涨姿势,这两个容器案例中的漏洞问题值得安全人关注
2022-8-31 08:2:18 Author: ChaMd5安全团队(查看原文) 阅读量:7 收藏

云原生化成为企业数字化转型的高效方式,各大行业开始加速云原生化步伐。我们今天通过金融和制造业行业的两大实战案例,来看企业如何做好云原生全生命周期的安全,保护系统安全,降低安全风险。

由于云原生环境的复杂性,青藤基于在云原生安全、容器安全领域的研究,发布了《云原生环境下,如何打造一站式容器安全》,感兴趣的读者可以扫码下载电子版方案。

扫码获取完整版

《云原生环境下,如何打造一站式容器安全》

该报告主要包括镜像漏洞和合规性问题、保护镜像仓库的安全、容器运行时保护、编排问题、保护主机操作系统等容器安全挑战,以及阐述了从几大安全措施方面来重点保护容器主机安全、保护容器网络流量安全、保护容器应用的安全、保护容器管理技术堆栈、保护构建管道的完整性等安全。

案例一

云原生安全落地实践,助力制造业业务创新升级

采用先进的云原生技术,有助于提升企业整体业务的敏捷性,加速为业务创新创造更多的新机会。为了解决云原生安全带来的新挑战,提高应用服务全生命周期安全管理效率,国内某制造业企业通过青藤蜂巢·云原生安全平台,实现了这一目标。

1

案例背景

该企业是国内领先的智能生活服务解决方案提供商,服务于衣、食、住等智慧生活场景,在制造业领域发展至今,已经拥有上百个制造中心和上万名员工,为全球用户提供个性化的智慧生活,在行业拥有极高的知名度。

值得关注的是,该企业是制造业领域最早一批落地云原生化的企业之一,该企业成功实施云原生,成为制造业及其他行业云原生化的样板工程。

2

制造业云原生环境洞察

伴随着分布式云计算的兴起,传统制造业向服务化转型,从劳动密集型工厂模式向技术驱动的智能制造模式转型,制造业业务面临融合创新升级。在产业数字化转型升级的过程中, IT业务关系和基础技术架构也发生着转变。

一方面,该制造业企业拥有众多开发人员,虽然下设有独立的数据中心,但是数据中心的资源无法实现弹性供给,资源利用率低,同时,该企业的业务应用场景极为复杂且生命周期持续变短,业务数字化的需求呈现激增之势。

另一方面,该制造业企业的产品更新迭代频率变快,这对于产品创新化、生产智能化、服务敏捷化等提出了更高的要求。

针对这些痛点,需要用新技术手段解决。为了满足不断变化的用户期望,跟上下一阶段的增长需求和更安全的构建应用的需要,该制造业企业决定将IT基础设施向云端转移,采用敏捷的DevOps流程实现高效率的开发运维,利用容器等云原生技术更快的构建和部署应用程序,踏上了云原生安全之路。

3

云原生安全最佳实践

云原生为该制造业企业的业务创造了便利条件,但是云原生引入了众多新的安全问题,安全问题不可忽视,这就要求企业在云原生开发过程中,要将安全保护嵌入每一个环节。该制造业企业希望能构建起一个全新的云原生安全架构防护体系,经过一段时期的调研,在评估了多个开源类的企业安全产品后,该制造业企业最终选择了青藤蜂巢·云原生安全产品。

凭借对制造业企业业务应用场景和安全运营场景的深刻洞察,青藤能够从制造业企业的自身业务特性出发,给出整体的安全评估,从而打造可信赖的安全平台和服务应用容器化全栈场景解决方案,做到了真正实现容器安全的全生命周期防护和持续的监控和分析,实现预测、防御、检测和响应的安全闭环。

青藤蜂巢为该制造业企业解决了在测试环境、预发布环境、生产环境等场景下的安全防护问题,助力企业在“构建阶段”实现“上线即安全”,在“运行时阶段”实现“完全自适应”,最终取得了明显的成效。

