綠盟科技榮獲2022安全樣板工程(云原生安全)
當前,數字化、網絡化、智能化成為數字經濟時代發展的重要特征。與此同時,網絡安全也在向體系化、常態化、實戰化方向邁進,網絡安全建設正從產品驅動向服務驅動轉變。在此背景下,《網絡安全和信息化》雜志推出“2022安全樣板工程”系列專題,通過樣板案例展示,向廣大企業用戶推介網絡安全建設思路和經驗,提升企業網絡安全防護能力,更好地護航數字經濟發展。綠盟科技5G邊緣計算云原生安全保護方案成功入選2022安全樣板工程(云原生安全)。
5G邊緣計算帶來高性能、低時延與高帶寬的電信級服務環境,為各類行業應用帶來更多可能。5G邊緣計算廣泛采用以容器為代表的云原生技術,但是容器和容器編排平臺(Kubernetes)等云原生技術應用也為邊緣計算帶來新的安全挑戰。
1.應用安全。邊緣計算節點利用容器承載著第三方的多種行業應用,然而這些行業應用和API可能會在開發和設計過程中引入漏洞。這些漏洞通過鏡像快速交付到邊緣節點,一旦運行將會被攻擊,造成數據泄露,甚至是過渡耗費邊緣節點有限的資源。
2.網絡安全。各類行業應用提供服務,多類型和大量的設備接入,將會增加邊緣計算節點的暴露面,更易被攻擊。如果單個應用的組件之間未做好隔離,一旦組件被攻擊,將會造成組件間的橫向攻擊,甚至造成邊緣計算節點被攻擊,危及更多應用。
3.基礎設施安全。邊緣計算節點使用Kubernetes來運行邊緣計算平臺和行業應用。因Kubernetes或容器運行時未實施正確配置而造成的攻擊層出不窮,必須要正確維護Kubernetes和運行時的配置基線。
4.分散管理。邊緣計算節點分布在多個機房,涉及多個運營方和責任方,對安全提出了更高的要求。邊緣計算平臺或各應用的組件未及時升級,會導致漏洞利用。安全設備的部署方式和各設備的分散管理模式,會增加運維工作量。
部署過程
綠盟科技秉承持續檢測的安全理念,提出5G邊緣計算云原生安全保護方案。本方案依托云原生容器安全平臺,對行業應用的鏡像、網絡、應用和基礎環境等進行全方位和全生命周期的檢測和分析。在集中部署的安全平臺中,統一和直觀展示各邊緣節點的安全風險,并通過容器化交付安全能力,接入到邊緣計算節點中,最終為邊緣計算提供貼身的安全保護。架構如下圖所示。
1.多節點統一安全管理
本方案集中部署一套云原生容器安全平臺,統一管理分布式部署在各邊緣節點中的云原生安全能力,集中呈現各節點的安全風險,降低邊緣節點的安全管理量,從而可以快速發現問題和處置問題。云原生安全管理平臺支持細粒度權限管理,可以為邊緣節點的運營方和行業應用方劃分不同權限,幫助其履行各自安全職責。
2.容器化部署易管理
本方案所采用的云原生容器安全平臺,實現容器化部署,支持將平臺和各安全能力打包成容器鏡像,快速和自動地交付到邊緣計算節點中,當安全能力不足時,自動化進行擴展,兼容Kubernetes和Docker等多種云原生環境,降低了對邊緣節點的云原生環境影響。同時,平臺通過容器交付,可以被Kubernetes等編排工具進行監控,更加安全。
3.全方位和全時安全防護
本方案提供了鏡像安全掃描、運行時保護和基礎設施配置核查等能力。當行業應用上線時,自動進行鏡像檢測,可以發現軟件漏洞和敏感信息,實現“有問題、不上線”。應用上線后,對應用的組件進行微隔離,檢測組件間的網絡入侵行為和應用層攻擊,及時阻止組件間的攻擊;對行業應用容器的運行時進行檢測,及時發現異常行為和零日攻擊。同時,本方案會對Kubernetes和Docker等基礎組件進行合規性檢測,消除不安全配置。最終,本方案對行業應用的鏡像、運行時、網絡以及容器軟件和編排工具等組件,進行全訪問和全生命周期的防護。
4.持續研發增強安全能力
綠盟科技一直在進行云原生領域的安全研究,孵化了多款云安全產品,開源了云原生開源靶場,提供云原生環境的資產風險測繪能力。本方案通過威脅情報,將這些研究成果和情報信息,持續同步到云原生容器安全平臺,增強云原生安全能力,從而快速發現邊緣節點的云原生安全問題,提升惡意代碼、漏洞檢測等安全防護效果。
實施效果與經驗價值
1.構建安全邊緣計算,保護行業應用
通過鏡像掃描和流量威脅檢測組件,提升容器網絡安全能力,覆蓋邊緣計算和行業應用的各組件和全生命周期安全檢測需求,持續轉化云原生安全攻防研究成果,提供7×24小時持續專業容器安全運營服務,保障邊緣計算中的行業應用安全。
2.統一安全管理,提升管理效率
通過集中的云原生容器安全平臺,統一進行安全狀態展示和安全事件處置,提升安全發現和處置效率;監控各安全能力的運行狀態,當安全能力無法滿足防護需求時,自動擴展安全能力;與邊緣計算環境對接,持續檢測鏡像更新和業務節點數量,當新增鏡像和邊緣節點時,快速掃描和快速部署安全能力,最快發現鏡像風險和保護邊緣節點,運維效率提升50%以上。
3.安全容器化交付,降低環境影響
云原生容器安全平臺各組件以鏡像方式交付和容器化運行,嚴格限制容器的權限,防止容器權限過大,間接影響行業應用運行;與邊緣計算環境的Kubernetes對接,控制和監控容器的資源閾值,不會過度占用邊緣節點資源,進一步降低對行業應用的影響。
