云原生安全能力指南

4 5 7 8 8 5作為一種新的應(yīng)用程序開發(fā)和部署的方法，可以提高應(yīng)用程序的可靠性、彈性和可擴(kuò)展性，同時(shí)降低開發(fā)和運(yùn)維的成本。云原生概念誕生已十年有余，但是采用云原生的業(yè)務(wù)開發(fā)和部署模式直到最近針對(duì)云原生開發(fā)及運(yùn)營(yíng)相關(guān)的云基礎(chǔ)設(shè)施、主機(jī)、容器、業(yè)務(wù)云安全的進(jìn)階階段，它不僅繼承了云安全的理念和方法，而且在技當(dāng)前許多甲方用戶對(duì)于云原生安全的認(rèn)知并不十分清晰，許多人可能剛剛開始理解云安全的具體涵義，現(xiàn)在又迎來了云原生安全概念。面對(duì)新的技術(shù)方案，筆者也曾遇到很多困惑，本報(bào)告嘗試通過一個(gè)簡(jiǎn)潔明了的方式，對(duì)云原生安全相關(guān)的技術(shù)點(diǎn)進(jìn)行系統(tǒng)性的近兩年來，云原生安全市場(chǎng)在快速增長(zhǎng)，為了得到一手的市場(chǎng)資料，數(shù)世咨詢邀請(qǐng)了九家國(guó)內(nèi)云原生安全代表企業(yè)和部分甲方用戶進(jìn)行實(shí)際考察，對(duì)安全廠商近三年來的產(chǎn)品營(yíng)收數(shù)據(jù)進(jìn)行了收集和分析，結(jié)合與安全廠商相關(guān)的研發(fā)、市場(chǎng)負(fù)責(zé)人等多輪線上線下6本報(bào)告技術(shù)部分主要內(nèi)容：云原生概念、云原生安全挑戰(zhàn)、云原生安全定義、云原生安全能力全景圖、數(shù)世咨詢定義的“全棧云本報(bào)告市場(chǎng)部分主要內(nèi)容：云原生安全市場(chǎng)規(guī)模、行業(yè)應(yīng)用、能力企業(yè)點(diǎn)陣圖、能力企業(yè)主要業(yè)務(wù)特點(diǎn)、云原生安全趨勢(shì)分析以盡管本報(bào)告盡筆者所能盡量充分的進(jìn)行了技術(shù)以及市場(chǎng)方面的調(diào)研，但受能力所限或有錯(cuò)誤和偏頗之處，歡迎同行與我聯(lián)系交流。781.概念與技術(shù)種構(gòu)建和運(yùn)行應(yīng)用程序的方法，是一套技術(shù)體系和方法論。它意味著應(yīng)用程序從設(shè)計(jì)之初就考慮到云的環(huán)境，原生為云而設(shè)計(jì)，在云2015年，推動(dòng)云原生應(yīng)用和發(fā)展的著名組織云原生基金會(huì)致力于推廣容器化、微服務(wù)架構(gòu)和開源項(xiàng)目，當(dāng)前已建立了龐大的社區(qū)和生態(tài)系統(tǒng)，對(duì)全球云計(jì)算產(chǎn)業(yè)產(chǎn)生了深遠(yuǎn)影響。國(guó)內(nèi)眾多企過容器技術(shù)實(shí)現(xiàn)應(yīng)用的高效部署和管理，通過微服務(wù)架構(gòu)提高應(yīng)用的模塊化和可維護(hù)性，并通過自動(dòng)化工具減少人工干預(yù)和降低運(yùn)維9APIs有個(gè)別概念過于抽象，筆者嘗試通俗化的解釋一下這幾個(gè)概念。不可變基礎(chǔ)設(shè)施不可變基礎(chǔ)設(shè)施是指基礎(chǔ)設(shè)施的配置和狀態(tài)不可變，一旦部署低風(fēng)險(xiǎn)使服務(wù)器運(yùn)行穩(wěn)定，其運(yùn)行環(huán)境總是面臨不斷的更改，比如：系統(tǒng)升級(jí)、打補(bǔ)丁、更新應(yīng)用的依賴組件等，運(yùn)行環(huán)境的變化經(jīng)常影響其所承載的業(yè)務(wù)，所以讓管理員焦頭爛額的事情時(shí)有發(fā)生。