云原生技術以其高效穩定、快速響應的特點驅動引領企業的業務發展,成為企業數字業務應用創新的原動力。近幾年,以容器、微服務、DevOps、持續交付為代表的云原生技術正在被廣泛采納,已經有超過43%的國內用戶選擇在生產環境中使用云原生技術(2020年)。然而,云原生的特有屬性也帶來了容器架構防護、訪問控制、供應鏈、研發運營等領域全新的安全隱患和安全防護需求,包括服務實例應用周期變短增加監控和溯源難度、組件爆發式增長對應用防護能力提出更高要求、容器共享操作系統進程級隔離環境導致逃逸風險增加、獨立研發運營對軟件流轉的全鏈條安全帶來挑戰等。為此,麒麟軟件攜手探真科技,推出云原生安全聯合解決方案,幫助企業打造更安全的云原生環境,助力企業數字業務發展。
方案依托銀河麒麟高級服務器操作系統V10版本自主創新、內生安全的特性,為已經在銀河麒麟高級服務器操作系統V10版中部署開源容器平臺,或已部署容器運維平臺的企業提供全面的容器安全防護能力。通過與構建系統和鏡像倉庫集成,方案提供完整的鏡像掃描能力,同時配合可信鏡像、基礎鏡像體系及鏡像阻斷能力,實現容器鏡像全生命周期安全防護。在容器鏡像上線后的運行階段,針對已知威脅提供運行時安全檢測、主動防御(云原生蜜罐)機制,針對未知威脅提供容器偏移檢測及免疫防御能力。輔以人工智能技術和基于系統調用、網絡通信等方式智能聚合的事件分析技術,方案能夠大幅降低安全事件的數量,提高容器安全運維人員的工作效率,將更多的時間、精力聚焦在聚合后的安全事件上,協助用戶對安全事件進行分析、回溯,幫助企業保護云原生環境,提高業務的連續性、可靠性。
方案優勢
??搭載銀河麒麟高級服務器操作系統V10,適配自主創新軟硬件產品,與操作系統內核緊密集成,實時檢測容器內各種安全威脅,具備高安全性、高可用性、高靈活性、高可維護性等特點。
??具備大并發、分布式鏡像掃描能力,快速、高效的掃描企業容器環境中全部鏡像文件。
??堅持技術創新,獨創的自學習免疫防御、偏移防御、云原生蜜罐(主動防御)、基于鏡像簽名的可信鏡像體系。
??全開放 OpenAPI,支持容器伸縮策略,能夠方便的與企業內部流程平臺、運維平臺集成,用戶無需單獨登錄探真云原生安全平臺即可完成安全策略下發。
方案成果
通過前期的功能測試以及在實際容器環境場景中的各項功能檢測,云原生安全聯合解決方案在銀河麒麟高級服務器操作系統 V10中已經實現 100%功能遷移,其中鏡像安全掃描支持大并發及分布式掃描,在客戶環境中對數萬容器鏡像進行鏡像掃描測試時,平均掃描速度為4秒每鏡像,掃描速度、效率業內領先。可信鏡像安全分發功能并非傳統基于整個鏡像倉庫的信任機制,快速、高效的為每個容器鏡像進行獨立簽名(每鏡像簽名延時小于1秒),杜絕了黑客入侵或管理員違規操作將惡意鏡像直接傳入“可信鏡像倉庫”的尷尬局面,確保容器鏡像在復制、傳輸過程中不被篡改。
目前已有最大客戶案例中,已將30000 個容器服務器節點納入管理。方案可實現基于銀河麒麟高級服務器操作系統V10版的穩定常態化應用,助力銀河麒麟高級服務器操作系統V10版在各行業中提供穩定、可靠的容器服務支撐。
技術路線
以銀河麒麟高級服務器操作系統V10為支點,具備最優化的系統運行環境,提供更高的安全性。
??硬件:主流芯片架構服務器
??操作系統:銀河麒麟高級服務器操作系統 V10
??基礎軟件:國產容器運維平臺、Docker、Kubernetes等
??產品軟件:探真領航云原生安全解決方案、探真云原生憑證管理解決方案
方案應用場景
容器安全場景
針對容器安全場景,解決方案服務于以銀河麒麟高級服務器操作系統為基礎的容器PaaS平臺,融合操作系統基座與云原生產品特性,覆蓋容器全生命周期,內生安全,實現安全閉環。
??運行基礎
開發環境搭建:基于銀河麒麟高級服務器操作系統V10版本構建容器化開發環境,支持容器集群化管理,適配主流芯片架構產品,改進容器產品與國產化CPU平臺內部通信技術,提升容器執行效率和響應速度。
??安全左移?
