12月28日,由中国信息通信研究院(简称“信通院”)主办、中国通信标准化协会云计算标准和开源推进委员会支持、云计算开源产业联盟承办的“2021可信云安全论坛”在北京举办。论坛公布首批“云安全守卫者计划优秀案例”,中国光大银行“全栈云容器安全平台建设”凭借先进的云原生安全防护创新技术和丰富的实践成果成功入选。
中国光大银行自2017年开始积极探索容器技术,旨在运用分布式微服务框架、云中间件、容器、DevOps等前沿技术,搭建可提供横向扩展、秒级伸缩、智能运维、适应快速开发持续交付的全栈云,为银行数字化转型提供最适配的IT基础设施架构。
中国光大银行全栈云容器安全平台提供云原生资产全生命周期的一体化安全防护能力,具备资产清点、镜像扫描、漏洞管理、运行时监测与防护、网络微隔离、合规审计等丰富的功能和服务。
同时,中国光大银行全栈云容器安全平台通过技术积累和自主创新,实现“资产管理全闭环、安全运营敏捷化、威胁分析智能化、安全隔离零信任”等安全防护效果。
资产管理全闭环:对容器平台资产对象进行全方位的安全防御,包括操作系统、Kubernetes平台、容器、容器镜像、镜像仓库和微服务等。在每一类资产对象的防护方案中,充分考虑资产盘点、加固、检测、响应、预测的安全要求,形成云原生资产的安全闭环管理。
安全运营敏捷化:基于“安全左移”的安全运营理念,无缝集成DevSecOps工具,在软件整个生命周期中支持多个卡点,包括编排文件扫描、镜像安全扫描、镜像构建入库、镜像运行拦截等安全卡点,将安全风险尽早暴露,降低安全开发成本,提高安全运营效率。
威胁分析智能化:基于动态学习业务系统进程与网络流量的方法,采用机器学习技术,构建安全基线模型,实现风险识别和风险态势感知。在传统基于规则的分析识别技术之上,结合机器学习技术较全面发现安全漏洞和风险。
安全隔离零信任:按照零信任的思想,持续信任评估,动态访问控制。在容器网络中,采用微隔离技术来缓解网络安全风险,实现云原生业务应用的动态自适应安全隔离防护。
中国光大银行全栈云容器安全平台建设实践,构建了云原生安全预测、防护、检测、响应的一体化安全防护体系,与DevOps流程进行无缝集成,形成更完整的DevSecOps方案,在开发、部署、运行时等全生命周期的各个阶段进行安全防护,使用智能测试、机器学习与威胁预测的方式来确保云原生应用运行环境及业务安全,更全面高效地为银行数字化转型保驾护航。
作者 | 段鑫冬
视觉 | 王朋玉
统筹 | 郑 洁
