云原生时代,开发者如何构筑容器安全?

随着数字化转型进入“深水区”,云原生改变传统的开发模式,加快程序应用的开发、交付、运维效率,充分释放云价值。容器作为云原生的代表技术,正成为资源调度和编排的标准,有效帮助企业降低 IT 实施和运维成本。

据 CNCF 发布《2020 中国云原生调查报告》显示,容器持续迅猛增长,68% 的机构在生产过程中使用容器,比去年增长了 39%,比两年前增长 240%。如今 Kubernetes 的使用已无处不在,生产中使用 Kubernetes 的比例从去年的 72% 增长到 82%。

与此同时,我们不可忽略的是容器及容器环境存在一定的安全威胁,据青藤云安全《101文档:容器安全的关键指标》 容器安全需要关注构建环境安全、运行时安全、操作系统安全、编排管理安全等方面。

企业如何做好容器安全,从而建立更完善的云原生安全防护?对此,CSDN 采访到水滴公司安全专家常春峰,聊聊云原生安全的那些事儿。

破解安全盲盒”

常春峰表示,云原生可降低 IT 成本和提升效率,不受跨平台影响。作为国内知名保险+健康服务科技平台,水滴公司从 2018 年开始尝试云原生安全实践的建设,从原来的虚拟主机安全,完整地经历了微服务化、容器化、服务网格化的建设,如今水滴公司的线上业务安全架构均实现了容器化落地。

在向云原生安全迁移的过程里并非一帆风顺,我们需要考虑的有:一是原有的非容器化(如风险识别、资产指纹的识别与分类分布,基础镜像等)安全能力是否能平移到容器化上;二是在容器化后,一旦容器出现安全问题,或者基础镜像存在漏洞后门等,如果没有相应的安全能力补充是很被动的,这情况类似于安全团队面对一个盲盒”,需要将这个盲盒拆解了,运维和安全人员可以清晰地了解到这里头有哪些 IT应用资产、如何部署以及分布、现有的存在哪些问题、同时攻击可能从哪里来,如何及时发现和处置风险等问题。

盲盒”下,一旦线上出现安全风险,团队应急响应就会很被动:传统的方式基本靠人工,通常做法是在发现情报后,大家通过 IM 软件来拉群推动解决。这种方式有好处也有弊端,久而久之大家就麻木了。何况水滴公司的基础镜像有上万个,管理起来也具有一定的成本,站在ROI角度,招聘团队自研容器安全平台的产出相对较低。在此背景下,水滴公司选择青藤蜂巢·云原生安全平台,来解决上述的安全“盲盒”问题,让安全威胁可见。

蜂巢,一站式容器安全解决方案

常春峰表示,受疫情影响下,当前企业面临新的安全挑战,由于传统内外网的安全边界防护思路作用逐渐减弱,伴随着远程办公的常态化,企业自身的信息化和安全建设需要一站式的全局解决方案,保证安全和用户体验。未来数据安全将会是安全的主要趋势之一,企业自身的安全建设仍需要回归到安全基础设施建设上,我们需要有一个类似“数据地图”的安全平台,来管理和识别 IT 资产和部署分布,从而形成有效的联动机制,例如蜂巢等云原生安全产品。

青藤蜂巢·云原生安全平台是青藤自主研发的云原生安全平台,可集成到云原生复杂多变的环境中,如 Kubernetes、PaaS 云平台、OpenShift、Jenkins、Harbor、JFrog 等。通过提供覆盖容器全生命周期的一站式容器安全解决方案,青藤蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

常春峰如此形容蜂巢平台“稳定安全”。蜂巢平台从全生命周期角度思考,帮助企业建立起安全资产“地图”,帮助企业理清安全资产、分布等需求,并提供镜像安全检查、容器运行风险检查等功能,将安全检查的能⼒以 API或者插件的形式集成到内部流程中去,打破开发运维和安全的⼈员之间的信息差。蜂巢可有效地帮助企业打造“看得清”“管得了”“防得住”“能融合”的安全平台。

安全的“木桶原理”

