青藤蜂巢的容器基礎(chǔ)設(shè)施安全保護(hù)得到有效保障 實(shí)現(xiàn)了降本增效

來(lái)源:大京網(wǎng)

案例概要

某企業(yè)是一家知名的互聯(lián)網(wǎng)公司,專注于智能終端產(chǎn)品的研發(fā),擁有3,000名員工,其旗下的主打應(yīng)用程序月活量超過(guò)1億,致力于為全國(guó)用戶提供多樣化的科技服務(wù)。

在互聯(lián)網(wǎng)圈,產(chǎn)品迭代次數(shù)極其頻繁,業(yè)務(wù)更新速度快,為了確保業(yè)務(wù)穩(wěn)定,該企業(yè)另辟蹊徑,部署了超過(guò)130,000多個(gè)容器,以應(yīng)對(duì)快速增長(zhǎng)的業(yè)務(wù)量,逐步走向云原生化。

現(xiàn)實(shí)挑戰(zhàn)

云原生環(huán)境下,互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施保護(hù)依然重要,其安全保障若不到位,會(huì)使用戶數(shù)據(jù)面臨重大風(fēng)險(xiǎn)。容器是在云上提供彈應(yīng)用程序的新一代基礎(chǔ)設(shè)施,基于鏡像而運(yùn)行,鏡像如果受到威脅,容器就存在被攻陷的可能。在使用容器的過(guò)程中,該企業(yè)公開可用的容器鏡像數(shù)量呈現(xiàn)指數(shù)級(jí)增長(zhǎng),單月從存儲(chǔ)庫(kù)中拉取的鏡像的最高峰值更是達(dá)到18,000次,鏡像安全問(wèn)題引發(fā)重視。

解決方案

鏡像安全問(wèn)題曾一度困擾著該互聯(lián)網(wǎng)企業(yè),在評(píng)估了市場(chǎng)上的多款云原生安全產(chǎn)品后,他們最終選擇了青藤蜂巢·云原生安全臺(tái),用于保護(hù)其容器安全、鏡像安全,充分發(fā)揮其新產(chǎn)品、業(yè)務(wù)創(chuàng)新的潛力,提升開發(fā)運(yùn)營(yíng)效率。

【“對(duì)我們來(lái)說(shuō),云原生安全產(chǎn)品的可用是非常重要的。在前期,我們驗(yàn)證了配置、安裝等問(wèn)題是否可行,以及實(shí)施環(huán)境、技術(shù)功能是否準(zhǔn)確等,在青藤技術(shù)人員的支持下,我們成功進(jìn)行了驗(yàn)證,確認(rèn)能夠滿足我們的要求。”該企業(yè)這樣表示?!?/p>

面對(duì)當(dāng)下最棘手的問(wèn)題,青藤基于實(shí)戰(zhàn)經(jīng)驗(yàn),為該互聯(lián)網(wǎng)企業(yè)首先進(jìn)行了診斷,提出了“想要保護(hù)好鏡像,不僅僅是要保護(hù)好鏡像本身的安全,更要確保鏡像在運(yùn)行過(guò)程中不會(huì)被篡改,并且確保鏡像倉(cāng)庫(kù)的安全”,發(fā)現(xiàn)該企業(yè)的容器鏡像存在著三方面的問(wèn)題:

一是,有些鏡像是過(guò)期的,這增加了風(fēng)險(xiǎn)暴露面,很容易被攻擊者利用。

二是,有些鏡像構(gòu)建不合規(guī),這些鏡像并非惡意鏡像,而是由于錯(cuò)誤的配置導(dǎo)致的。

三是,有些惡意鏡像隱藏著諸多后門,是危險(xiǎn)系數(shù)最高的鏡像。

對(duì)于這些問(wèn)題,該互聯(lián)網(wǎng)企業(yè)通過(guò)青藤蜂巢·云原生安全臺(tái),在鏡像構(gòu)建時(shí)就對(duì)鏡像進(jìn)行掃描,一旦檢測(cè)到漏洞、錯(cuò)誤配置、威脅等相關(guān)問(wèn)題,便會(huì)通過(guò)蜂巢控制臺(tái)向企業(yè)的操作管理員進(jìn)行提示。

