云原生技术以其高效稳定、快速响应的特点驱动引领企业的业务发展,成为企业数字业务应用创新的原动力。近几年,以容器、微服务、DevOps、持续交付为代表的云原生技术正在被广泛采纳,已经有超过43%的国内用户选择在生产环境中使用云原生技术(2020年)。然而,云原生的特有属性也带来了容器架构防护、访问控制、供应链、研发运营等领域全新的安全隐患和安全防护需求,包括服务实例应用周期变短增加监控和溯源难度、组件爆发式增长对应用防护能力提出更高要求、容器共享操作系统进程级隔离环境导致逃逸风险增加、独立研发运营对软件流转的全链条安全带来挑战等。为此,麒麟软件携手探真科技,推出云原生安全联合解决方案,帮助企业打造更安全的云原生环境,助力企业数字业务发展。
方案依托银河麒麟高级服务器操作系统V10版本自主创新、内生安全的特性,为已经在银河麒麟高级服务器操作系统V10版中部署开源容器平台,或已部署容器运维平台的企业提供全面的容器安全防护能力。通过与构建系统和镜像仓库集成,方案提供完整的镜像扫描能力,同时配合可信镜像、基础镜像体系及镜像阻断能力,实现容器镜像全生命周期安全防护。在容器镜像上线后的运行阶段,针对已知威胁提供运行时安全检测、主动防御(云原生蜜罐)机制,针对未知威胁提供容器偏移检测及免疫防御能力。辅以人工智能技术和基于系统调用、网络通信等方式智能聚合的事件分析技术,方案能够大幅降低安全事件的数量,提高容器安全运维人员的工作效率,将更多的时间、精力聚焦在聚合后的安全事件上,协助用户对安全事件进行分析、回溯,帮助企业保护云原生环境,提高业务的连续性、可靠性。
方案优势
• 搭载银河麒麟高级服务器操作系统V10,适配自主创新软硬件产品,与操作系统内核紧密集成,实时检测容器内各种安全威胁,具备高安全性、高可用性、高灵活性、高可维护性等特点。
• 具备大并发、分布式镜像扫描能力,快速、高效的扫描企业容器环境中全部镜像文件。
• 坚持技术创新,独创的自学习免疫防御、偏移防御、云原生蜜罐(主动防御)、基于镜像签名的可信镜像体系。
• 全开放 OpenAPI,支持容器伸缩策略,能够方便的与企业内部流程平台、运维平台集成,用户无需单独登录探真云原生安全平台即可完成安全策略下发。
方案成果
通过前期的功能测试以及在实际容器环境场景中的各项功能检测,云原生安全联合解决方案在银河麒麟高级服务器操作系统 V10中已经实现 100%功能迁移,其中镜像安全扫描支持大并发及分布式扫描,在客户环境中对数万容器镜像进行镜像扫描测试时,平均扫描速度为4秒每镜像,扫描速度、效率业内领先。可信镜像安全分发功能并非传统基于整个镜像仓库的信任机制,快速、高效的为每个容器镜像进行独立签名(每镜像签名延时小于1秒),杜绝了黑客入侵或管理员违规操作将恶意镜像直接传入“可信镜像仓库”的尴尬局面,确保容器镜像在复制、传输过程中不被篡改。
目前已有最大客户案例中,已将30000 个容器服务器节点纳入管理。方案可实现基于银河麒麟高级服务器操作系统V10版的稳定常态化应用,助力银河麒麟高级服务器操作系统V10版在各行业中提供稳定、可靠的容器服务支撑。
技术路线
以银河麒麟高级服务器操作系统V10为支点,具备最优化的系统运行环境,提供更高的安全性。
• 硬件:主流芯片架构服务器
• 操作系统:银河麒麟高级服务器操作系统 V10
• 基础软件:国产容器运维平台、Docker、Kubernetes等
• 产品软件:探真领航云原生安全解决方案、探真云原生凭证管理解决方案
方案应用场景
容器安全场景
针对容器安全场景,解决方案服务于以银河麒麟高级服务器操作系统为基础的容器PaaS平台,融合操作系统基座与云原生产品特性,覆盖容器全生命周期,内生安全,实现安全闭环。
