探真科技基于銀河麒麟操作系統(tǒng)的云原生安全解決方案
方案背景
Programme background
云原生技術(shù)以其高效穩(wěn)定�、快速響應(yīng)的特點(diǎn)驅(qū)動引領(lǐng)企業(yè)的業(yè)務(wù)發(fā)展,成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動力����。近幾年���,以容器、微服務(wù)�、DevOps、持續(xù)交付為代表的云原生技術(shù)正在被廣泛采納����,已經(jīng)有超過43%的國內(nèi)用戶選擇在生產(chǎn)環(huán)境中使用云原生技術(shù)(2020年)���。然而,云原生的特有屬性也帶來了容器架構(gòu)防護(hù)����、訪問控制、供應(yīng)鏈����、研發(fā)運(yùn)營等領(lǐng)域全新的安全隱患和安全防護(hù)需求,包括服務(wù)實(shí)例應(yīng)用周期變短增加監(jiān)控和溯源難度�����、組件爆發(fā)式增長對應(yīng)用防護(hù)能力提出更高要求�����、容器共享操作系統(tǒng)進(jìn)程級隔離環(huán)境導(dǎo)致逃逸風(fēng)險增加�����、獨(dú)立研發(fā)運(yùn)營對軟件流轉(zhuǎn)的全鏈條安全帶來挑戰(zhàn)等。為此����,麒麟軟件攜手探真科技,攜手推出云原生安全解決方案�����,幫助企業(yè)打造更安全的云原生環(huán)境�,助力企業(yè)數(shù)字業(yè)務(wù)發(fā)展。
方案概述
Overview of the solution
云原生安全解決方案幫助在銀河麒麟高級服務(wù)器操作系統(tǒng)V10中部署開源K8S軟件或部署容器運(yùn)維平臺的企業(yè)提供全面的容器安全防護(hù)能力�����。方案整合包括銀河麒麟高級服務(wù)器操作系統(tǒng)V10版����、探真領(lǐng)航云原生安全解決方案和探真云原生憑證管理解決方案等在內(nèi)各個產(chǎn)品特性����,打造一站式解決方案。聯(lián)合解決方案一方面支持多容器集群部署�,支持多租戶配置,為企業(yè)的容器環(huán)境提供全面的安全檢測�、防護(hù)能力,協(xié)助企業(yè)將安全能力集成到DevOps各流程/階段當(dāng)中�����,及時發(fā)現(xiàn)安全隱患并根據(jù)管理員預(yù)設(shè)規(guī)則阻斷攻擊,保護(hù)企業(yè)容器環(huán)境遠(yuǎn)離風(fēng)險�����。另一方面����,聯(lián)合解決方案支持多云、多中心等復(fù)雜場景��,用本地化的憑證管理代替云服務(wù)商的KMS(密鑰管理服務(wù))�����,為企業(yè)提供統(tǒng)一的憑證存儲���、授權(quán)�����、使用審計等能力����,降低泄露的可能性,保障企業(yè)在云原生環(huán)境中安全的使用憑證����。
技術(shù)路線
Technical route
硬件:主流芯片架構(gòu)服務(wù)器
操作系統(tǒng):銀河麒麟高級服務(wù)器操作系統(tǒng) V10
基礎(chǔ)軟件:國產(chǎn)容器運(yùn)維平臺、Docker����、K8s等
產(chǎn)品軟件:探真領(lǐng)航云原生安全解決方案、探真云原生憑證管理解決方案
方案架構(gòu)
Scheme architecture
方案優(yōu)勢
Solution advantage
搭載銀河麒麟高級服務(wù)器操作系統(tǒng)V10�����,適配自主創(chuàng)新軟硬件產(chǎn)品
與操作系統(tǒng)內(nèi)核緊密集成���,實(shí)時檢測容器內(nèi)各種安全威脅
具備大并發(fā)���、分布式鏡像掃描能力,快速����、高效掃描容器環(huán)境中全部鏡像文件
堅持技術(shù)創(chuàng)新����,獨(dú)創(chuàng)的自學(xué)習(xí)免疫防御�、偏移防御機(jī)制�����、云原生蜜罐(主動防御)���、基于鏡像簽名的可信鏡像體系