而在云計(jì)算環(huán)境中，服務(wù)器在完成部署后，就不再進(jìn)行更改。云計(jì)算通過引入虛擬化技術(shù)，實(shí)現(xiàn)了方便地打包構(gòu)建應(yīng)用及其運(yùn)行時(shí)的依容器和微服務(wù)相信不少人耳熟能詳了，通俗來講容器是一種打包技術(shù)，它將應(yīng)用及其依賴環(huán)境打包在一起，實(shí)現(xiàn)了在不同內(nèi)核的微服務(wù)微服務(wù)可理解為搭積木，先將大型的應(yīng)用系統(tǒng)分解為一組小的、獨(dú)立的服務(wù)，然后象搭積木一樣通過輕量級(jí)通信協(xié)議（比如API）再搭建起來。其主要目的是實(shí)現(xiàn)單個(gè)服務(wù)的獨(dú)立部署、擴(kuò)展和更新，服務(wù)網(wǎng)格服務(wù)網(wǎng)格算是為微服務(wù)提供服務(wù)的一個(gè)基礎(chǔ)設(shè)施層，當(dāng)大的應(yīng)用分解為小的微服務(wù)，微服務(wù)之間的數(shù)據(jù)通信、網(wǎng)絡(luò)連接就更為復(fù)雜，服務(wù)網(wǎng)格就相當(dāng)于一個(gè)代理管家，提供了服務(wù)間的通信、安全、現(xiàn)在不用了，只需要建個(gè)配置文件，寫下來你想“要什么”就可以程，實(shí)現(xiàn)業(yè)務(wù)的快速開發(fā)與運(yùn)行，從而在根本上提高工作效率和實(shí)現(xiàn)成本節(jié)約。流行多年的DevOps（開發(fā)與運(yùn)營(yíng)）理念天然的適配云調(diào)研發(fā)現(xiàn)，近兩年來，采用云原生開發(fā)與部署的方式正逐步成為行業(yè)內(nèi)重點(diǎn)考慮的方向。國(guó)內(nèi)的金融、互聯(lián)網(wǎng)、智能制造以及運(yùn)營(yíng)商等行業(yè)，已經(jīng)開始構(gòu)建云原生化開發(fā)流程，進(jìn)行試點(diǎn)或?qū)⒉糠謽I(yè)務(wù)以云原生的方式發(fā)布。預(yù)計(jì)在未來幾年，云原生化的“業(yè)務(wù)上極致自動(dòng)化的極致自動(dòng)化的新邊界帶來新的安全挑戰(zhàn)云計(jì)算技術(shù)的出現(xiàn)使得傳統(tǒng)的安全邊界變得模糊不清，而云原照物理區(qū)域劃分的，如機(jī)房中的機(jī)柜等設(shè)備，這些資源的標(biāo)識(shí)通常是機(jī)柜編號(hào)，安全邊界為房間墻壁和防盜門。然而隨著云計(jì)算的興在云原生時(shí)代，資源的劃分已不再是依據(jù)物理設(shè)備或者虛擬機(jī)，而是以業(yè)務(wù)為中心的微服務(wù)占據(jù)了主導(dǎo)地位。為了更有效地利用云計(jì)算資源，通過將應(yīng)用程序分解為松耦合的微服務(wù)組件，并實(shí)現(xiàn)服務(wù)的互訪，微服務(wù)之間需要的安全控制成為新的邊界。在這種情況動(dòng)態(tài)變化的資產(chǎn)帶來的安全挑戰(zhàn)云原生環(huán)境強(qiáng)調(diào)“不可變的基礎(chǔ)設(shè)施”的概念，它通過犧牲基礎(chǔ)設(shè)施的可變性來換取更高的穩(wěn)定性、一致性和應(yīng)用部署的靈活性。