• 运行基础
开发环境搭建:基于银河麒麟高级服务器操作系统V10版本构建容器化开发环境,支持容器集群化管理,适配主流芯片架构产品,改进容器产品与国产化CPU平台内部通信技术,提升容器执行效率和响应速度。
• 安全左移
容器上线前:能够与构建系统和镜像仓库集成,提供完整的镜像扫描能力,同时配合可信镜像安全分发(每个镜像独立签名)、基础镜像体系及镜像阻断能力,实现容器镜像全生命周期安全防护。
• 运行时安全
容器上线后:在容器镜像上线后的运行阶段,针对已知威胁提供运行时安全检测、主动防御(云原生蜜罐)机制,针对未知威胁提供探真专利的容器偏移检测及免疫防御能力。
• 容器网络安全
网络隔离与控制:提供灵活的容器网络隔离策略,支持基于资源(POD)、资源组、命名空间、宿主机等隔离方式,同时支持多租户。在配置策略时,探真创新的提供了可视化策略辅助工具,进一步降低管理员在配置隔离策略时的出错可能性。
• 分析与处置
威胁溯源及分析:加入人工智能算法,基于系统调用、网络通信等方式智能聚合的事件分析技术,实现云原生环境下的容器安全风险管理闭环。
凭证管理场景
对于用户在开发和运维阶段在企业凭证管理的需求,解决方案同时适用于传统数据中心环境及云原生环境部署,全面解决企业凭证管理问题:
• 科技自主创新:基于银河麒麟高级服务器操作系统和探真云原生凭证管理产品,适配主流国产化软硬件产品,科技自主创新。
• 防范凭证泄露:方案可内嵌在企业程序代码、脚本应用中,为其融入凭证管理能力,规避了由于人员疏忽造成在同步程序代码或分发应用代码时登录凭证泄露的可能性。
• 解决授权混乱:帮助用户回收管理到期授权凭证,防止内部凭证泄露,杜绝被遗忘应用和脚本被黑客窃取凭证的可能性。
• 统一接入:提供全功能API集成,在企业IT管理流程、运维流程中融入凭证管理能力,简化管理、提高效率。
• 统一管理、统一审计:支持多数据中心、多云等复杂环境,解决云服务商密钥管理系统(KMS)无法管理企业本地数据中心、多云环境中业务凭证的尴尬局面,并提供全面的凭证使用审计信息。
麒麟软件致力于打造中国操作系统核心力量,在推动国产生态发展上,始终坚持合作共赢,伙伴共生,与产业链上下游伙伴协同发展,形成了自己的“方法论”。目前,麒麟软件还牵头各家合作厂商打造以技术自主、稳定可靠、内生安全的银河麒麟高级服务器操作系统V10版为基石,面向容器架构的全生命周期解决方案,实现容器镜像威胁扫描,安全合规检查,运行时入侵防御,资产风险自动发现与智能事件分析、容器偏移检测、容器免疫防护、智能微隔离等功能。帮助企业快速安全拥抱云原生,打造云原生安全闭环。同时,方案还能够解决企业中常见的登录凭证(用户、密码、密钥、证书等)内嵌在程序代码、环境变量、配置文件等问题。针对登录凭证分散存储在各应用组件及云服务商秘钥管理中心造成管理混乱、难以审计、授权繁琐、凭证易泄露等难题,提供简单、易用的凭证统一管理平台。
伙伴简介
北京探真科技有限公司成立于2020年7月,专注于提供全栈内生的云原生安全解决方案,在云场景威胁日益复杂的环境下,让企业充分释放云原生优势,实现云上资产、应用、数据全生命周期安全,护航企业数字化转型。凭借自身过硬的安全技术实力、创新的技术理念以及丰富的实践经验,解决方案入选《2021年网络安全产融创新发展报告》典型案例,先后获得2021安全创客汇总决赛全国总冠军、第六届“创客中国”网络安全赛道一等奖、厂商数字化转型优秀解决方案、CSA 2021年安全创新奖、CSDN 2021年度创新解决方案等多项大奖。
来 源 | 产品与生态中心
审 核 | 市场与政府事务部