当用户充分利用原生云能力进行应用设计、部署和运维时,云原生也面临新的安全挑战,例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。
面对这样的风险,京东云重磅发布云原生安全平台,包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务,提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。
直击痛点打造一体化防护
每年的京东6.18、11.11都会面临高并发、大流量的技术挑战。通过对大规模的应用开发和系统的保障实践,京东云安全团队总结出了一套符合DevSecOps场景的一体化全生命周期云原生安全防护理念,形成了保障全生命周期的CNAPP平台——京东云原生安全平台。
该平台由一个产品提供全面能力,统一控制端、统一权限分发、统一策略配置,实现资产清点一体化、网络防护一体化、镜像容器节点应用防护一体化和基础设施安全一体化。与此同时,平台覆盖镜像构建、容器运行、应用安全、编排安全、计算资源安全、网络安全,贯穿整个生命周期。
云原生实践沉淀架构优势
目前,京东云运营着全球最大规模的Docker集群、Kubernetes集群,以及最复杂的 Vitess 集群之一,是目前全球容器化最彻底的科技企业之一。
早在2014年,云原生技术爆发之前,京东就率先将Docker容器技术大规模应用至生产环境。2016年开始实践了Kubernetes技术,并成为Harbor最早的一批用户 。2018年,京东云正式加入CNCF基金会,成为其首位白金会员。京东云是CNCF开源项目最大的使用者与贡献者之一,并在当年获得CNCF终端用户奖。
基于多年的云原生实践,京东云原生安全平台沉淀了云原生化部署、混合多云适配丰富终端、国产化适配主流系统等架构优势。
云原生化部署
采用灵活的分层架构设计,能够基于用户场景、行业、规模属性灵活地进行私有化部署。轻量化探针面向云原生kubernetes场景采用非侵入部署方式,还支持以Daemonset进行更加云原生化的自动一键部署、自动管理模式。控制面整体采用计算数据分离、接口计算分离的架构,通过管控层进行探针管理、数据汇聚、任务管理,实现探针agent一键操作。
所有数据都由存储模块统一管理,包括离线计算、在线计算、持久化存储,支持多副本架构,确保数据的安全性。通过中间层统一提供接口实现接口统一入口、统一管理。
智能化应用网络架构感知
通过自动采集、学习网络流量,多种方式智能分析流量与应用关联关系,基于应用视角自动构建网络架构拓扑,真正实现每一个应用网络架构都清晰可见,不再是杂乱无章的网络“毛线团”。
真正的业务无感应用安全保镖
业务部署无须关注安全策略,通过自动化流程自动实施防护。业务方实现完全无感接入,安全统一管理不再有遗漏。
强大的未知威胁防护能力
基于机器学习查杀引擎,将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止,在线和离线情况均能高效预测和预防已知和未知威胁,支持RASP能力,为每个应用都配置了“贴身保镖”。在fastJson、log4j零日漏洞发生期间,准确识别应用行为,有效分辨出未知威胁和零日漏洞攻击。
领先的基础设施防护能力
与新兴云原生安全厂商不同,京东云原生安全能够做到强大的基础设施防护,覆盖节点漏洞,病毒木马,网页木马,可疑操作,暴力破解,异常登录等安全检测与防护。自研云查杀引擎识别已知病毒检测99%,未知病毒识别率高达97%,领先行业检测率。真正做到云原生安全底座与容器,网络与应用全方位覆盖。
混合多云适配丰富终端
以云原生架构体系为基础,支持跨平台部署京东云、混合云、私有云、其他云;适配多种终端服务器、虚拟机、IDC、容器、裸金属服务器等。
国产化适配主流系统
已成功交付麒麟、海光、飞腾、统信等多个国产化系统,支撑运营商、政府、金融、制造、交通、医疗、能源等领域的数字化转型,在国产化漏洞领域始终保持领先的检测和防护能力。
京东云持续致力于以更低的成本、更高的效率、更好的体验为合作伙伴提供云原生安全服务,为产业数字化筑牢安全屏障。
作者:京东科技 王菁 转载请注明出处