圖:火山引擎云原生安全架構(gòu)圖
其架構(gòu)設(shè)計(jì)核心理念是:在需求設(shè)計(jì)階段��,從全生命周期階段確保DevSecOps��,做到安全融入產(chǎn)品設(shè)計(jì)��,實(shí)現(xiàn)“設(shè)計(jì)安全”��,從代碼及供應(yīng)鏈上進(jìn)行主動(dòng)漏洞掃描��、異常代碼檢測(cè)等�;在開(kāi)發(fā)階段(Dev),遵循“安全左移”原則��,達(dá)到上線即安全�����;在運(yùn)營(yíng)階段(Ops)���,遵循“持續(xù)監(jiān)控及響應(yīng)”原則,融合資產(chǎn)清點(diǎn)���、微隔離�、入侵檢測(cè)����、安全響應(yīng)�、溯源分析����、威脅狩獵等安全能力,形成預(yù)測(cè)���、防御����、檢測(cè)��、響應(yīng)的安全閉環(huán)����,做到“自適應(yīng)安全”。
三大核心優(yōu)勢(shì)�,助力企業(yè)構(gòu)建云原生安全體系
優(yōu)勢(shì)一:云原生應(yīng)用全生命周期的全覆蓋
提供覆蓋云原生應(yīng)用生命周期的全鏈路防護(hù),是火山引擎云原生安全解決方案的第一個(gè)優(yōu)勢(shì)�����。在云原生應(yīng)用的設(shè)計(jì)開(kāi)發(fā)階段���,方案通過(guò)風(fēng)險(xiǎn)評(píng)估��、開(kāi)發(fā)修復(fù)包等一系列工具����,收集安全需求,確保代碼風(fēng)險(xiǎn)加固和安全編碼開(kāi)發(fā)���,實(shí)現(xiàn)開(kāi)源安全治理�。在應(yīng)用構(gòu)建分發(fā)時(shí)�����,嚴(yán)格把關(guān)CI構(gòu)建掃描與測(cè)試環(huán)境�,加強(qiáng)鏡像保護(hù),確保安全風(fēng)險(xiǎn)降至最低���。在應(yīng)用部署交付階段,針對(duì)云原生部署環(huán)境與鏡像啟動(dòng)條件的安全風(fēng)險(xiǎn)做好細(xì)致核查�����,同時(shí)確保容器合規(guī)運(yùn)行與容器網(wǎng)絡(luò)有效控制���。最后��,通過(guò)攻擊威脅檢測(cè)與安全事件審計(jì)等多種常態(tài)化措施��,確保應(yīng)用上線后的運(yùn)行安全��。
該方案所包含的一系列云原生安全工具����,能夠以安全卡點(diǎn)的方式,與 DevOps工作流深度集成�����,在應(yīng)用開(kāi)發(fā)的前期階段實(shí)現(xiàn)安全風(fēng)險(xiǎn)的早發(fā)現(xiàn)與早解決����,避免在應(yīng)用上線運(yùn)行階段由于突發(fā)安全問(wèn)題導(dǎo)致服務(wù)宕機(jī),最大化降低安全成本���,減少企業(yè)資產(chǎn)流失���。
優(yōu)勢(shì)二:源于字節(jié)跳動(dòng)大規(guī)模云原生業(yè)務(wù)系統(tǒng)安全實(shí)踐驗(yàn)證
火山引擎云原生安全解決方案對(duì)云原生應(yīng)用全生命周期的可靠覆蓋,核心與前提是每一項(xiàng)具體安全工具的高度可靠���?��;鹕揭嬖圃踩ぞ呔邆涿黠@的優(yōu)勢(shì)�,如主機(jī)節(jié)點(diǎn)安全���、RASP���、網(wǎng)絡(luò)4/7微隔離控制等。據(jù)介紹����,火山引擎云原生安全產(chǎn)品方案已服務(wù)于字節(jié)跳動(dòng)百萬(wàn)級(jí)主機(jī)節(jié)點(diǎn)、千萬(wàn)級(jí)容器的云原生業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行�。
此外,針對(duì)傳統(tǒng)安全工具分散�����、風(fēng)險(xiǎn)信息缺乏連貫性等問(wèn)題�����,該方案提供統(tǒng)一的安全風(fēng)險(xiǎn)管理平臺(tái)�����,通過(guò)深度對(duì)接云原生應(yīng)用開(kāi)發(fā)各階段的安全工具���,收集�、解讀應(yīng)用全生命周期中的安全數(shù)據(jù)����,生成應(yīng)用安全風(fēng)險(xiǎn)分析,為企業(yè)賦予跨開(kāi)發(fā)構(gòu)建到部署運(yùn)行的一致性風(fēng)險(xiǎn)感知控制能力���,實(shí)現(xiàn)安全管理工作效率的顯著提高�。