构建安全

该制造业希望支持更安全的代码构建,从而为容器镜像安全提供可见性,这就要求在软件开发生命周期的早期便发现安全问题。青藤的蜂巢产品为该企业提供了全面的、早期的安全问题检测服务,集合镜像深度检查、漏洞扫描、动态威胁分析等能力,在前期完成镜像安全扫描和已知漏洞的修复等,保证镜像进入生产环境后的安全,使得在应用部署前能有效减少攻击面。


运行时安全

在运行时阶段,基于零信任模型,实现自适应安全。青藤的蜂巢产品为该制造业企业的容器工作负载也提供了安全防护,比如漏洞利用防护、微隔离、风险检测、恶意软件扫描、安全响应等,全面对容器进行持续的监控,分析可视化容器的运行状态,帮助企业安全人员了解运行容器、容器内运行应用等,实现精准检测,阻止攻击。

除此之外,青藤的蜂巢产品更好地从国家等保等要求出发,率先为某制造业企业创建基线扫描,使基线检查结果可视化呈现,同时配置K8s集群,保护K8s安全,在符合安全合规的前提下能更好的构建安全和运行时安全。

总结来看,该制造业企业通过青藤的蜂巢产品体验到了高效的云原生安全服务,实现了多种功能:合规检测的细化数据报告,自查整改;防止漏洞在云原生环境中的运行,确保了容器镜像的完整性;基于零信任模型,保护了容器运行时的安全等。

4

云原生安全实践价值

从提高业务敏捷性到简化业务流程,某企业用不足1个月的时间将上万台服务器顺利迁移到了云原生环境当中,真正体会到了云原生环境中开发运营的优势。通过采用云原生架构,部署青藤蜂巢产品,为某制造业企业的数字化创新提供了坚实的基础支撑,最大限度的减少了安全瓶颈的发生频率。

  • 对于开发团队而言,提升了开发效率和交付质量,缩短了交付周期,在上线前期更有效的保护代码的安全。

  • 对于运维团队而言,IT支持服务的持续标准化和自动化减少了基础设施供应时间,实现了快速构建和部署,具备了基础设施的解耦和弹性伸缩能力,降低了运维成本,实现了数字化的安全运维。

  • 对于业务团队而言,业务需求能够更快速的得到响应和实现,缩短了业务周期,从而能够进一步优化客户体验,实现用户价值和云上业务安全的构建。

  • 对于安全团队而言,可以借助更高效的安全工具和产品,有效的处理安全事件,将安全事件发生的频次降到最低。

最终,该制造业企业的云原生环境部署涉及到业务系统100余个,应用600余个,服务2100余个,真正实现了系统端到端的云原生化和生产环境的稳定运行与快速扩容,提高了应用服务生命周期管理效率,建立起了一个立体的、有效的防护体系。

随着技术架构的升级,云原生在行业的应用范围还将会不断扩大。制造业转型升级恰逢其时,青藤作为云原生安全的先行者,其蜂巢产品与服务支持了包括制造业、电信运营商、互联网、金融等众多行业在内的云原生安全体系建设,接下来还将会持续赋能企业业务创新,推动云原生快速落地实践。

案例二

为基于K8S的云原生应用提供安全保障

1

客户概述

该客户是中国顶尖的金融机构之一,在全球范围内拥有大量的客户,作为中国金融改革的试验田,一直以来都在持续推进金融和科技的深度融合,通过金融科技驱动业务向数字化和智能化快速发展。近年来,该金融机构全面深化技术架构转型,大力发展云计算、云原生应用等自研技术体系的建设,被认为是中国金融科技领导者。

2

安全挑战

随着云计算不断发展,云原生技术日趋成熟,云基础设施的重大变化带来研发场景、软件生产模式的一系列变革。与此同时,中国人民银行出台的《金融科技(Fin-Tech)发展规划(2019-2021年)》提出合理布局云计算,统筹规划云计算在金融领域的应用的指导建议。

