乐趣区

关于安全防护:金融云原生漫谈六|你在用的云原生平台真的安全吗

在金融行业数字化转型的驱动下,国有银行、股份制银行和各级商业银行也纷纷步入容器化的过程。

如果以容器云上生产为指标,那么整个容器云平台的设计、建设和优化对于银行来说是一个微小的挑战。如何更好地利用云原生技术,帮忙银行实现麻利、轻量、疾速、高效地进行开发、测试、交付和运维一体化,从而重构业务,推动金融科技的倒退,是个长期课题。

本期金融云原生漫谈,将和您聊一聊如何构建平安的云原生平台。


以容器和微服务为代表的云原生技术,对于金融行业来说,既是时机,也是挑战。时机在于,云原生技术正在助力银行通过差异化业务进行翻新,疾速取得更多用户的青眼;挑战在于,比任何行业都要强调平安稳固的金融业,如何在飞速更迭的技术环境下,放弃稳态业务继续倒退的同时,做到既稳又快。

金融行业云原生平台的安全性近年来失去越来越多的关注,为了满足容器的高牢靠、高性能的基本保障,平安建设至关重要,但又十分宏观,波及到方方面面。不仅仅是被动的进攻和预先的查漏补缺,也包含态势感知,主动防御等内容,应该作为一个整体去考量和布局。

  • 容器平安包含哪几个层面?
  • 容器平安防护实际从何动手?
  • 如何从全生命周期躲避容器化革新过程中的平安问题?

心愿本篇文章能带给您启发。

容器平安包含哪几个层面?

Docker 和 K8s 会不可避免地存在破绽,每次破绽修复都要大规模降级集群,每次降级有可能对下面运行的容器造成影响,对 K8s 的运维是十分大的压力。那么咱们如何保障容器平台平安呢?

基于云原生平台的档次架构,咱们能够从以下 4 个层面来对待这个问题:

  • 在容器及 K8s 层面 ,通常须要保障镜像平安、容器运行时平安、容器网络安全、权限平安等问题。另外,能够进一步关注 K8s 的 Pod 安全策略 PSP。
  • 在平台层面 ,集群隔离、租户平安、用户隔离、网络 ACL、审计、DevSecOps、NetworkPolicy、平台高可用、HTTPS 接入平安等都是平台从平台层面提供的平安能力。平台本身的破绽扫描、组件破绽等问题须要厂商发版前做严格的漏扫,做到无效的解决。很多客户在洽购过程中,都会要求厂商提供将来每个版本的平安检测报告。
  • 在利用层面 ,能够通过 DevSecOps 在开发过程中为利用提供平安保障。另外,平台会提供利用高可用保障、利用平安接入、跨域策略、数据高可用等能力,为利用进一步提供平安保障。通常,咱们倡议针对面向的互联网利用,能够叠加上前端安全设备的 WAF、DDos、防 Sql 注入等能力将进一步晋升利用的安全性。
  • 在运维层面 ,能够采纳业务高峰期的重保服务作为保障平台失常运行的另一个策略。

容器平安防护实际从何动手?

云原生平安离不开容器平安,容器的平安防护倡议从以下方面开始着手评估和实际:

一、基础设施层

  • 操作系统平安 :首先须要明确一点,波及容器云工作节点的操作系统要应用遵循平安准则的操作系统。应用防火墙,端口阻止等安全措施。零碎惯例安全更新和修补程序在可用后必须立刻利用,避免黑客和入侵者利用已知破绽。应用最小化操作系统,同时精简和平台不相干的预置组件,从而升高零碎的攻击面。应用第三方平安加固工具,定义了零碎上的应用程序,过程和文件的访问控制等。建设审核和日志记录流程,确保构建平台的所用的操作系统是平安合规的。
  • 网络层平安 :实现治理立体业务立体流量隔离、起码的端口裸露。
  • 存储平安 :定时快照和备份并对敏感数据进行加密。

二、平台层平安

  • 平安扫描 :对容器调度和治理平台自身,须要先实现平安基线测试,平台平安扫描;
  • 审计 :对平台层用户操作进行审计,同时也须要我的项目层面的资源和操作审计;
  • 受权 :对平台履行权限管制,能基于角色 / 我的项目 / 性能等不同维度进行受权;
  • 备份 :定期备份平台数据;
  • 巡检 :选用具备自动化巡检能力的平台产品。

三、容器平安

  • 镜像平安 :容器应用非 root 用户运行,应用平安的根底镜像,定时对镜像进行安全漏洞扫描;
  • 运行时平安 :次要是对容器在容器平台上运行过程中的对于宿主机零碎以内平安设置,例如容器特权、晋升权限、主机 PID、主机 IPC、主机网络、只读文件系统等平安限度。同时倡议具备限度容器对于底层宿主机目录的拜访限度。限度容器对于内部网络端口裸露的范畴限度。用户限定某些敏感我的项目独占宿主机,实现业务隔离;
  • 容器网络安全 :能够通过 Networkpolicy 模板,对于所有 Pod 之间、Namespace 和 Pod 之间等进行 IP、端口、标签等细颗粒度的容器安全策略,同时在集群外部为 Namespace 划分子网、并且对于不同的 namespace 之间的子网设置白名单,进行访问控制。

如何从全生命周期躲避容器化革新过程中的平安问题?

家喻户晓,容器化革新过程中的平安问题也不容小觑。咱们通过观察发现,在过来三年业界也有一些容器失败的案例,根本问题就是:测试业务零碎迁徙到容器平台过程中,出问题运维团队不能及时处理,导致业务开发人员对容器平台的稳定性、可靠性产生质疑,最终导致我的项目失败。

因而,为了尽可能地躲避这类平安问题,倡议在容器化我的项目施行过程中,先对接现有的运维体系、平安体系和相干工具平台,在整体纳入到现有 IT 保障体系的根底上,将无限资源聚焦于容器平台的保障上。

再者,因为容器运维与传统运维之间有很大的技术门槛,所以也能够思考购买业余技术厂商的驻场服务,解决平台的平安加固和平台运维问题。金融企业本人聚焦于容器平台的培训、利用推广等产生 IT 价值的工作。

综上,云原生平台的平安建设并非欲速不达,而是一个须要不断完善、迭代积攒的过程,前期还会波及到性能布局、平台运维、降级施行、平安重保、利用迁徙、服务革新、流程设计等一系列相干问题,倡议金融企业在洽购产品的同时,器重服务,采纳甲乙双方更加紧密配合的我的项目建设 / 服务模式,从金融企业的本身状况登程,有针对性地躲避容器化革新过程中的平安问题,安稳且高效地实现金融级云原生平台的平安构建。

咱们置信,容器作为云原生的重要组成部分,必将紧跟云原生的倒退热潮,向更加平安、可信的方向倒退。

退出移动版