傳統(tǒng)環(huán)境中直接在服務(wù)器上打補(bǔ)丁來修復(fù)漏洞，但在云原生環(huán)境中要修復(fù)漏洞需要停止舊的容器并重新構(gòu)建新的鏡像來修復(fù)漏洞，同動(dòng)態(tài)資產(chǎn)增加了系統(tǒng)的復(fù)雜性，需要更高級(jí)的監(jiān)控和管理工具來跟蹤和維護(hù)資產(chǎn)狀態(tài)，同時(shí)對(duì)動(dòng)態(tài)資產(chǎn)的資源管理、策略管理等適配極致自動(dòng)化開發(fā)流程的安全挑戰(zhàn)云原生應(yīng)用開發(fā)普遍采用DevOps、面向服務(wù)等理念構(gòu)建業(yè)務(wù)系短了業(yè)務(wù)從開發(fā)到上線運(yùn)行的時(shí)間窗口。這要求安全防護(hù)手段也要云原生特征的攻擊面帶來的安全挑戰(zhàn)云原生的微服務(wù)、容器化技術(shù)帶來了新的攻擊面，比如：對(duì)鏡像倉(cāng)庫(kù)的保護(hù)、容器編排系統(tǒng)的安全配置、微服務(wù)間的安全控制、容器運(yùn)行時(shí)的入侵防御、以及自動(dòng)化CI/CD流程中的代碼和鏡像安全等，對(duì)構(gòu)建一個(gè)覆蓋云原生全生命周期、動(dòng)態(tài)且適應(yīng)性強(qiáng)的安全報(bào)告中的統(tǒng)計(jì)顯示，在過去的一年中，有9成的應(yīng)用云原生的企業(yè)云原生應(yīng)用的開發(fā)和交付轉(zhuǎn)型是一次全方位的變革，一方面，企業(yè)的組織架構(gòu)、組織流程等為適配云原生環(huán)境要發(fā)生變化，安全責(zé)任主體也需要有所調(diào)整。另一方面，在安全技術(shù)上云原生引入了大量新的基礎(chǔ)設(shè)施、安全防護(hù)對(duì)象，發(fā)生了顛覆性變化，面對(duì)這些相比于云安全，云原生安全更關(guān)注對(duì)云原生基礎(chǔ)設(shè)施、容器鏡像、容器運(yùn)行時(shí)、微服務(wù)、無服務(wù)器（Serverless）等實(shí)施安全保云原生安全是指在云原生環(huán)境中應(yīng)用的一種全新的安全方法，這種方法強(qiáng)調(diào)安全能力與云原生環(huán)境相結(jié)合，跨越云原生應(yīng)用開發(fā)、構(gòu)建、部署和運(yùn)行全生命周期提供一種綜合的安全能力，旨在對(duì)云原生基礎(chǔ)設(shè)施、容器鏡像、容器運(yùn)行時(shí)、微服務(wù)、服務(wù)網(wǎng)格等關(guān)鍵云原生安全屬于“數(shù)字計(jì)算環(huán)境保護(hù)”領(lǐng)域中“云安全”細(xì)分領(lǐng)域，型【云（Cloud集群（Cluster容器（Container代碼程，基于對(duì)云原生安全項(xiàng)目需求以及廠商解決方案的相關(guān)調(diào)研，筆者認(rèn)為后者在安全能力的分步建設(shè)方面邏輯更為清晰，如下圖所示：考慮到報(bào)告的篇幅，對(duì)云原生安全全景圖中的技術(shù)能力點(diǎn)，筆者不打算一一科普，僅對(duì)業(yè)務(wù)流程及其中關(guān)鍵的安全能力簡(jiǎn)要介紹云原生安全需要將安全能力規(guī)劃到軟件開發(fā)生命周期的早期階段，即“安全左移“，重要意義在于通過在設(shè)計(jì)和開發(fā)階段就識(shí)別和修復(fù)潛在的安全漏洞，可以顯著降低后期修復(fù)的成本和復(fù)雜性，減少安全風(fēng)險(xiǎn)。