安全+认证+政策@KubeCon+CloudNativeCon 2018中国

Posted 2021-04-24 CNCF

KubeCon+CloudNativeCon 2018中国论坛震撼来袭，邀您共享云原生盛宴

 

2018年11月13-15日，由云原生计算基金会 （CNCF） 主办的全球顶级的Kubernetes官方技术论坛KubeCon+CloudNativeCon 2018中国将在上海跨国采购会展中心隆重举行。KubeCon+CloudNativeCon作为CNCF的旗舰论坛，此次是其在中国的首秀，将携当今最迫切的云原生话题邀您共享！

本论坛关于安全+认证+政策的精彩日程现已出炉，看看你关注的议题和大咖！

NOVEMBER 14 • WEDNESDAY
13:55 – 14:30 305 B	在容器内运行潜在恶意代码的三年经验教训——Ben Hall，Katacoda  Speakers: Ben Hall 在过去的三年中，Katacoda 一直在为云原生技术提供在线学习和培训环境。可通过浏览器访问 Docker、Kubernetes 和其他云原生技术的实时环境。 副作用是用户可以并且拥有、执行恶意代码，并试图从容器内部侵入系统。 在本次演讲中，Ben 将分享过去三年中构建 Katacoda 的经验教训以及一些有趣的故事和安全性袭击。  本次演讲将使我们洞察到： - 立即使用 Docker 和 Kubernetes 的安全性 - Docker 和 Linux 安全问题 - 监视恶意活动 - 当一切都出错时，会发生什么 最后，与会者将学习他们可以采取的、保护自己系统的不同方法，并为他们可能面临的潜在攻击做好准备。
14:40 – 15:15 305 B	刨根问底：使用秘钥来安全地管理 Kubernetes 秘钥——Maya Kaczorowski，Google 和 Alexandr Tcherniakhovski，Google  Speakers: Maya Kaczorowski, Alexandr Tcherniakhovski 秘钥是 Kubernetes 安全模型的基石；它们被 Kubernetes 本身（例如，服务帐户）和用户（例如，API 密钥）共同使用。在本次演讲中，我们将讨论用户保护 Kubernetes 秘钥的方法。 我们首先概述一下在 Kubernetes 中如何默认地保护和装载秘钥。然后，我们将介绍在最近版本中已做出的改进，包括秘钥加密 (1.7) 和 KMS 插件 (1.10 Alpha)，以及它们如何与外部供应商（如云 KMS 插件和 HashiCorp Vault）协同工作。我们将根据您的要求讨论这些方案的利弊。最后，我们将演示如何在 Kubernetes 中使用 KMS 插件，并讨论 Kubernetes 中对秘钥系统的计划改进措施。 您将会对秘钥管理方法有所了解，并知道哪一种最适合您的特定需求。
15:35 – 16:10 305 B	确保部署管道的安全——Felix Glaser，Shopify  Speakers: Felix Glaser 设想采用任意代码，将其部署到生产，并希望一切都是安全的。当我们不锁定部署管道并部署任意容器时，我们就会这样做。加入我们，来探索 Shopify 的解决方案。 生成容器后，我们运行检查以确定其状态：它是不易受到攻击且不会过时的软件吗？它是否源自正确的部署管道？ 对于每个成功的测试，都会对容器进行签名，并且将签名存储在 Grafeas 中。 在部署期间， Kritis 允入控制元件强制执行签名。 因为容器的安全状态可以改变，所以我们记录在容器生命周期中创建的元数据。如果它变得易受攻击，就会被撤回、修复和重新部署。 凭借 Grafeas 和 Kritis 这两个新工具装入 Kubernetes 允许每个人通过代码部署来防止特权增加。
16:20 – 16:55 305 B	混合云环境的访问策略——Rae Wang，Google  Speakers: Ruiyi Wang 如今的普通管理员/开发者需要处理多个访问策略系统：K8S RBAC、Istio RBAC 和 ABAC、OPA，来自包括 IAM 的云提供商的策略、防火墙规则、定额等。推断跨越这些系统的访问变得越来越复杂和困难。我们将介绍那些建立访问策略的人士以及使用访问策略聚在一起讨论跨越基础架构、服务和应用的安全、易用、一致/连贯的访问管理体验的愿景的人士。更为重要的是，我们从中得到了什么？
NOVEMBER 15 • THURSDAY
11:30 – 12:05 302 A	Kubernetes 的隔离层——Tim Allclair，Google  Speakers: Tim Allclair 在同一集群中的两个应用程序之间，根据合理预期，您认为有多少隔离？每个应用程序都应该有自己的命名空间吗？每项服务？在容器、pod、节点、命名空间甚至集群之间，很难知道如何构建一个安全的系统，以及可以依赖哪些隔离层。 在本次演讲中，我们将从基础开始并构建起来。您将了解在同一个 pod 中的两个容器之间，哪些资源是被隔离的，哪些不是。随着工作应用程序的日益分离，我们将探索发生了什么改变。您将看到现实中攻击的示例，以及如何在堆栈的不同层中减弱这些攻击。最后，您将更好地了解如何为您自己的威胁模型分离工作应用程序。
