案例背景
采用先进的云原生技术,有助于提升企业整体业务的敏捷性,加速为业务创新创造更多的新机会。为了解决云原生安全带来的新挑战,提高应用服务全生命周期安全管理效率,国内某制造业企业通过青藤蜂巢·云原生安全平台,实现了这一目标。值得关注的是,该企业是制造业领域最早一批落地云原生化的企业之一,该企业成功实施云原生,成为制造业及其他行业云原生化的样板工程。
制造业云原生环境洞察
伴随着分布式云计算的兴起,传统制造业向服务化转型,从劳动密集型工厂模式向技术驱动的智能制造模式转型,制造业业务面临融合创新升级。在产业数字化转型升级的过程中, IT业务关系和基础技术架构也发生着转变。
一方面,该制造业企业拥有众多开发人员,虽然下设有独立的数据中心,但是数据中心的资源无法实现弹性供给,资源利用率低,同时,该企业的业务应用场景极为复杂且生命周期持续变短,业务数字化的需求呈现激增之势。
另一方面,该制造业企业的产品更新迭代频率变快,这对于产品创新化、生产智能化、服务敏捷化等提出了更高的要求。
针对这些痛点,需要用新技术手段解决。为了满足不断变化的用户期望,跟上下一阶段的增长需求和更安全的构建应用的需要,该制造业企业决定将IT基础设施向云端转移,采用敏捷的DevOps流程实现高效率的开发运维,利用容器等云原生技术更快的构建和部署应用程序,踏上了云原生安全之路。
云原生安全最佳实践
云原生为该制造业企业的业务创造了便利条件,但是云原生引入了众多新的安全问题,安全问题不可忽视,这就要求企业在云原生开发过程中,要将安全保护嵌入每一个环节。该制造业企业希望能构建起一个全新的云原生安全架构防护体系,经过一段时期的调研,在评估了多个开源类的企业安全产品后,该制造业企业最终选择了青藤蜂巢·云原生安全产品。
凭借对制造业企业业务应用场景和安全运营场景的深刻洞察,青藤能够从制造业企业的自身业务特性出发,给出整体的安全评估,从而打造可信赖的安全平台和服务应用容器化全栈场景解决方案,做到了真正实现容器安全的全生命周期防护和持续的监控和分析,实现预测、防御、检测和响应的安全闭环。
青藤蜂巢为该制造业企业解决了在测试环境、预发布环境、生产环境等场景下的安全防护问题,助力企业在“构建阶段”实现“上线即安全”,在“运行时阶段”实现“完全自适应”,最终取得了明显的成效。
l 构建安全
该制造业希望支持更安全的代码构建,从而为容器镜像安全提供可见性,这就要求在软件开发生命周期的早期便发现安全问题。青藤的蜂巢产品为该企业提供了全面的、早期的安全问题检测服务,集合镜像深度检查、漏洞扫描、动态威胁分析等能力,在前期完成镜像安全扫描和已知漏洞的修复等,保证镜像进入生产环境后的安全,使得在应用部署前能有效减少攻击面。
l 运行时安全
在运行时阶段,基于零信任模型,实现自适应安全。青藤的蜂巢产品为该制造业企业的容器工作负载也提供了安全防护,比如漏洞利用防护、微隔离、风险检测、恶意软件扫描、安全响应等,全面对容器进行持续的监控,分析可视化容器的运行状态,帮助企业安全人员了解运行容器、容器内运行应用等,实现精准检测,阻止攻击。
除此之外,青藤的蜂巢产品更好地从国家等保等要求出发,率先为某制造业企业创建基线扫描,使基线检查结果可视化呈现,同时配置K8s集群,保护K8s安全,在符合安全合规的前提下能更好的构建安全和运行时安全。
总结来看,该制造业企业通过青藤的蜂巢产品体验到了高效的云原生安全服务,实现了多种功能:合规检测的细化数据报告,自查整改;防止漏洞在云原生环境中的运行,确保了容器镜像的完整性;基于零信任模型,保护了容器运行时的安全等。
云原生安全实践价值
从提高业务敏捷性到简化业务流程,某企业用不足1个月的时间将上万台服务器顺利迁移到了云原生环境当中,真正体会到了云原生环境中开发运营的优势。通过采用云原生架构,部署青藤蜂巢产品,为某制造业企业的数字化创新提供了坚实的基础支撑,最大限度的减少了安全瓶颈的发生频率。
● 对于开发团队而言,提升了开发效率和交付质量,缩短了交付周期,在上线前期更有效的保护代码的安全。
● 对于运维团队而言,IT支持服务的持续标准化和自动化减少了基础设施供应时间,实现了快速构建和部署,具备了基础设施的解耦和弹性伸缩能力,降低了运维成本,实现了数字化的安全运维。
● 对于业务团队而言,业务需求能够更快速的得到响应和实现,缩短了业务周期,从而能够进一步优化客户体验,实现用户价值和云上业务安全的构建。
● 对于安全团队而言,可以借助更高效的安全工具和产品,有效的处理安全事件,将安全事件发生的频次降到最低。
最终,该制造业企业的云原生环境部署涉及到业务系统100余个,应用600余个,服务2100余个,真正实现了系统端到端的云原生化和生产环境的稳定运行与快速扩容,提高了应用服务生命周期管理效率,建立起了一个立体的、有效的防护体系。
随着技术架构的升级,云原生在行业的应用范围还将会不断扩大。制造业转型升级恰逢其时,青藤作为云原生安全的先行者,其蜂巢产品与服务支持了包括制造业、电信运营商、互联网、金融等众多行业在内的云原生安全体系建设,接下来还将会持续赋能企业业务创新,推动云原生快速落地实践。
青藤云安全在云原生安全方向走在了行业的最前沿。比如:参与信通院牵头的国内首个“云原生能力成熟度标准体系”发布,并在《云原生能力成熟度模型 第3部分:架构安全》中为企业云原生安全建设提供指导;受邀参与《云原生架构安全白皮书》。青藤蜂巢·云原生平台更是屡获重要荣誉奖项,包括荣获中国信息通信研究院、云计算开源产业联盟联合颁发的0001号可信云容器安全解决“先进级”测评证书,云原生产业联盟评定的“云原生技术创新解决方案/产品”,成为安全品类唯一入选平台等。青藤将继续在云原生安全领域不断创新,实现更大跨越。