阿里云關(guān)注企業(yè)級用戶的Kubernetes生產(chǎn)落地痛點����,結(jié)合企業(yè)生產(chǎn)環(huán)境的大量實踐,全面幫助企業(yè)真正落地云原生架構(gòu)�����。安全側(cè)問題���,是眾多大中型或金融領(lǐng)域企業(yè)的核心關(guān)注點�����。
阿里云關(guān)注企業(yè)級用戶的Kubernetes生產(chǎn)落地痛點����,結(jié)合企業(yè)生產(chǎn)環(huán)境的大量實踐,全面幫助企業(yè)真正落地云原生架構(gòu)���。安全側(cè)問題�����,是眾多大中型或金融領(lǐng)域企業(yè)的核心關(guān)注點���。
端到端云原生安全架構(gòu)
早在2018年,阿里云容器服務(wù)團隊率先提出了“端到端的企業(yè)級安全能力”概念�,并推出立體式的端到端云原生安全架構(gòu)。
容器和云原生時代的安全挑戰(zhàn)和傳統(tǒng)安全主要有以下三點不同:
第一個是高動態(tài)和高密度�����。傳統(tǒng)時代一臺機器只跑幾個應(yīng)用,而現(xiàn)在在一臺服務(wù)器會運行上百個應(yīng)用���,是原來十幾倍的密度����。另外考慮到容器的自動恢復(fù)等特性�����,上一刻的容器在A機器�����,下一刻就會隨時漂移到另一臺機器����。
第二個是敏捷和快速迭代�����,容器DevOps化的應(yīng)用發(fā)布非常頻繁�����,是傳統(tǒng)的幾倍。
第三�����,在開放標準���、軟件行業(yè)社會化大分工的時代�����,越來越多不可信三方開源軟件的引入也加劇了安全風險�。而容器的這些特點都會對云原生安全提出了更高的要求�。
為了應(yīng)對這些安全風險,阿里云容器服務(wù)團隊推出立體式的端到端云原生安全架構(gòu)�,并從三個層面來解決安全問題:
最底層依托于阿里云平臺已有的安全能力,包括物理安全�,硬件安全,虛擬化安全和云產(chǎn)品安全能力;
中間是容器基礎(chǔ)設(shè)施安全層�,基于最小化攻擊面原則,提供了包括訪問控制�,權(quán)限收斂,配置加固和身份管理等重要的底座安全能力�����;同時針對憑證下發(fā),證書����、密鑰,集群審計等用戶訪問鏈路上的安全要素�����,構(gòu)建了對應(yīng)的自動化運維體系�;
在容器基礎(chǔ)設(shè)施安全層之上,針對容器應(yīng)用從構(gòu)建到運行的生命周期在供應(yīng)鏈和運行時刻提供對應(yīng)的安全能力����,比如在構(gòu)建階段提供了鏡像安全掃描和鏡像簽名能力�;在部署和運行時刻,提供了集運行時策略管理�����,配置巡檢�����,運行時安全掃描的一體化安全管理能力���,同時支持安全沙箱容器和TEE機密計算技術(shù)���,為企業(yè)容器應(yīng)用提供更好的安全隔離性和數(shù)據(jù)安全私密性���。
縱深防御,呵護容器應(yīng)用全生命周期
隨著云原生技術(shù)的日趨火熱����,已經(jīng)有越來越多的企業(yè)選擇在自己的生產(chǎn)環(huán)境中進行容器化的云原生改造,而K8s社區(qū)的火熱使得其成為眾多輿論媒體關(guān)注的目標之外����,也使得其成為眾多攻擊者攻擊的主要目標。
容器安全如今充滿新挑戰(zhàn)����,一方面是Kubernetes、helm�����、etcd等開源項目的高危漏洞頻出�,相關(guān)輿論愈發(fā)引起關(guān)注,據(jù)統(tǒng)計�����,從2018年開始,Kubernetes社區(qū)已經(jīng)暴露了20余次CVE漏洞�����。
