● 55 entries
云安全
- 安全飞地由硬件隔离并具备完整性保护的处理器或 SoC 区域,用于运行敏感代码并存放密钥,使其不受主操作系统访问。
- 安全即代码将安全控制、测试和基础设施以源代码形式表达,实现版本化、同行评审、自动化,并与应用一起持续交付的实践。
- 策略即代码将安全、合规与治理规则用机器可读的代码进行定义,从而可版本化、可测试、可评审并自动执行的实践。
- 服务网格安全服务网格为云原生环境中服务间流量提供的身份、加密与授权控制集合。
- 服务账户令牌(Service Account Token)挂载在 Kubernetes Pod 中的 JWT 凭据,用于让工作负载向 API Server 以及信任集群身份提供方的其他服务进行认证。
- 工作负载身份为服务、容器或函数分配的加密身份,使其无需长期共享密钥即可对其他系统进行身份认证。
- 共享责任模型一种云安全框架,将安全职责划分为云服务商负责的“云本身的安全”与客户负责的“云中工作负载的安全”。
- 函数即服务 (FaaS)一种无服务器云模型,事件触发短生命周期函数按需运行,服务器、伸缩与运行时由服务商负责。
- 机密计算通过将工作负载运行在基于硬件的可信执行环境中,在数据被处理时对其加以保护,使其与宿主机和云运维人员相互隔离。
- 基础设施即服务(IaaS)一种云服务模型,云厂商提供虚拟化的计算、存储和网络,客户负责其上的操作系统、中间件和应用。
- 可信执行环境 (TEE)处理器中一种安全、隔离的执行环境,代码和数据在其中获得机密性与完整性保护,主机操作系统和虚拟化层也无法访问。
- 客户独管密钥 (HYOK)一种密钥管理模式,加密密钥始终保留在客户自己的 HSM 或密钥库中,云服务商必须回调到该系统才能使用密钥。
- 平台即服务(PaaS)一种云服务模型,云厂商管理运行时、中间件、操作系统与基础设施,客户专注于应用代码与数据。
- 容器安全保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。
- 容器逃逸一种突破容器与宿主机隔离边界的攻击,使攻击者在底层节点或内核上执行代码。
- 软件即服务 (SaaS)一种云交付模式,供应商托管并运营应用程序,客户通过互联网以订阅方式使用。
- 无服务器安全针对 AWS Lambda、Azure Functions、Google Cloud Functions 等基于事件和函数的无服务器工作负载的安全实践,其中底层服务器由云厂商管理。
- 云安全用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
- 云端令牌窃取从云身份服务窃取 OAuth、SAML 或签名令牌,并重放以冒充用户或服务,无需密码。
- 云端数据外泄未经授权将数据从云账户复制或传输出去,通常通过对象存储 API、快照、跨账户复制或攻击者控制的账户实现。
- 云端挖矿劫持未经授权使用受害者的云计算资源挖掘加密货币,使受害者承担高额账单,而攻击者获得收益。
- 云加密对在云服务中存储、处理或传输的数据进行加密,使只有持有正确密钥的授权方才能读取。
- 云密钥泄露长期有效的云访问密钥意外暴露在公开仓库、容器镜像、日志或客户端代码中,通常在几分钟内被滥用。
- 云配置错误由云服务的不当或不安全设置造成的安全漏洞,例如对象存储暴露、IAM 策略薄弱或管理端口对外开放等。
- 云元数据 SSRF一种服务端请求伪造攻击,通过有漏洞的应用让虚拟机查询云厂商的实例元数据服务,窃取临时凭据。
- 自带密钥 (BYOK)一种密钥管理模式,客户在本地生成或导入自己的加密密钥到云服务商的 KMS 中,而不是使用云服务商生成的密钥。
- 租户隔离在共享的云或 SaaS 平台中,确保一个客户的数据、身份与工作负载不能被另一个客户访问或干扰的一整套控制措施。
- AWS IMDSv1 攻击通过向旧版 IMDSv1 端点发送未认证的 GET 请求(通常借助 SSRF)窃取 EC2 实例角色凭据。
- CASB(云访问安全代理)位于用户与云/SaaS 应用之间的策略执行点,用于实现可视化、数据保护和威胁防护。
- CIEM(云基础设施权限管理)一种用于发现、分析并精简云环境中身份与权限的安全实践及工具类别。
- Cilium基于 eBPF 的容器网络接口(CNI),以内核级性能为 Kubernetes 工作负载提供网络、可观测性与安全能力。