火山引擎云原生安全解決方案源于字節(jié)跳動(dòng)內(nèi)部云原生安全實(shí)踐���,已服務(wù)于字節(jié)跳動(dòng)百萬(wàn)級(jí)主機(jī)節(jié)點(diǎn)����、千萬(wàn)級(jí)容器��、10萬(wàn)+在線微服務(wù)����、3萬(wàn)+單日平均線上變更的云原生業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。
優(yōu)勢(shì)三:多云架構(gòu)下云原生安全統(tǒng)一管理
多云部署,是企業(yè)在當(dāng)下與未來(lái)上云過(guò)程中選擇最為廣泛的一種部署方式���。在企業(yè)架構(gòu)向多云���、混合云及混合架構(gòu)轉(zhuǎn)變的趨勢(shì)下,云原生安全產(chǎn)品需要兼容多云擴(kuò)展檢測(cè)能力���,通過(guò)數(shù)據(jù)整合�、響應(yīng)聯(lián)動(dòng)實(shí)現(xiàn)全面洞察與防護(hù)��。
火山引擎云原生安全解決方案提供針對(duì)性工具與辦法��,解決由于多云架構(gòu)特殊屬性導(dǎo)致的安全漏洞����。企業(yè)在以多云架構(gòu)形式上云過(guò)程中,由于云原生資源分散化部署�����,導(dǎo)致其面臨著安全產(chǎn)品防護(hù)覆蓋低���,安全基線標(biāo)準(zhǔn)不統(tǒng)一等諸多問(wèn)題���。
對(duì)此,火山引擎云原生安全方案圍繞多云資產(chǎn)與身份管理����、多云分析與態(tài)勢(shì)感知,打造多云安全管理平臺(tái)�,實(shí)現(xiàn)一套合規(guī)標(biāo)準(zhǔn)在多個(gè)云上同步實(shí)施,同時(shí)管理多個(gè)公有云��、私有云����、混合云及異構(gòu)資源的安全風(fēng)險(xiǎn),提供多云架構(gòu)下云原生安全的統(tǒng)一管理運(yùn)營(yíng)和持續(xù)合規(guī)治理��,提升整體運(yùn)營(yíng)效率���。
頭部企業(yè)制造商的云原生安全實(shí)踐
火山引擎云原生安全解決方案不僅經(jīng)過(guò)了字節(jié)跳動(dòng)內(nèi)部多種云原生復(fù)雜場(chǎng)景的苛刻驗(yàn)證���,還幫助眾多外部企業(yè)完成了云原生安全體系建設(shè)。
如針對(duì)車聯(lián)網(wǎng)云的整體安全防護(hù)搭建�,某頭部汽車制造商通過(guò)火山引擎云原生安全解決方案與既有DevOps平臺(tái)深度融合,在每個(gè)階段設(shè)置安全掃描與阻斷卡點(diǎn)����,實(shí)現(xiàn)了對(duì)安全風(fēng)險(xiǎn)的全面控制���。火山引擎云原生安全解決方案將安全問(wèn)題控制在開(kāi)發(fā)測(cè)試階段��,幫助該頭部車企大大降低了安全修復(fù)成本與生產(chǎn)環(huán)境下的安全風(fēng)險(xiǎn)���,減輕了生產(chǎn)環(huán)境的安全運(yùn)維壓力����,提高生產(chǎn)環(huán)境的安全質(zhì)量�����,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的高質(zhì)量交付��。
火山引擎云原生安全解決方案能夠幫助企業(yè)在云原生應(yīng)用開(kāi)發(fā)構(gòu)建�、部署運(yùn)行的全生命周期中,生成原生化的安全免疫能力�����,建立起敏捷�����、可靠的云原生安全體系。據(jù)介紹����,火山引擎未來(lái)還將在多云安全���、大模型安全�、隱私和數(shù)據(jù)安全等領(lǐng)域持續(xù)發(fā)力����,推動(dòng)其安全領(lǐng)域解決方案的持續(xù)進(jìn)化,助力企業(yè)牢筑云戰(zhàn)略安全防線��,提升企業(yè)業(yè)務(wù)敏捷迭代與業(yè)務(wù)創(chuàng)新��。
比.jpg)