另一方面�����,Kubernetes作為云原生時代新的操作系統(tǒng)與不同的異構(gòu)計算設(shè)備的廣泛集成以及serverless技術(shù)的日趨發(fā)展也使得容器應(yīng)用的生命周期越來越短���,同時集群節(jié)點的容器應(yīng)用部署密度也越來越高�,傳統(tǒng)的供應(yīng)鏈側(cè)的安全掃描已經(jīng)很難將風險完全暴露�����,面對上述種種安全挑戰(zhàn)�,需要針對云原生下容器技術(shù)的特點�����,在安全上構(gòu)建更加明確的防護體系和相應(yīng)的技術(shù)升級����。
阿里云容器服務(wù)ACK和容器鏡像服務(wù)ACR在上述的基礎(chǔ)架構(gòu)-軟件供應(yīng)鏈-運行時三層云安全架構(gòu)基礎(chǔ)上�����,還做了兩大工作:縱深防御���,構(gòu)建從供應(yīng)鏈到運行時的一體化安全流程;最小化攻擊面�,打造安全穩(wěn)定的容器基礎(chǔ)平臺。
在企業(yè)級用戶的應(yīng)用生命周期中�����,基于阿里云容器服務(wù)安全的整體架構(gòu)�����,首先在應(yīng)用的開發(fā)�����,測試和構(gòu)建階段�����,用戶可以在供應(yīng)鏈側(cè)通過鏡像安全掃描提前暴露應(yīng)用鏡像中的安全風險,同時企業(yè)級用戶可以在阿里云容器鏡像服務(wù)企業(yè)版ACR EE中開啟指定倉庫的鏡像簽名能力為推送鏡像自動簽名����;在應(yīng)用部署前,默認安全是應(yīng)用系統(tǒng)中安全設(shè)計的重要原則�����,而配置安全也是容器應(yīng)用在生產(chǎn)環(huán)境命令的主要風險����。為此集群的安全管理員可以通過阿里云容器服務(wù)提供的統(tǒng)一策略管理平臺,遵循一致性的規(guī)則配置定義�����,為不同集群內(nèi)的應(yīng)用系統(tǒng)提供定制化的安全治理性�;在應(yīng)用成功部署后,并不意味著我們的安全工作就到此結(jié)束了�����,用戶可以通過容器服務(wù)安全管理中心提供的運行時監(jiān)控告警�、配置巡檢�、集群審計和密鑰加密等手段�����,保護容器應(yīng)用的運行時刻安全�����,構(gòu)建整個容器安全的縱深防御能力�����。
客戶的選擇�����,業(yè)界的認可���,阿里云的使命
自2011年開始容器化進程,阿里開啟了中國公司將云原生技術(shù)體系在電商����、金融、制造等領(lǐng)域中大規(guī)模應(yīng)用的先河���,阿里云沉淀了最豐富的云原生產(chǎn)品家族���、最全面的云原生開源貢獻���、最大的容器集群和客戶群體和廣泛的云原生應(yīng)用實踐。
很多選擇了阿里云容器服務(wù)的客戶也會有各種各樣的安全場景需求:
某國際新零售巨頭在意公司內(nèi)部IT資產(chǎn)安全�,使用容器鏡像服務(wù)ACR安全軟件供應(yīng)鏈的鏡像加簽和掃描,RAM角色進行系列度RBAC權(quán)限控制�����,服務(wù)網(wǎng)格全鏈路mTLS認證�����、證書管理和審計���。
某國際金融銀行關(guān)注數(shù)據(jù)運轉(zhuǎn)安全����,不僅使用基于阿里云容器服務(wù)ACK的全鏈路數(shù)據(jù)加密和云安全中心運行時刻告警監(jiān)控����,而且還搭配使用托管服務(wù)網(wǎng)格ASM進行應(yīng)用東西向流量的細粒度控制���。
某國際游戲廠商希望更高效管控各方權(quán)限�,進行了pod級別的控制層面云資源的權(quán)限隔離,外部KMS系統(tǒng)的密鑰同步導(dǎo)入更新�,數(shù)據(jù)平面系列度的權(quán)限控制,以及密鑰管理確保容器敏感信息不會泄露���。
2020年5月�����,Gartner發(fā)布《Solution Comparison for the Native Security Capabilities》報告�����,首次全面評估全球TOP云廠商的整體安全能力�����。阿里云作為亞洲唯一入圍廠商�����,其整體安全能力拿下全球第二�,11項安全能力被評估為最高水平(High)。
立即登錄�����,閱讀全文
閩公網(wǎng)安備 35010202001226號