試想一個(gè)安全漏洞被打包進(jìn)鏡像，在后期運(yùn)行時(shí)，這個(gè)鏡像被復(fù)制為千萬個(gè)容器副本，那么安全風(fēng)險(xiǎn)便被指數(shù)級(jí)放大。在開發(fā)階段，安全編碼是核心。開發(fā)者需要遵循安全編碼的最佳實(shí)踐和規(guī)范進(jìn)行編碼，期間定期進(jìn)行代碼審查和必要安全掃描，以發(fā)現(xiàn)和修復(fù)潛在的安全漏洞。還要考慮代碼供應(yīng)鏈安全，確保所有第三方庫(kù)和組件都是安全的，沒有已知的安全漏洞。代碼測(cè)試階互式應(yīng)用安全測(cè)試（IAST是發(fā)現(xiàn)安全問題的有力工具。當(dāng)代碼開發(fā)完成，進(jìn)入編譯打包和容器鏡像構(gòu)建的階段。此時(shí)需要進(jìn)行漏洞掃描和敏感內(nèi)容檢查，除對(duì)自建組件進(jìn)行安全掃描之安全工具需要具備全面且不斷更新的漏洞庫(kù)和指紋特征，以確保能夠識(shí)別和防御廣泛的安全威脅。其次，高效的掃描效率是必不可少的，工具應(yīng)支持分層掃描，這樣可以快速識(shí)別和修復(fù)各個(gè)層中鏡像構(gòu)建完成后通常會(huì)進(jìn)入鏡像倉(cāng)庫(kù)統(tǒng)一管理，需要注意鏡像倉(cāng)庫(kù)的安全防護(hù)，包括對(duì)鏡像的權(quán)限控制，實(shí)施安全加密的通信，部署階段安全措施的關(guān)鍵在于確保容器編排平臺(tái)的安全性和穩(wěn)定性。需要對(duì)容器編排平臺(tái)，如Kuberne對(duì)基礎(chǔ)設(shè)施即代碼（Infrastructureas查，以確保集群設(shè)置、云工作負(fù)載、虛擬化主機(jī)滿足合規(guī)，沒有配對(duì)容器運(yùn)行環(huán)境設(shè)置必要的資源隔離和限制策略，比如，使用命名空間、網(wǎng)絡(luò)策略和資源配額來隔離不同的工作負(fù)載，限制容器的資源使用，避免任何單一容器的異常行為對(duì)整個(gè)系統(tǒng)造成影響。此外，日志審計(jì)可以幫助監(jiān)控和記錄所有關(guān)鍵操作，為安全事件的即使在業(yè)務(wù)流程的開發(fā)階段對(duì)鏡像、容器應(yīng)用了充分的安全措施，容器在運(yùn)行時(shí)仍然容易遭受各類攻擊，需要考慮容器運(yùn)行時(shí)的運(yùn)行時(shí)安全的核心任務(wù)是確保應(yīng)用和容器的安全性，防止惡意行為和入侵。運(yùn)行階段通過實(shí)施微隔離策略，將網(wǎng)絡(luò)流量限制在最小必要范圍內(nèi)，限制容器之間的不必要網(wǎng)絡(luò)訪問，減少攻擊面并提在應(yīng)用安全層面，也是容器運(yùn)行時(shí)重點(diǎn)考慮的方向。多數(shù)情況下，容器是對(duì)外提供服務(wù)的，以提供WEB服務(wù)為主。所以，應(yīng)用自我防護(hù)技術(shù)（RASP）能夠提供更深層次的安全保護(hù)，它可以嵌入到應(yīng)用程序中，實(shí)時(shí)檢測(cè)和阻止那些WAF可能忽略的入侵和惡云原生環(huán)境中的數(shù)據(jù)有諸多分類，需要區(qū)別對(duì)待分別實(shí)施保護(hù)。