在此背景之下,该客户积极构建金融级云原生分布式架构,为业务发展提供安全、稳定、高效和敏捷的基础设施能力,迎接云原生时代的到来。该金融机构通过采用容器技术以及云原生方法进行业务开发。它的敏捷开发管道是使用Jenkins进行持续集成管理,构建了Harbor私有镜像仓库保存容器镜像,通过K8S进行运行和协调。

容器为该金融机构提供了绝佳的运行环境,通过容器化部署,该金融机构的云原生环境运行效率得到了极大提高,其容器规模6000个,宿主机600个,容器集群数量30个,1个集群涵盖20个node节点。通过采用多集群的统一管理方式,极大地提高了该机构的生产效率。

由于金融机构有大量敏感的数据,因此最重要的问题是满足国家和金融行业强监管的合规要求,必要能做到完全可视和安全控制。基于开发的敏捷性和广泛性的使用要求,客户希望青藤的云原生安全能力可以贯穿保护开发管道和运行阶段安全,以便能够在生产环境中出现风险之前及时发现,及时解决。

客户云安全团队强调:“从安全和合规的角度来看,我们希望能够对云原生应用程序的全生命周期都拥有细粒度的可见性,希望能够在发现漏洞或攻击时能够进行细粒度的管理。”

3

解决方案

该金融机构对市场上所有领先的云原生安全解决方案供应商进行了详细地调查,最终选择了青藤云安全。因为青藤符合要求,能够确保从开发到生产的整个生命周期的安全,有着先进的安全功能融合能力,以及广泛的平台支持。

“我们需要严格控制环境,注重预防措施和最小权限的执行。这才能使得我们能够快速地发现那些未经授权的访问或攻击活动”。

基于青藤蜂巢·云原生安全解决方案,该金融机构很快就能根据最佳实践保护要求建立完整的安全机制,对整个云原生生命周期进行控制。

青藤的云原生解决方案提供了关键作用,主要体现在以下几个方面:

  • 在镜像构建阶段提供Jenkins扫描插件,确保容器镜像的安全,一旦发现有漏洞等风险,可为开发人员提供即时反馈,以便快速解决。

  • 监控Kubernetes和容器运行环境的可疑行为,并确保容器不偏离其原始镜像。

  • 紧跟监管政策,不断推出CIS标准、行业监管要求对应的基线。企业可使用该合规基线模块,一键自动化进行检测,并可视化基线检查结果,根据产品提供的修复建议进行修复,满足监管要求。

“我们最认可青藤的一点是青藤支持广泛的平台,使我们能够灵活地选择应用程序的运行方式。”

4

方案价值

通过使用青藤的云原生安全平台,确保了客户既可以获得DevOps开发带来的高效性,又不会引入不必要的风险。此外,青藤蜂巢·云原生安全平台能够实现对Kubernetes生产技术栈的可见性,能够确保其安全性:

  • 在开发的早期阶段发现问题,确保能够快速补救,避免在生产中出现安全事故。

  • 监测所有对其容器化环境的未授权访问。

  • 确保云原生应用满足安全监管的合规要求,实时识别和防止违规行为的发生。

青藤蜂巢·云原生安全平台已经为众多行业提供了云原生安全保护,取得了行业的高度认可。未来,青藤还将持续在云原生安全领域打造更多经典案例,守护云原生安全。

如果您有关于云原生安全方面的任何问题,欢迎致电400-188-9287转1,或直接扫描下方二维码,领取《云原生环境下,如何打造一站式容器安全》。您也可以点击“阅读原文”免费申请试用青藤的容器安全产品或更多行业案例~

扫码下载《云原生环境下,如何打造一站式容器安全》


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzMTc1MjExOQ==&mid=2247506757&idx=1&sn=76d382cd6bb0694cfd07f3b1019d163e&chksm=e89df39ddfea7a8bcbbf275b290b4109165d84bc40b5cbdbcc926ccb7e2b843c0d6d83375679#rd
如有侵权请联系:admin#unsafe.sh