懶人想入門云原生安全?建議先看這兩個行業案例
云原生化成為企業數字化轉型的高效方式,各大行業開始加速云原生化步伐。我們今天通過金融和制造業行業的兩大實戰案例,來看企業如何做好云原生全生命周期的安全,保護系統安全,降低安全風險。
由于云原生環境的復雜性,青藤基于在云原生安全、容器安全領域的研究,發布了《云原生環境下,如何打造一站式容器安全》,感興趣的讀者可以掃碼下載電子版方案。
該報告主要包括鏡像漏洞和合規性問題、保護鏡像倉庫的安全、容器運行時保護、編排問題、保護主機操作系統等容器安全挑戰,以及闡述了從幾大安全措施方面來重點保護容器主機安全、保護容器網絡流量安全、保護容器應用的安全、保護容器管理技術堆棧、保護構建管道的完整性等安全。
案例一:云原生安全落地實踐,助力制造業業務創新升級
采用先進的云原生技術,有助于提升企業整體業務的敏捷性,加速為業務創新創造更多的新機會。為了解決云原生安全帶來的新挑戰,提高應用服務全生命周期安全管理效率,國內某制造業企業通過青藤蜂巢·云原生安全平臺,實現了這一目標。
1、案例背景
該企業是國內領先的智能生活服務解決方案提供商,服務于衣、食、住等智慧生活場景,在制造業領域發展至今,已經擁有上百個制造中心和上萬名員工,為全球用戶提供個性化的智慧生活,在行業擁有極高的知名度。
值得關注的是,該企業是制造業領域最早一批落地云原生化的企業之一,該企業成功實施云原生,成為制造業及其他行業云原生化的樣板工程。
2、制造業云原生環境洞察
伴隨著分布式云計算的興起,傳統制造業向服務化轉型,從勞動密集型工廠模式向技術驅動的智能制造模式轉型,制造業業務面臨融合創新升級。在產業數字化轉型升級的過程中, IT業務關系和基礎技術架構也發生著轉變。
一方面,該制造業企業擁有眾多開發人員,雖然下設有獨立的數據中心,但是數據中心的資源無法實現彈性供給,資源利用率低,同時,該企業的業務應用場景極為復雜且生命周期持續變短,業務數字化的需求呈現激增之勢。
另一方面,該制造業企業的產品更新迭代頻率變快,這對于產品創新化、生產智能化、服務敏捷化等提出了更高的要求。
針對這些痛點,需要用新技術手段解決。為了滿足不斷變化的用戶期望,跟上下一階段的增長需求和更安全的構建應用的需要,該制造業企業決定將IT基礎設施向云端轉移,采用敏捷的DevOps流程實現高效率的開發運維,利用容器等云原生技術更快的構建和部署應用程序,踏上了云原生安全之路。
3、云原生安全最佳實踐
云原生為該制造業企業的業務創造了便利條件,但是云原生引入了眾多新的安全問題,安全問題不可忽視,這就要求企業在云原生開發過程中,要將安全保護嵌入每一個環節。該制造業企業希望能構建起一個全新的云原生安全架構防護體系,經過一段時期的調研,在評估了多個開源類的企業安全產品后,該制造業企業最終選擇了青藤蜂巢·云原生安全產品。
憑借對制造業企業業務應用場景和安全運營場景的深刻洞察,青藤能夠從制造業企業的自身業務特性出發,給出整體的安全評估,從而打造可信賴的安全平臺和服務應用容器化全棧場景解決方案,做到了真正實現容器安全的全生命周期防護和持續的監控和分析,實現預測、防御、檢測和響應的安全閉環。
青藤蜂巢為該制造業企業解決了在測試環境、預發布環境、生產環境等場景下的安全防護問題,助力企業在“構建階段”實現“上線即安全”,在“運行時階段”實現“完全自適應”,最終取得了明顯的成效。
構建安全
該制造業希望支持更安全的代碼構建,從而為容器鏡像安全提供可見性,這就要求在軟件開發生命周期的早期便發現安全問題。青藤的蜂巢產品為該企業提供了全面的、早期的安全問題檢測服務,集合鏡像深度檢查、漏洞掃描、動態威脅分析等能力,在前期完成鏡像安全掃描和已知漏洞的修復等,保證鏡像進入生產環境后的安全,使得在應用部署前能有效減少攻擊面。
運行時安全
在運行時階段,基于零信任模型,實現自適應安全。青藤的蜂巢產品為該制造業企業的容器工作負載也提供了安全防護,比如漏洞利用防護、微隔離、風險檢測、惡意軟件掃描、安全響應等,全面對容器進行持續的監控,分析可視化容器的運行狀態,幫助企業安全人員了解運行容器、容器內運行應用等,實現精準檢測,阻止攻擊。
除此之外,青藤的蜂巢產品更好地從國家等保等要求出發,率先為某制造業企業創建基線掃描,使基線檢查結果可視化呈現,同時配置K8s集群,保護K8s安全,在符合安全合規的前提下能更好的構建安全和運行時安全。
總結來看,該制造業企業通過青藤的蜂巢產品體驗到了高效的云原生安全服務,實現了多種功能:合規檢測的細化數據報告,自查整改;防止漏洞在云原生環境中的運行,確保了容器鏡像的完整性;基于零信任模型,保護了容器運行時的安全等。
4、云原生安全實踐價值
從提高業務敏捷性到簡化業務流程,某企業用不足1個月的時間將上萬臺服務器順利遷移到了云原生環境當中,真正體會到了云原生環境中開發運營的優勢。通過采用云原生架構,部署青藤蜂巢產品,為某制造業企業的數字化創新提供了堅實的基礎支撐,最大限度的減少了安全瓶頸的發生頻率。