對(duì)于用戶或者應(yīng)用程序產(chǎn)生的數(shù)據(jù)，一般都是存儲(chǔ)在一個(gè)單獨(dú)掛載的存儲(chǔ)空間中，實(shí)際上可以應(yīng)用傳統(tǒng)的數(shù)據(jù)安全工具來實(shí)施保護(hù)。對(duì)于云原生環(huán)境自身的配置文件，代碼等數(shù)據(jù)，也需要考慮應(yīng)用敏以上簡(jiǎn)單總結(jié)了云原生應(yīng)用全生命周期內(nèi)不同階段所需的典型安全能力，目前也存在諸多單點(diǎn)的安全工具來實(shí)現(xiàn)這些能力，用戶但必須要提到的是應(yīng)用單點(diǎn)的安全工具或不同安全廠商的產(chǎn)品同時(shí)也帶來安全體系的割裂，給真正實(shí)現(xiàn)開發(fā)與安全運(yùn)營(yíng)的一體化帶來巨大挑戰(zhàn)。單一供應(yīng)商的整體解決方案對(duì)云原生安全體系化建設(shè)來說是最好的選擇。數(shù)世咨詢將覆蓋了業(yè)務(wù)開發(fā)、構(gòu)建、部署、要實(shí)現(xiàn)“全棧”能力，除了具備以上導(dǎo)圖中提及的各階段安全能力工具的集成使得安全評(píng)估、漏洞檢測(cè)和合規(guī)性審核變得更加高效，l全生命周期內(nèi)的資產(chǎn)可見性云原生全生命周期中出現(xiàn)的虛擬化主機(jī)、鏡像、容器以及微服務(wù)等資源可能數(shù)以萬計(jì)，且動(dòng)態(tài)變化。資源的全面可見性不僅僅意味著實(shí)現(xiàn)對(duì)海量資產(chǎn)的管理，同時(shí)還需實(shí)現(xiàn)追蹤和監(jiān)控這些資產(chǎn)之l開發(fā)與安全運(yùn)營(yíng)雙向反饋雙向反饋機(jī)制是云原生應(yīng)用開發(fā)與安全運(yùn)營(yíng)間的信息溝通，可以讓開發(fā)團(tuán)隊(duì)依據(jù)生產(chǎn)環(huán)境的表現(xiàn)來優(yōu)化代碼和應(yīng)對(duì)安全威脅，同2.市場(chǎng)情況本報(bào)告的調(diào)研選擇了九家具備云原生安全能力的典型企業(yè)、并結(jié)合線上線下客戶訪談。根據(jù)統(tǒng)計(jì)，2023年云原生安全市場(chǎng)規(guī)模約云原生安全在行業(yè)的應(yīng)用TOP4為：金融（27.5%）、互聯(lián)網(wǎng)金融行業(yè)在數(shù)字化轉(zhuǎn)型的進(jìn)程中一直扮演著排頭兵的角色，云原生在金融領(lǐng)域的應(yīng)用已經(jīng)逐步由“面向云遷移應(yīng)用”的階段演進(jìn)到“面向云構(gòu)建應(yīng)用”的階段。近兩年來，幾大國(guó)有銀行加速利用云原生技術(shù)進(jìn)行底層架構(gòu)的云化升級(jí)，實(shí)現(xiàn)業(yè)務(wù)的快速迭代和靈活互聯(lián)網(wǎng)行業(yè)對(duì)業(yè)務(wù)快速迭代、高可用性和彈性有很高的內(nèi)在需求，在云原生化方面表現(xiàn)出極高的活躍度和創(chuàng)新能力，據(jù)估計(jì)，80%以上的互聯(lián)網(wǎng)企業(yè)已經(jīng)實(shí)現(xiàn)了云原生化。業(yè)務(wù)集群從小規(guī)模的幾十比如新能源汽車企業(yè)普遍應(yīng)用云原生架構(gòu)實(shí)現(xiàn)業(yè)務(wù)的快速部署。政務(wù)、能源、交通等部分行業(yè)試點(diǎn)應(yīng)用云原生化改造，使用容器搭建運(yùn)營(yíng)商的云原生安全需求更多的來自對(duì)軟件及容器鏡像供應(yīng)鏈的管理，主要對(duì)鏡像來源、軟件成分分析、以及組件準(zhǔn)入的檢查等。