云原生安全防護技術探索與實踐

全球數字經濟背景下，數字化轉型成為加速金融行業轉型升級的必然選擇。金融科技正在對金融行業進行著全業務流程的重塑，驅動金融業務創新發展，為用戶帶來全新的業務體驗。

近年來，以容器、微服務、服務網格為代表的云原生技術應用成為金融行業數字化轉型的標配環節。光大銀行在探索應用云原生技術的同時，對云原生特有屬性帶來的安全風險和挑戰開展了研究分析，并對云原生基礎設施安全、云原生制品安全、云原生網絡安全、云原生應用安全、云原生數據安全等多個層面安全防護技術進行了探索和實踐。

一、云原生技術架構變革，帶來新的安全風險和挑戰

1.云原生基礎設施安全風險和挑戰

云原生技術架構的持續發展拉動了基礎設施的變革，同時也帶來新的安全挑戰。容器運行時組件是云原生基礎設施中承載云原生應用的核心，當存在安全漏洞或是配置不當都可能導致主機失陷甚至整個云平臺失陷。編排引擎是管理容器生命周期和資源調度的平臺，如果編排系統被入侵或濫用，可能導致整個集群被控制或崩潰。鏡像倉庫提供鏡像存儲備份、傳輸加密、權限管理與安全審計等服務，如果存在安全加固或配置不當的問題，則可能導致鏡像被惡意篡改、信息泄露、非法訪問等情況發生。

2.云原生制品安全風險和挑戰

云原生技術和DevOps的廣泛應用，將開發、測試、運維拉到統一戰線，使得產品持續開發、測試、部署及頻繁發布新版本，軟件制品的數量和種類急劇增長，隨之也引入了制品安全風險。在云原生軟件開發過程中，編碼不規范或使用不安全的組件包將引入代碼安全風險。在構建容器鏡像過程中，使用存在安全漏洞或配置不當的鏡像時將引入鏡像安全風險。在制品安全管理過程中，由于云原生制品繁多且種類龐雜，如果無法按照統一的安全策略管理眾多軟件制品，將面臨制品安全管理的風險和挑戰。

3.云原生網絡安全風險和挑戰

云原生網絡隨著無處不在的服務互聯，網絡邊界逐漸模糊，網絡安全風險波及范圍同步擴張，加大了網絡攻擊橫移和威脅擴散的風險。在敏捷開發和持續集成、持續部署的加持下，云原生應用建立和消亡高頻發生，IP地址已不再是安全策略的可靠錨點，導致傳統基于IP地址的靜態網絡安全策略失去作用位置而無法發揮效應。如何有效識別云工作負載、實施網絡訪問控制、可視化網絡流量和審計網絡訪問行為，成為了云原生網絡安全防護的新要求。

4.云原生應用安全風險和挑戰

云原生應用的微服務化拆分帶來應用間交互式端口的指數級增長，導致端口數量暴漲和攻擊面擴大，多服務實例共享操作系統帶來了單個漏洞的集群化擴散。同時，云原生應用以容器為載體極大地縮短了應用生命周期，也增加了安全防護、安全審計和攻擊溯源難度。云原生應用除了面臨著傳統Web應用攻擊、API攻擊和應用層DDoS攻擊等安全風險以外，同時引入了容器逃逸攻擊、容器運行時安全攻擊等新的安全威脅。

5.云原生數據安全風險和挑戰

云原生應用在多云環境中部署和管理，其相較于傳統應用正面臨著更大的數據安全風險和挑戰。一是數據泄露風險，云原生應用采用微服務化的設計模式，數據在多個服務之間進行傳輸和存儲，加大了敏感數據泄露風險。二是數據篡改風險，云原生應用部署在資源共享的基礎設施上，可能存在多租戶之間隔離不徹底的情況，導致數據被破壞或篡改風險。三是數據竊取風險，云原生應用如果引入不安全第三方組件和共享方式，攻擊者可利用安全漏洞對數據進行竊取。

二、構建云原生安全防護體系，持續筑牢金融科技數字安全屏障

構建有效的云原生安全防護體系是夯實銀行數字化安全底座的基本保證。近年來，光大銀行圍繞金融業務應用上云需求，持續建設新一代全棧云平臺，并將安全融入到云平臺規劃設計、建設實施和運營運維的整個過程，不斷強化和完善云安全防護能力，向用戶交付更安全的云服務。