- CNAPP(云原生应用保护平台)一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
- CSPM 发现项云安全态势管理(CSPM)工具在云资源违反安全基线、策略或合规规则时生成的告警。
- CSPM(云安全姿态管理)一类持续将云账户与最佳实践和合规基线进行比对,以发现并修复配置错误的工具。
- CWPP(云工作负载保护平台)一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
- gVisorgVisor 是 Google 开源的应用层内核,在用户态拦截容器的系统调用,从而显著缩小暴露给不可信工作负载的宿主内核攻击面。
- IAM 配置错误(云)云端身份与访问管理的不安全或过度授权设置,使用户、角色或服务获得超出实际需要的权限。
- IAM 权限提升利用现有的云 IAM 权限获取更高权限,常见手段包括修改策略、传递角色或为自身授予管理员权限。
- Istio 安全Istio 服务网格的安全特性集合:基于 SPIFFE 的工作负载身份、自动双向 TLS,以及用于细粒度访问控制的 AuthorizationPolicy 和 RequestAuthentication。
- Kata ContainersKata Containers 是一个开源运行时,通过为每个容器或 Kubernetes Pod 启动一个轻量虚拟机来提供硬件级隔离。
- kube-benchAqua Security 推出的开源工具,可自动按照 CIS Kubernetes Benchmark 检查 Kubernetes 集群的配置。
- Kubernetes 安全对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
- Kubernetes 集群攻击针对 Kubernetes(K8s)集群的入侵,利用暴露的 API、薄弱的 RBAC 或脆弱的工作负载来控制控制平面或工作节点。
- Kubernetes 准入控制器准入控制器是 Kubernetes API server 的插件,在请求被持久化前进行拦截,按照策略对对象进行校验、变更或拒绝。
- Kubernetes NetworkPolicyKubernetes NetworkPolicy 是按命名空间作用的资源,通过 IP、端口与协议控制哪些 Pod 可以与哪些 Pod 或外部端点通信。
- Kubescape由 ARMO 开发的开源 Kubernetes 安全平台,用于扫描集群、清单和镜像中的错误配置、漏洞与策略偏移。
- KyvernoKyverno 是 CNCF 的 Kubernetes 策略引擎,使用原生 YAML(而非新 DSL)编写策略,实现资源的校验、变更与生成。
- OPA GatekeeperOPA Gatekeeper 是 CNCF 的策略控制器,基于 Open Policy Agent 与 Rego 语言,在 Kubernetes 上执行准入与审计策略。
- OPA(开放策略代理)CNCF 毕业的通用策略引擎,使用 Rego 语言将授权决策与应用以及 Kubernetes 准入控制解耦。
- Pod 安全标准(PSS)Pod 安全标准(PSS)是 Kubernetes 定义的 Privileged、Baseline、Restricted 三种安全档位,用以规范 Pod 配置并替代已弃用的 PodSecurityPolicy。
- S3 存储桶配置错误Amazon S3 存储桶(或同类对象存储)上的配置错误,导致对象被公开、出现非预期写入或授予过宽的跨账户访问。
- SPIFFE为软件工作负载分配可加密验证、可移植身份的开放标准,使用基于 URI 的 SPIFFE ID 和短期的 X.509 或 JWT SVID。
- SPIRE 运行时SPIFFE 的官方开源参考实现:由服务器与代理组成,可对工作负载进行证明并签发短期 X.509 或 JWT SVID。
- SSPM(SaaS 安全姿态管理)一类持续监控 SaaS 应用配置、身份和集成的工具,用于发现配置错误和高风险行为。
- TetragonCilium 项目下基于 eBPF 的 Kubernetes 运行时安全工具,可同步观测并强制约束进程、文件和网络行为。