國(guó)內(nèi)行業(yè)的云原生項(xiàng)目近兩年來有顯著增加，據(jù)調(diào)研的安全企發(fā)現(xiàn)，目前大多數(shù)的國(guó)內(nèi)企業(yè)在云端業(yè)務(wù)改造時(shí)，往往是根據(jù)自己的單項(xiàng)安全工具，仍然有單獨(dú)的安全需求。比如，代碼安全測(cè)試及代碼供應(yīng)鏈管理，容器掃描與漏洞管理、針對(duì)云原生開發(fā)及運(yùn)營(yíng)環(huán)3.能力企業(yè)由于各廠商的技術(shù)發(fā)展路線不同，不同廠商在云原生安全領(lǐng)域的技術(shù)起點(diǎn)以及技術(shù)深度多有不同。調(diào)研發(fā)現(xiàn)，盡管安全廠商都在著力打造全流程云原生安全能力體系，但目前僅有個(gè)別廠商能夠接盡管云原生安全技術(shù)的重要性和需求不斷增長(zhǎng)，實(shí)際應(yīng)用場(chǎng)景中對(duì)傳統(tǒng)云安全產(chǎn)品仍然存在較大比重的需求，比如云防火墻、云WAF、云工作負(fù)載安全產(chǎn)品等。同時(shí)具備云安全與云原生安全解決方先鏈安全“4+n”4.發(fā)展趨勢(shì)云原生安全與業(yè)務(wù)深入結(jié)合許多業(yè)務(wù)系統(tǒng)對(duì)安全的要求不僅僅是安全合規(guī)，更多的需要安全與業(yè)務(wù)深度集成。以金融行業(yè)微隔離安全管控為例，由于涉及大量敏感的交易數(shù)據(jù)和個(gè)人隱私信息，對(duì)安全管控的要求極為嚴(yán)格。還有其安全需求和安全策略經(jīng)常性地變化，這就需要安全產(chǎn)品不斷貼合用戶需求，進(jìn)行功能進(jìn)化。當(dāng)安全策略在成千上萬個(gè)主機(jī)節(jié)點(diǎn)、幾十萬容器間進(jìn)行下發(fā)或更改，這給安全工具的專業(yè)度與處理性能云原生安全向“全棧”安全能力方向進(jìn)化前文提到目前國(guó)內(nèi)許多企業(yè)在構(gòu)建云原生項(xiàng)目時(shí)，還是根據(jù)自己的預(yù)算以及技術(shù)能力分步進(jìn)行的，主要影響因素有兩個(gè)，一是企業(yè)的云原生化變革，需要組織架構(gòu)也要做相應(yīng)的調(diào)整。二是要實(shí)現(xiàn)開發(fā)與運(yùn)營(yíng)的全流程化，在與業(yè)務(wù)融合時(shí)也存在不少技術(shù)上的困難。但降本增效是企業(yè)永遠(yuǎn)的追求，業(yè)務(wù)的云原生化改造實(shí)現(xiàn)開發(fā)與運(yùn)營(yíng)的一體化恰恰很好的滿足了企業(yè)的根本訴求，云原生安全也會(huì)向“全棧”安全能力方向進(jìn)化。人工智能與云原生安全互驅(qū)動(dòng)人工智能（AI）在安全領(lǐng)域的應(yīng)用正隨著大型模型的發(fā)展而迅速進(jìn)化，其核心優(yōu)勢(shì)在于提高安全檢測(cè)的準(zhǔn)確性、響應(yīng)速度和管理效率。AI通過機(jī)器學(xué)習(xí)和深度學(xué)習(xí)算法，能夠從大量數(shù)據(jù)中識(shí)別異量的安全數(shù)據(jù)，云原生安全與開發(fā)運(yùn)營(yíng)流程的深度結(jié)合產(chǎn)生的實(shí)時(shí)、動(dòng)態(tài)、細(xì)?