容器上線前:能夠與構建系統和鏡像倉庫集成,提供完整的鏡像掃描能力,同時配合可信鏡像安全分發(每個鏡像獨立簽名)、基礎鏡像體系及鏡像阻斷能力,實現容器鏡像全生命周期安全防護。
??運行時安全
容器上線后:在容器鏡像上線后的運行階段,針對已知威脅提供運行時安全檢測、主動防御(云原生蜜罐)機制,針對未知威脅提供探真專利的容器偏移檢測及免疫防御能力。
??容器網絡安全?
網絡隔離與控制:提供靈活的容器網絡隔離策略,支持基于資源(POD)、資源組、命名空間、宿主機等隔離方式,同時支持多租戶。在配置策略時,探真創新的提供了可視化策略輔助工具,進一步降低管理員在配置隔離策略時的出錯可能性。??
??分析與處置?
威脅溯源及分析:加入人工智能算法,基于系統調用、網絡通信等方式智能聚合的事件分析技術,實現云原生環境下的容器安全風險管理閉環。
憑證管理場景
對于用戶在開發和運維階段在企業憑證管理的需求,解決方案同時適用于傳統數據中心環境及云原生環境部署,全面解決企業憑證管理問題:
??科技自主創新:基于銀河麒麟高級服務器操作系統和探真云原生憑證管理產品,適配主流國產化軟硬件產品,科技自主創新。
??防范憑證泄露:方案可內嵌在企業程序代碼、腳本應用中,為其融入憑證管理能力,規避了由于人員疏忽造成在同步程序代碼或分發應用代碼時登錄憑證泄露的可能性。
??解決授權混亂:幫助用戶回收管理到期授權憑證,防止內部憑證泄露,杜絕被遺忘應用和腳本被黑客竊取憑證的可能性。
??統一接入:提供全功能API集成,在企業IT管理流程、運維流程中融入憑證管理能力,簡化管理、提高效率。
??統一管理、統一審計:支持多數據中心、多云等復雜環境,解決云服務商密鑰管理系統(KMS)無法管理企業本地數據中心、多云環境中業務憑證的尷尬局面,并提供全面的憑證使用審計信息。
麒麟軟件致力于打造中國操作系統核心力量,在推動國產生態發展上,始終堅持合作共贏,伙伴共生,與產業鏈上下游伙伴協同發展,形成了自己的“方法論”。目前,麒麟軟件還牽頭各家合作廠商打造以技術自主、穩定可靠、內生安全的銀河麒麟高級服務器操作系統V10版為基石,面向容器架構的全生命周期解決方案,實現容器鏡像威脅掃描,安全合規檢查,運行時入侵防御,資產風險自動發現與智能事件分析、容器偏移檢測、容器免疫防護、智能微隔離等功能。幫助企業快速安全擁抱云原生,打造云原生安全閉環。同時,方案還能夠解決企業中常見的登錄憑證(用戶、密碼、密鑰、證書等)內嵌在程序代碼、環境變量、配置文件等問題。針對登錄憑證分散存儲在各應用組件及云服務商秘鑰管理中心造成管理混亂、難以審計、授權繁瑣、憑證易泄露等難題,提供簡單、易用的憑證統一管理平臺。
伙伴簡介
北京探真科技有限公司成立于2020年7月,專注于提供全棧內生的云原生安全解決方案,在云場景威脅日益復雜的環境下,讓企業充分釋放云原生優勢,實現云上資產、應用、數據全生命周期安全,護航企業數字化轉型。憑借自身過硬的安全技術實力、創新的技術理念以及豐富的實踐經驗,解決方案入選《2021年網絡安全產融創新發展報告》典型案例,先后獲得2021安全創客匯總決賽全國總冠軍、第六屆“創客中國”網絡安全賽道一等獎、廠商數字化轉型優秀解決方案、CSA 2021年安全創新獎、CSDN 2021年度創新解決方案等多項大獎。
來? ? 源 | 產品與生態中心
審? ? 核 | 市場與政府事務部
