.cncf.io/blog/2021/01/08/kubernetes-security-essentials-course-now-available/

[6]

时间表: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/schedule/

[7]

立即注册: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/register/

[8]

注册参加免费的主题演讲直播: https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/program/livestream/