14:20 – 14:55 302 A	通过 Vault 进行 Istio 证书管理——Lei Tang，Google 和 Yonggang Liu，Google  Speakers: Yonggang Liu, Lei Tang 在本次演讲中，我们将演示一套全新 Istio 证书管理系统的设计和执行，该系统使用 Vault 来安全地管理 Istio 证书。首先，我们会介绍 Istio 中的身份识别系统和 Istio 证书管理系统的当前架构。接下来，我们会通过颁发 Istio 证书的身份验证和认证机制的细节，展示基于 Vault 的新 Istio 身份认证系统的体系结构。我们将详细介绍从申请 Istio 证书中的 pod 到 Vault 签署证书申请的示例流程。最后，我们将演示新的 Istio 证书管理系统。
15:05 – 15:40 302 A	您的供应链状态——Andrew Martin，ControlPlane 和 Maya Kaczorowski，Google  Speakers: Maya Kaczorowski, Andrew Martin 容器安全性通常侧重于运行时最佳实践，而同时忽略了供应链中附带的软件。应用程序或库漏洞是数据可能泄露的途径，容器为减轻这种风险提供了新机会。  将容器视为不可变，使我们能够通过重建和传送整个容器镜像来“升级”镜像，避免配置偏差和状态不一致。这使得不断修补程序软件并轻松执行部署到我们环境中的程序成为可能。 在本次会议中，我们将详细介绍理想的软件供应链，描述生态系统的当前状态，并深入研究具体的工具。我们将讨论 Grafeas、Kritis、in-toto、Clair、Micro Scanner、TUF 及 Notary，并演示如何识别易受攻击的图像，然后自动重建和重新部署它。
16:00 – 16:35 302 A	实施授权——Torin Sandall，Styra  Speakers: Torin Sandall 无论您是为企业、移动设备还是内部微服务构建软件，安全性都很重要。类似 SAML、OIDC 和 SPIFFE 等的标准可帮助您解决身份和身份认证问题，但对于他们来说，认证是超出作用域的。当您需要控制应用程序中的“谁可以做什么”时，您就可以独立完成。 为解决授权问题，您可能会想要针对 SAML 断言、作用域或 X.509 属性证书对逻辑进行硬编码。但是，类似的方法会造成系统难以理解且难以维护。 本次演讲将展示如何利用 Open Policy Agent（常被 Netflix 和 Chef 等公司使用）在行业标准的认证协议之上构建强大的认证系统。本次演讲展示解耦如何会使认证解决方案更容易被理解，同时实现对应用程序的细粒度地控制。
16:45 – 17:20 302 A	Nabla 容器：容器隔离的新方法——Brandon Lum，IBM 和 Ricardo Koller，IBM  Speakers: Ricardo Koller, Brandon Lum 横向攻击是云供应商及其租户所关注的重要安全问题。尽管它有许多优点，但容器尚未像隔离沙箱那样被接受，隔离沙箱对于容器原生云来说至关重要。系统调用接口直接暴露于不受信任的工作应用程序将会极大增加可能对于主机的攻击次数。 我们提供 Nabla 容器，该容器使用库 OS/unikernel 技术来避免系统调用从而降低主机内核受到攻击的可能性。使用我们的 OCI 运行时 runnc（https://github.com/nabla-containers/runnc），我们会展示普遍应用程序的运行：Node.js、python、redis 等允许通过 seccomp 使用 < 9 的系统调用。在本次演讲中，我们将讨论和演示我们如何以一种新方式来利用 libOS 观念，并将隔离和性能指标与其他技术（如 gvisor 和 Kata Containers）进行比较。

会议更多信息及注册请点击文末 <<阅读原文>> 了解！

感谢活动赞助商

 
钻石赞助商
阿里云
华为
IBM Cloud
Tencent Cloud
 
铂金赞助商
灵雀云
才云
英特尔
京东
Rancher
VMware
 
黄金赞助商
SUSE
 
白银赞助商
Cloud Foundry
DaoCloud
Eclipse Foundation
Elastic
Mesophere
Red Hat
 
初创企业赞助商
Aljabr
EMQ
inwinSTACK
KONTENA
LF DEEP LEARNING
PlanetScale
时速云
睿云智合
 
合作伙伴

开源中国社区

极客邦科技 ／ InfoQ

CNCF (Cloud Native Computing Foundation)成立于2015年12月，隶属于Linux  Foundation，是非营利性组织。 

云原生计算基金会（CNCF）致力于培育和维护一个厂商中立的开源生态系统，来推广云原生技术。我们通过将最前沿的模式民主化，让这些创新为大众所用。请长按以下二维码进行关注。