【“在集群中啟動(dòng)新容器時(shí),青藤蜂巢能按計(jì)劃,按需進(jìn)行鏡像掃描,并及時(shí)地返回漏洞數(shù)據(jù),可以讓我們直觀、完整地看到整個(gè)掃描結(jié)果,比如依賴項(xiàng)的數(shù)量、高危漏洞的數(shù)量等。”該企業(yè)表示?!?/p>

我們不僅要更早地發(fā)現(xiàn)和修復(fù)容器漏洞,更要監(jiān)測(cè)生產(chǎn)環(huán)境中的應(yīng)用程序,確保這些程序在部署后也能保持安全。在運(yùn)行時(shí)階段,青藤蜂巢還會(huì)自動(dòng)檢測(cè)正在運(yùn)行的容器,對(duì)容器的任何操作執(zhí)行最低權(quán)限的要求,確保鏡像的不變,杜絕未經(jīng)授權(quán)的鏡像部署、惡意代碼注入、篡改、非法數(shù)據(jù)泄露以及各類攻擊等安全風(fēng)險(xiǎn)。

【“很多安全產(chǎn)品在部署前可能也會(huì)提供容器鏡像掃描能力,但是很少有產(chǎn)品能夠從開發(fā)到部署無(wú)縫保證安全,青藤蜂巢的漏洞檢測(cè)和識(shí)別準(zhǔn)確高,鏡像掃描效率高,并能夠掃描生產(chǎn)中運(yùn)行的容器,支持整個(gè)CI/CD管道中的漏洞掃描,完全做到在整個(gè)應(yīng)用程序生命周期中提供容器和云原生應(yīng)用程序的安全。”】

此外,青藤蜂巢·云原生安全臺(tái)在提高該企業(yè)漏洞修復(fù)效率方面也有明顯的效果,相較于傳統(tǒng)掃描工具的流程,該企業(yè)過(guò)去需要用將1小時(shí)的漏洞掃描已經(jīng)縮減到6分鐘,效率提升10倍,并且還將會(huì)有更大的提高。

【透過(guò)該互聯(lián)網(wǎng)企業(yè)的云原生安全實(shí)踐經(jīng)驗(yàn)來(lái)看,當(dāng)涉及到鏡像安全保護(hù)時(shí),我們要注意這幾個(gè)細(xì)節(jié)的關(guān)鍵點(diǎn):

?在基礎(chǔ)鏡像構(gòu)建階段即啟動(dòng)鏡像掃描,使用數(shù)字簽名來(lái)驗(yàn)證鏡像的真實(shí)

?優(yōu)先選擇從最小的基礎(chǔ)鏡像進(jìn)行構(gòu)建

?盡早、持續(xù)地檢查鏡像是否存在漏洞問(wèn)題,創(chuàng)建受信任的基礎(chǔ)鏡像

?已經(jīng)通過(guò)所有安全檢查的基礎(chǔ)鏡像,在創(chuàng)建新鏡像時(shí)也需要再次掃描

?在軟件全生命周期的多個(gè)節(jié)點(diǎn)進(jìn)行掃描:CI/CD、鏡像倉(cāng)庫(kù)及集群運(yùn)行時(shí)容器等】

重要價(jià)值

在經(jīng)歷了容器化部署和應(yīng)用青藤蜂巢·云原生安全臺(tái)之后,該企業(yè)已經(jīng)朝著云原生安全的方向邁出了重要一步:憑借貫穿整個(gè)應(yīng)用開發(fā)生命周期的安全,該互聯(lián)網(wǎng)企業(yè)的容器基礎(chǔ)設(shè)施安全保護(hù)得到有效保障,實(shí)現(xiàn)了降本增效。

標(biāo)簽: 智能終端 互聯(lián)網(wǎng)公司 科技服務(wù) 基礎(chǔ)設(shè)施

推薦

財(cái)富更多》

動(dòng)態(tài)更多》

熱點(diǎn)