在分享企业安全建设心得时,水滴公司不仅在技术上建设云原生安全体系,在安全文化建设上,还会开设网络安全周,邀请各岗位的员工积极参与,学习基础安全技术知识和增强网络安全意识,同时聘请外部专业攻击队,与水滴公司一起开展攻防演练。

最后常春峰强调,安全最终还是要为业务服务,在安全于业务间取得平衡。但随着云原生的发展,传统的SDLC方式需要进一步升级,我们内部也在尝试 DevSecOps的方案实践。安全基线问题在时间管理四象限属于重要不紧急的范畴,在这个维度投入更多精力和时间,才更好的规避或是缓解更多的救火场面。归根到底,企业安全建设防护“木桶原理”同样适用,风险敞口不断的被收敛,对外的攻击面可以有效管控,安全团队才会更有信心。

嘉宾简介:常春峰,曾先后任职于奇虎360,58到家安全技术负责人和美团-摩拜安全专家,具有10年以上的甲乙方安全建设经验,北京航空航天大学MBA。2018年以联合创始人身份参与创业,在区块链金融方向领域,2019年加入水滴公司,经历了安全团队从0到1的建设,负责整体的信息安全建设工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/513514.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python依赖注入_如何做依赖注入python方式?

这一切都取决于情况.例如,如果您使用依赖注入来进行测试,所以您可以轻松地嘲笑某些内容 – 您可以经常放弃注入:您可以嘲笑您将注入的模块或类:subprocess.Popen some_mock_Popenresult subprocess.call(...)assert some_mock_popen.result resultsub…

java外部接口图解_java代码实现访问网络外部接口并获取数据的工具类详解

java代码实现访问网络外部接口并获取数据的工具类工具类代码,可以直接copy使用package com.yqzj.util;import org.apache.log4j.LogManager;import org.apache.log4j.Logger;import java.io.BufferedInputStream;import java.io.BufferedOutputStream;import java.i…

「技术人生」第2篇:学会分析事物的本质

简介: 对于研发同学而言,探究事物的本质,是最基础最核心最先需要被掌握的技能,没有之一。 作者:贺科学 技术一号位不是岗位,更多的是技术人员在公司中做事的一种心态,这个系列的文章适合所有想…

低代码能做什么?这家服务商用钉钉宜搭打造了智慧医院管理应用

简介: 谷瞰在医疗信息化领域积累的专业解决方案,如果能加持宜搭轻量级、高度灵活、极高效的开发支撑能力,可能是找到智慧医院快速落地的最优解。 “疫情作为催化剂,加速了医疗信息化的发展”,浙江谷瞰信息有限公司董事…

python socket能做什么_[python]初探socket

1.什么是socket?Socket中文译作:套接字,但是大家一般约定俗称的都用:socket。我想在解释socket是什么之前,先说它是用来干嘛的:socket是来建立‘通信’的基础,建立连接,传输数据——…

mysql sysdate本周_oracle 、mysql 取昨天 前天 本周 数据

查询今天数据:SELECT COUNT(1) FROM T_CALL_RECORDS WHERE TO_CHAR(T_RKSJ,‘YYYY-MM-DD‘)TO_CHAR(SYSDATE,‘YYYY-MM-DD‘)查询昨天数据:SELECT COUNT(1) FROM T_CALL_RECORDS WHERE TO_CHAR(T_RKSJ,‘YYYY-MM-DD‘)TO_CHAR(SYSDATE-1,‘YYYY-MM-DD‘)…

Fortinet:行走在网络和安全融合领域的最前列

近日,Fortinet 核心操作系统的演进暨 Fortinet SD-WAN 在2021年度Gartner 广域网边缘基础设施魔力象限的位置及其关键能力与场景宣讲成功举办。会议指出,在数字化转型过程中,攻击平面成倍增长、边缘无处不在,没有“安全”的“网络…

如何通过Graph+AI的方法打造高精度风控模型

简介: 阿里云图智能平台在金融行业已经帮助银行、保险等领域客户构建了金融风控、商品推荐、循环担保检测、异常指标监控、违规团伙挖掘等场景,通过穿透行业应用场景,帮助客户基于多维数据做出精准决策。 >>发布会传送门:h…

python虚拟环境安装的包在哪_如何使用virtualenv引导脚本在虚拟环境中安装python包?...

