“安全守衛(wèi)者計(jì)劃——安全運(yùn)營(yíng)專題”是由中國(guó)信通院發(fā)起的優(yōu)秀案例征集活動(dòng)。目的是引導(dǎo)安全領(lǐng)域產(chǎn)品的發(fā)展方向�,選拔出一批成熟度高��、具有示范作用的優(yōu)秀安全案例����。經(jīng)過(guò)多輪嚴(yán)格評(píng)審�����,火山引擎申報(bào)的容器安全實(shí)踐案例成功脫穎而出�����,充分體現(xiàn)了火山引擎在云原生安全領(lǐng)域的競(jìng)爭(zhēng)實(shí)力����。
《容器安全全生命周期建設(shè)》項(xiàng)目從金拱門實(shí)際容器平臺(tái)業(yè)務(wù)場(chǎng)景出發(fā)���,與業(yè)務(wù)端DevOps模式轉(zhuǎn)型深度融合���,有效解決了用戶在鏡像安全掃描分析、運(yùn)行時(shí)安全��、容器基礎(chǔ)設(shè)施環(huán)境安全等方面實(shí)際的需求痛點(diǎn)��,保障了金拱門數(shù)字化業(yè)務(wù)安全穩(wěn)定的運(yùn)行�。
火山引擎在云原生領(lǐng)域有著豐富的技術(shù)實(shí)踐經(jīng)驗(yàn),通過(guò)將安全原生的理念融入金拱門容器云業(yè)務(wù)架構(gòu)建設(shè)中���,為客戶的數(shù)字化轉(zhuǎn)型提供了堅(jiān)實(shí)的安全保障��,并帶來(lái)以下效益:
安全易用���,能效提升
鏡像供應(yīng)鏈的安全保障是容器安全運(yùn)行的基礎(chǔ)����,除了基礎(chǔ)的安全掃描分析加固之外���,火山引擎通過(guò)自定義基礎(chǔ)鏡像、精細(xì)化的漏洞風(fēng)險(xiǎn)分析以及多樣化的鏡像阻斷手段�����,來(lái)幫助用戶提升鏡像安全運(yùn)營(yíng)效率�。
運(yùn)維部門通常會(huì)將獲取的源鏡像,進(jìn)行安全掃描修復(fù)后��,放入鏡像倉(cāng)庫(kù)作為基礎(chǔ)鏡像�����,同時(shí)所有的業(yè)務(wù)鏡像都是由開發(fā)部門提供應(yīng)用代碼�,在基礎(chǔ)鏡像上構(gòu)建而成的�?;鹕揭嫒萜靼踩a(chǎn)品在后續(xù)的安全掃描中,能夠自動(dòng)化識(shí)別出脆弱性是否屬于基礎(chǔ)鏡像引入�����,按照責(zé)任歸屬提交運(yùn)維部門或者開發(fā)部門進(jìn)行修復(fù)�����。修復(fù)過(guò)程中����,會(huì)優(yōu)先修復(fù)基礎(chǔ)鏡像存在的問(wèn)題,以提升修復(fù)效率��。
另外��,火山引擎容器安全產(chǎn)品對(duì)鏡像漏洞風(fēng)險(xiǎn)引入智能化分析評(píng)分機(jī)制����,不僅基于CVE本身的風(fēng)險(xiǎn)要素,還結(jié)合容器運(yùn)行的環(huán)境要素進(jìn)行綜合評(píng)定(如特權(quán)容器��、端口監(jiān)聽��、異常事件等要素),給出最適合實(shí)際場(chǎng)景的修復(fù)優(yōu)先級(jí)建議���。
在最后環(huán)節(jié)中����,鏡像在生產(chǎn)環(huán)境中啟動(dòng)成容器時(shí)�,產(chǎn)品會(huì)幫助設(shè)置合理的安全卡點(diǎn),并依據(jù)鏡像的脆弱性風(fēng)險(xiǎn)進(jìn)行自動(dòng)化鏡像啟動(dòng)阻斷����,防止鏡像帶病上線。
技術(shù)領(lǐng)先�,全面防治
火山引擎以容器原生特性為基礎(chǔ)創(chuàng)新技術(shù)路線����,以業(yè)內(nèi)領(lǐng)先的行為建模分析技術(shù)為基礎(chǔ),全面覆蓋容器運(yùn)行時(shí)遇到的各類已知和未知威脅��。
如圖����,產(chǎn)品客戶端組件會(huì)進(jìn)行廣泛的容器資產(chǎn)行為收集,可收集各類資產(chǎn)靜態(tài)特征和動(dòng)態(tài)行為�����。進(jìn)一步利用容器的不變性和單一性,通過(guò)行為基線��、廣譜規(guī)則對(duì)異常行為進(jìn)行檢測(cè)����,多維度數(shù)據(jù)關(guān)聯(lián)分析,提升未知威脅檢測(cè)的準(zhǔn)確性��。從而全面覆蓋各類高級(jí)入侵行為����,如容器逃逸、反彈shell��、遠(yuǎn)程控制����、挖礦等威脅。
原生部署��,安全穩(wěn)定
火山引擎提供的所有產(chǎn)品組件全部以云原生化的方式進(jìn)行部署�,以非特權(quán)平行容器的方式運(yùn)行,可自主設(shè)置資源消耗上限�����,對(duì)業(yè)務(wù)運(yùn)行“0”影響,深得用戶信賴����。
在未來(lái),火山引擎會(huì)不斷加大對(duì)云原生安全領(lǐng)域的探索�����,深度洞察技術(shù)發(fā)展趨勢(shì)����,輸出更多的內(nèi)部技術(shù)實(shí)踐經(jīng)驗(yàn),不斷加深和專業(yè)客戶的合作����,共創(chuàng)共建出更多的優(yōu)秀實(shí)踐案例。
比.jpg)
