“安全守衛(wèi)者計劃——安全運營專題”是由中國信通院發(fā)起的優(yōu)秀案例征集活動����。目的是引導安全領域產(chǎn)品的發(fā)展方向���,選拔出一批成熟度高���、具有示范作用的優(yōu)秀安全案例。經(jīng)過多輪嚴格評審����,火山引擎申報的容器安全實踐案例成功脫穎而出��,充分體現(xiàn)了火山引擎在云原生安全領域的競爭實力����。
《容器安全全生命周期建設》項目從金拱門實際容器平臺業(yè)務場景出發(fā),與業(yè)務端DevOps模式轉型深度融合��,有效解決了用戶在鏡像安全掃描分析����、運行時安全��、容器基礎設施環(huán)境安全等方面實際的需求痛點�����,保障了金拱門數(shù)字化業(yè)務安全穩(wěn)定的運行�。
火山引擎在云原生領域有著豐富的技術實踐經(jīng)驗�����,通過將安全原生的理念融入金拱門容器云業(yè)務架構建設中����,為客戶的數(shù)字化轉型提供了堅實的安全保障,并帶來以下效益:
安全易用����,能效提升
鏡像供應鏈的安全保障是容器安全運行的基礎,除了基礎的安全掃描分析加固之外�,火山引擎通過自定義基礎鏡像、精細化的漏洞風險分析以及多樣化的鏡像阻斷手段���,來幫助用戶提升鏡像安全運營效率�。
運維部門通常會將獲取的源鏡像���,進行安全掃描修復后�����,放入鏡像倉庫作為基礎鏡像����,同時所有的業(yè)務鏡像都是由開發(fā)部門提供應用代碼,在基礎鏡像上構建而成的�����?�;鹕揭嫒萜靼踩a(chǎn)品在后續(xù)的安全掃描中����,能夠自動化識別出脆弱性是否屬于基礎鏡像引入���,按照責任歸屬提交運維部門或者開發(fā)部門進行修復��。修復過程中��,會優(yōu)先修復基礎鏡像存在的問題�����,以提升修復效率�。
另外,火山引擎容器安全產(chǎn)品對鏡像漏洞風險引入智能化分析評分機制�,不僅基于CVE本身的風險要素,還結合容器運行的環(huán)境要素進行綜合評定(如特權容器�、端口監(jiān)聽、異常事件等要素)�����,給出最適合實際場景的修復優(yōu)先級建議���。
在最后環(huán)節(jié)中��,鏡像在生產(chǎn)環(huán)境中啟動成容器時��,產(chǎn)品會幫助設置合理的安全卡點���,并依據(jù)鏡像的脆弱性風險進行自動化鏡像啟動阻斷,防止鏡像帶病上線�����。
技術領先,全面防治
火山引擎以容器原生特性為基礎創(chuàng)新技術路線����,以業(yè)內領先的行為建模分析技術為基礎,全面覆蓋容器運行時遇到的各類已知和未知威脅����。
如圖,產(chǎn)品客戶端組件會進行廣泛的容器資產(chǎn)行為收集��,可收集各類資產(chǎn)靜態(tài)特征和動態(tài)行為�。進一步利用容器的不變性和單一性,通過行為基線����、廣譜規(guī)則對異常行為進行檢測,多維度數(shù)據(jù)關聯(lián)分析�����,提升未知威脅檢測的準確性�����。從而全面覆蓋各類高級入侵行為�����,如容器逃逸�、反彈shell、遠程控制�、挖礦等威脅。
原生部署���,安全穩(wěn)定
火山引擎提供的所有產(chǎn)品組件全部以云原生化的方式進行部署����,以非特權平行容器的方式運行���,可自主設置資源消耗上限��,對業(yè)務運行“0”影響�����,深得用戶信賴����。
在未來,火山引擎會不斷加大對云原生安全領域的探索�����,深度洞察技術發(fā)展趨勢����,輸出更多的內部技術實踐經(jīng)驗,不斷加深和專業(yè)客戶的合作��,共創(chuàng)共建出更多的優(yōu)秀實踐案例�。