我想创建一个引导脚本来设置本地环境并在其中安装所有要求.我一直在尝试使用virtualenv.create_bootstrap_script,如docs所述.import virtualenvs virtualenv.create_bootstrap_script(import subprocessdef after_install(options, home_dir):subprocess.call([pip, install,…

实操指南 | Resource Queue如何实现对AnalyticDB PostgreSQL的资源管理?

简介: 作者:阿里云数据库OLAP产品部 - 子华 一 背景 AnalyticDB PostgreSQL版(简称ADB PG)是阿里云数据库团队基于PostgreSQL内核(简称PG)打造的一款云原生数据仓库产品。在数据实时交互式分析、HTAP、ETL…

python均分纸牌_Python实现比较扑克牌大小程序代码示例

是Udacity课程的第一个项目。先从宏观把握一下思路,目的是做一个比较德州扑克大小的问题首先,先抽象出一个处理的函数,它根据返回值的大小给出结果。之后我们在定义如何比较两个或者多个手牌的大小,为方便比较大小,我们…

底层基础软件崛起,达梦数据库的选择与收获

作者 | 宋慧 出品 | CSDN 作为基础软件三驾马车之一,数据库一直是 IT 系统的核心。中国 IT 应用发展迅速,创新的应用场景为操作系统、数据库这样的底层基础软件提供了新的发展机会。基础数据成为“十四五”的重点关注方向,中国数据库正在快…

Apache Flink在 bilibili 的多元化探索与实践

简介: bilibili 万亿级传输分发架构的落地,以及 AI 领域如何基于 Flink 打造一套完善的预处理实时 Pipeline。 本文由 bilibili 大数据实时平台负责人郑志升分享,本次分享核心讲解万亿级传输分发架构的落地,以及 AI 领域如何基于 …

【开通指南】 实时计算 Flink 全托管版本

简介: 【开通指南】实时计算 Flink 全托管版本 1、试用的实时计算 Flink 版产品是后付费还是预付费?是否有额外费用产生? 预付费,有额外的SLB费用,一天2元封顶。(开通 Flink 全托管产品,需使用…

tomcat启动成功 未加载项目_喜讯!济宁医学院附属医院SPD项目成功启动

济宁医学院附属医院(简称济医附院)始建于1951年,医院拥有79个临床科室,9个重症监护病区,开放床位3028张,是山东省首家通过JCI认证的大型综合医院,作为山东省区域医疗中心,早在2016年,医院就通过…

java like a_如何在Java中实现类似“ LIKE”运算符的SQL?

我需要Java中的比较器,该比较器的语义与sql"赞"运算符相同。例如:myComparator.like("digital","%ital%");myComparator.like("digital","%gi?a%");myComparator.like("digital","di…

Mendix发布全球低代码报告,中国软件与低代码发展远超全球

调查显示: 1、86%的受访者表示,企业对于开发人员的需求已经达到了白热化的程度。另外,78%的受访企业表示会依靠非技术人员来缓解IT部门的压力。 2、低代码开发用于标准化数据安全、数据建模和可视化、现有工作流程自动化等应用。 3、受访的IT…

Vineyard 加入 CNCF Sandbox,将继续瞄准云原生大数据分析领域

简介: Vineyard 是一个专为云原生环境下大数据分析场景中端到端工作流提供内存数据共享的分布式引擎,我们很高兴宣布 Vineyard 在 2021 年 4 月 27 日被云原生基金会(CNCF)TOC 接受为沙箱(Sandbox)项目。 作…

java 电子编号生成器_业务编号生成器

在我们实际做项目的过程中,时常需要生成一些跟业务相关的一些唯一的业务编号,这些编号又需要一定的规则,一般是每生成一个新的编号是在前一个编号的集成上尾号递增1个单位,下面是我业余时间写的一个编号生成器,直接贴代…

殷浩详解DDD:领域层设计规范

简介: 在一个DDD架构设计中,领域层的设计合理性会直接影响整个架构的代码结构以及应用层、基础设施层的设计。但是领域层设计又是有挑战的任务,特别是在一个业务逻辑相对复杂应用中,每一个业务规则是应该放在Entity、ValueObject …