全開放 OpenAPI����,支持容器伸縮策略��,能夠方便的與企業(yè)內(nèi)部流程平臺����、運(yùn)維平臺集成,用戶無需單獨(dú)登錄探真云原生安全平臺即可完成安全策略下發(fā)
應(yīng)用場景
Application scenarios
針對容器安全場景�,解決方案服務(wù)于以銀河麒麟高級服務(wù)器操作系統(tǒng)為基礎(chǔ)的容器PaaS平臺,融合操作系統(tǒng)基座與云原生產(chǎn)品特性�����,覆蓋容器全生命周期�,內(nèi)生安全����,實(shí)現(xiàn)安全閉環(huán)�����。
運(yùn)行基礎(chǔ) - 開發(fā)環(huán)境搭建:基于銀河麒麟高級服務(wù)器操作系統(tǒng)V10構(gòu)建容器化開發(fā)環(huán)境��,支持容器集群化管理��,適配主流芯片架構(gòu)產(chǎn)品��,改進(jìn)容器產(chǎn)品與國產(chǎn)化CPU平臺內(nèi)部通信技術(shù)��,提升容器執(zhí)行效率和響應(yīng)速度
安全左移 - 容器上線前:能夠與構(gòu)建系統(tǒng)和鏡像倉庫集成�,提供完整的鏡像掃描能力,同時配合可信鏡像安全分發(fā)(每個鏡像獨(dú)立簽名)�、基礎(chǔ)鏡像體系及鏡像阻斷能力,實(shí)現(xiàn)容器鏡像全生命周期安全防
運(yùn)行時安全 - 容器上線后:在容器鏡像上線后的運(yùn)行時階段�,針對已知威脅提供運(yùn)行時安全檢測、主動防御(云原生蜜罐)機(jī)制��,針對未知威脅提供探真專利的容器偏移防御及免疫防御能力��。當(dāng)前探真是國內(nèi)唯一在運(yùn)行時階段提供4種檢測技術(shù)的容器安全方案供應(yīng)商�。
容器網(wǎng)絡(luò)安全 - 網(wǎng)絡(luò)隔離與控制:提供靈活的容器網(wǎng)絡(luò)隔離策略,支持基于資源(POD)�、資源組、命名空間��、宿主機(jī)等隔離方式��,同時支持多租戶�����。在配置策略時����,探真創(chuàng)新的提供了可視化策略輔助工具,進(jìn)一步降低管理員在配置隔離策略時的出錯可能性����。
分析與處置 - 威脅溯源及分析:加入人工智能算法,基于系統(tǒng)調(diào)用����、網(wǎng)絡(luò)通信等方式智能聚合的事件分析技術(shù),實(shí)現(xiàn)云原生環(huán)境下的容器安全風(fēng)險管理閉環(huán)
對于用戶在開發(fā)和運(yùn)維階段在企業(yè)憑證管理場景的需求��,解決方案同時適用于傳統(tǒng)數(shù)據(jù)中心環(huán)境及云原生環(huán)境部署����,全面解決企業(yè)憑證管理問題:
科技自主創(chuàng)新:基于銀河麒麟高級服務(wù)器操作系統(tǒng)和探真云原生憑證管理產(chǎn)品�����,適配主流國產(chǎn)化軟硬件產(chǎn)品�����,科技自主創(chuàng)新
防范憑證泄露:方案可內(nèi)嵌在企業(yè)程序代碼�、腳本應(yīng)用中���,為其融入憑證管理能力�,規(guī)避了由于人員疏忽造成在同步程序代碼或分發(fā)應(yīng)用代碼時登錄憑證泄露的可能性
解決授權(quán)混亂:幫助用戶回收管理到期授權(quán)憑證�,防止內(nèi)部憑證泄露,杜絕被遺忘應(yīng)用/腳本被黑客竊取憑證的可能性
統(tǒng)一接入:提供全功能API集成��,在企業(yè)IT管理流程��、運(yùn)維流程中融入憑證管理能力��,簡化管理����、提高效率
統(tǒng)一管理���、統(tǒng)一審計:支持多數(shù)據(jù)中心、多云等復(fù)雜環(huán)境��,解決云服務(wù)商密鑰管理系統(tǒng)(KMS)無法管理企業(yè)本地數(shù)據(jù)中心�、多云環(huán)境中業(yè)務(wù)憑證的尷尬局面���,并提供全面的憑證使用審計信息