1.云原生基礎設施安全防護技術探索和實踐

光大銀行在云原生基礎設施安全防護方面，一是以基礎設施即代碼（IaC）技術理念和方法，通過機器可讀的定義文件來管理和配置云原生基礎設施，針對不同場景提供定制化的安全基線和防護策略，同時通過安全掃描分析檢測出潛在的安全漏洞和配置風險，并提供修復建議。二是基于身份及服務(IDaaS)的技術理念，實現了云原生基礎設施權限的授予、解析、實施、撤銷等操作統一管理，并在多云環境中實施最小權限原則，以減少不合規的身份和訪問權限，持續修復訪問安全風險。三是構建可信計算防護體系，對云原生環境進行可信度量、可信記錄和可信報告，自動化監控分析用戶實體行為合規性，持續評估安全態勢。

2.云原生制品安全防護技術探索和實踐

云原生制品安全貫穿于云原生應用的全生命周期，盡早地發現安全問題并且及時解決安全威脅，將有助于進一步降低云原生安全運營成本，提升整體安全防護水平。光大銀行基于“安全左移”架構原則，將“安全”基因嵌入到軟件制品的全生命周期，積極應對云原生制品安全風險和挑戰。在云原生軟件設計開發和測試階段，結合靜態安全測試、動態安全測試、交互式安全測試等技術手段和工具平臺，不斷提高軟件代碼安全測試的效率和準確率。同時，通過建設全棧云制品庫平臺，對云原生制品的統一管理、安全掃描、訪問控制、同步分發、質量管控、安全溯源等安全管理，以高標準的“準入”+“準出”要求進行安全管控，實現云原生制品上線即安全，有效減少攻擊面，降低安全運營成本。

3.云原生網絡安全防護技術探索和實踐

光大銀行基于零信任安全建設思路，將微隔離安全能力內嵌融合于云平臺中，實現了從管控對象納管，到資產身份確認，再到細粒度訪問控制，都與云原生業務應用緊密一致。微隔離技術相比于傳統防火墻的隔離技術，一方面能夠針對業務身份角色和業務之間的關系，從業務視角更細粒度的實現微服務之間的訪問隔離，從而降低網絡攻擊的橫向移動；另一方面能夠自動化應對云原生應用和網絡的快速變化，自適應生成全新的訪問控制策略，在云工作負載中快速部署和生效。同時，結合微隔離系統跨平臺、跨集群的集約化管理能力，實現兩地多中心、多云架構的復雜數據中心場景下對容器、虛擬機、裸金屬多種類型工作負載的統一納管，為云原生網絡規模化擴展提供統一安全保障和有力支撐。

4.云原生應用安全防護技術探索和實踐

光大銀行針對云原生應用新的安全防護需求，通過建設云原生應用安全防護平臺，進一步提升容器逃逸攻擊、Web應用安全、API安全攻擊的檢測能力和主動防御能力。從攻擊流量識別、攻擊行為分析、智能防護策略和威脅情報分析等多個維度，擴展安全防護的廣度和深度。同時，在云原生API網關和服務網格等技術組件中內嵌API的鑒權、限流、加密和簽名等功能，進一步強化云原生安全能力，防止云原生應用API被濫用和篡改。

5.云原生數據安全防護技術探索和實踐

光大銀行基于數據分類分級安全防護原則，積極應對云原生數據被篡改、破壞、泄露或者非法獲取和利用的風險和挑戰。一是建設密鑰管理基礎設施和數據加密平臺，對重要數據進行加密保護，以確保重要數據的安全性。二是建設數據脫敏和數據防泄漏平臺，建立敏感數據屏蔽規范，實現敏感信息的統一管理，防止敏感信息泄露，保障個人隱私安全。三是建設多方安全計算平臺，保障數據流通安全，激發數據價值，為數據共享、數據開放、數據資產經營等探索實踐提供核心能力支撐。

三、未來展望

隨著云原生技術的發展和應用，云原生安全技術將持續演進升級，并與人工智能、大數據等技術深度融合，不斷提升安全防護智能化和精細化程度，同時結合威脅情報大數據更好地應對新型安全威脅。

未來，光大銀行將持續關注和研究云原生安全技術發展趨勢和最佳實踐，不斷夯實云原生安全基石，強化金融科技數字安全屏障，為客戶提供更加智能、便捷、安全的金融服務。