；轿⒎?wù)級(jí)別的安全數(shù)據(jù)，也會(huì)促進(jìn)人工智能在安全云原生安全能力SaaS化原生技術(shù)融合，實(shí)現(xiàn)更靈活便捷的部署和擴(kuò)展”。實(shí)際上，云原生正在重塑云安全的業(yè)務(wù)模式并為云服務(wù)商帶來更大的益處。比如以騰訊安全為代表的公有云服務(wù)商已開始將云安全能力，通過云原生化模式部署，以實(shí)現(xiàn)降本增效。與傳統(tǒng)的虛擬化資源池模式的安全信創(chuàng)安全產(chǎn)業(yè)助推云原生安全發(fā)展信創(chuàng)安全專注于提升國(guó)產(chǎn)軟硬件的安全性和自主可控性，面對(duì)而采用容器化技術(shù)的安全解決方案能夠提供對(duì)不同軟硬件環(huán)境的廣泛適應(yīng)性，從而簡(jiǎn)化信創(chuàng)安全產(chǎn)品在國(guó)產(chǎn)化過程中的適配工作。根5.代表廠商優(yōu)秀案例某股份制銀行一站式智能化云原生安全運(yùn)營(yíng)平臺(tái)建設(shè)案例（本案例由青藤云安全提供）項(xiàng)目背景在政策、市場(chǎng)的雙輪驅(qū)動(dòng)下，金融數(shù)字化轉(zhuǎn)型進(jìn)入關(guān)鍵階段，彈性、可擴(kuò)展性等特性，成為金融機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過程中降本增效、提升自身業(yè)務(wù)敏捷性的重要引擎。與此同時(shí)，云原生引入了大量新的基礎(chǔ)設(shè)施，安全防護(hù)對(duì)象發(fā)生了顛覆性變化，容器以及容器云逐漸成為工作負(fù)載的主流。面對(duì)這些新技術(shù)帶來新的安全挑戰(zhàn)，某股解決方案青藤通過對(duì)該股份制銀行業(yè)務(wù)及其支撐平臺(tái)進(jìn)行調(diào)研梳理和風(fēng)險(xiǎn)評(píng)估，遵循國(guó)家和行業(yè)信息安全相關(guān)標(biāo)準(zhǔn)并借鑒國(guó)內(nèi)外最佳實(shí)踐，充分考慮云原生業(yè)務(wù)性能和安全防護(hù)的契合點(diǎn)，為客戶打造了一站整個(gè)平臺(tái)通過“一個(gè)體系、兩個(gè)方向、四個(gè)流程為中心，覆蓋云原生的整個(gè)開發(fā)過程，將安全防護(hù)嵌入到每個(gè)1.在開發(fā)階段（Dev遵循“安全左移”原則，做到上線即安通過早期定位和解決安全問題，減少攻擊面和潛在的運(yùn)行問題，通過“集群風(fēng)險(xiǎn)”功能，對(duì)集群中各組件的安全漏洞進(jìn)行檢查。2.在運(yùn)行階段（OPS遵循“持續(xù)監(jiān)控&響應(yīng)”原則，做到自適在整體安全落地的時(shí)候，進(jìn)行云原生安全的全生命周期管理，包括對(duì)工作負(fù)載清點(diǎn)與可視化、微隔離、入侵檢測(cè)、安全響應(yīng)、溯進(jìn)行事件應(yīng)急，發(fā)生問題后，可以采用隔離方式阻止威脅進(jìn)一針對(duì)運(yùn)行時(shí)的入侵行為進(jìn)行檢測(cè)和發(fā)現(xiàn)，并提供響應(yīng)處理方式。記錄各種日志數(shù)據(jù)，可用于各種網(wǎng)絡(luò)安全事件分析，溯源整個(gè)攻擊統(tǒng)上部署，并且平臺(tái)Agent可以支持所有的國(guó)產(chǎn)