● 對于開發團隊而言,提升了開發效率和交付質量,縮短了交付周期,在上線前期更有效的保護代碼的安全。
● 對于運維團隊而言,IT支持服務的持續標準化和自動化減少了基礎設施供應時間,實現了快速構建和部署,具備了基礎設施的解耦和彈性伸縮能力,降低了運維成本,實現了數字化的安全運維。
● 對于業務團隊而言,業務需求能夠更快速的得到響應和實現,縮短了業務周期,從而能夠進一步優化客戶體驗,實現用戶價值和云上業務安全的構建。
● 對于安全團隊而言,可以借助更高效的安全工具和產品,有效的處理安全事件,將安全事件發生的頻次降到最低。
最終,該制造業企業的云原生環境部署涉及到業務系統100余個,應用600余個,服務2100余個,真正實現了系統端到端的云原生化和生產環境的穩定運行與快速擴容,提高了應用服務生命周期管理效率,建立起了一個立體的、有效的防護體系。
隨著技術架構的升級,云原生在行業的應用范圍還將會不斷擴大。制造業轉型升級恰逢其時,青藤作為云原生安全的先行者,其蜂巢產品與服務支持了包括制造業、電信運營商、互聯網、金融等眾多行業在內的云原生安全體系建設,接下來還將會持續賦能企業業務創新,推動云原生快速落地實踐。
案例分享二:為基于K8S的云原生應用提供安全保障
1、客戶概述
該客戶是中國頂尖的金融機構之一,在全球范圍內擁有大量的客戶,作為中國金融改革的試驗田,一直以來都在持續推進金融和科技的深度融合,通過金融科技驅動業務向數字化和智能化快速發展。近年來,該金融機構全面深化技術架構轉型,大力發展云計算、云原生應用等自研技術體系的建設,被認為是中國金融科技領導者。
2、安全挑戰
隨著云計算不斷發展,云原生技術日趨成熟,云基礎設施的重大變化帶來研發場景、軟件生產模式的一系列變革。與此同時,中國人民銀行出臺的《金融科技(Fin-Tech)發展規劃(2019-2021年)》提出合理布局云計算,統籌規劃云計算在金融領域的應用的指導建議。
在此背景之下,該客戶積極構建金融級云原生分布式架構,為業務發展提供安全、穩定、高效和敏捷的基礎設施能力,迎接云原生時代的到來。該金融機構通過采用容器技術以及云原生方法進行業務開發。它的敏捷開發管道是使用Jenkins進行持續集成管理,構建了Harbor私有鏡像倉庫保存容器鏡像,通過K8S進行運行和協調。
容器為該金融機構提供了絕佳的運行環境,通過容器化部署,該金融機構的云原生環境運行效率得到了極大提高,其容器規模6000個,宿主機600個,容器集群數量30個,1個集群涵蓋20個node節點。通過采用多集群的統一管理方式,極大地提高了該機構的生產效率。
由于金融機構有大量敏感的數據,因此最重要的問題是滿足國家和金融行業強監管的合規要求,必要能做到完全可視和安全控制。基于開發的敏捷性和廣泛性的使用要求,客戶希望青藤的云原生安全能力可以貫穿保護開發管道和運行階段安全,以便能夠在生產環境中出現風險之前及時發現,及時解決。
客戶云安全團隊強調:“從安全和合規的角度來看,我們希望能夠對云原生應用程序的全生命周期都擁有細粒度的可見性,希望能夠在發現漏洞或攻擊時能夠進行細粒度的管理。”
3、解決方案
該金融機構對市場上所有領先的云原生安全解決方案供應商進行了詳細地調查,最終選擇了青藤云安全。因為青藤符合要求,能夠確保從開發到生產的整個生命周期的安全,有著先進的安全功能融合能力,以及廣泛的平臺支持。
“我們需要嚴格控制環境,注重預防措施和最小權限的執行。這才能使得我們能夠快速地發現那些未經授權的訪問或攻擊活動”。
基于青藤蜂巢·云原生安全解決方案,該金融機構很快就能根據最佳實踐保護要求建立完整的安全機制,對整個云原生生命周期進行控制。
青藤的云原生解決方案提供了關鍵作用,主要體現在以下幾個方面:
? 在鏡像構建階段提供Jenkins掃描插件,確保容器鏡像的安全,一旦發現有漏洞等風險,可為開發人員提供即時反饋,以便快速解決。
? 監控Kubernetes和容器運行環境的可疑行為,并確保容器不偏離其原始鏡像。
? 緊跟監管政策,不斷推出CIS標準、行業監管要求對應的基線。企業可使用該合規基線模塊,一鍵自動化進行檢測,并可視化基線檢查結果,根據產品提供的修復建議進行修復,滿足監管要求。
“我們最認可青藤的一點是青藤支持廣泛的平臺,使我們能夠靈活地選擇應用程序的運行方式。”
4、方案價值
通過使用青藤的云原生安全平臺,確保了客戶既可以獲得DevOps開發帶來的高效性,又不會引入不必要的風險。此外,青藤蜂巢·云原生安全平臺能夠實現對Kubernetes生產技術棧的可見性,能夠確保其安全性:
? 在開發的早期階段發現問題,確保能夠快速補救,避免在生產中出現安全事故。
? 監測所有對其容器化環境的未授權訪問。
? 確保云原生應用滿足安全監管的合規要求,實時識別和防止違規行為的發生。
青藤蜂巢·云原生安全平臺已經為眾多行業提供了云原生安全保護,取得了行業的高度認可。未來,青藤還將持續在云原生安全領域打造更多經典案例,守護云原生安全。
