云原生安全防护技术探索与实践

全球数字经济背景下，数字化转型成为加速金融行业转型升级的必然选择。金融科技正在对金融行业进行着全业务流程的重塑，驱动金融业务创新发展，为用户带来全新的业务体验。

近年来，以容器、微服务、服务网格为代表的云原生技术应用成为金融行业数字化转型的标配环节。光大银行在探索应用云原生技术的同时，对云原生特有属性带来的安全风险和挑战开展了研究分析，并对云原生基础设施安全、云原生制品安全、云原生网络安全、云原生应用安全、云原生数据安全等多个层面安全防护技术进行了探索和实践。

一、云原生技术架构变革，带来新的安全风险和挑战

1.云原生基础设施安全风险和挑战

云原生技术架构的持续发展拉动了基础设施的变革，同时也带来新的安全挑战。容器运行时组件是云原生基础设施中承载云原生应用的核心，当存在安全漏洞或是配置不当都可能导致主机失陷甚至整个云平台失陷。编排引擎是管理容器生命周期和资源调度的平台，如果编排系统被入侵或滥用，可能导致整个集群被控制或崩溃。镜像仓库提供镜像存储备份、传输加密、权限管理与安全审计等服务，如果存在安全加固或配置不当的问题，则可能导致镜像被恶意篡改、信息泄露、非法访问等情况发生。

2.云原生制品安全风险和挑战

云原生技术和DevOps的广泛应用，将开发、测试、运维拉到统一战线，使得产品持续开发、测试、部署及频繁发布新版本，软件制品的数量和种类急剧增长，随之也引入了制品安全风险。在云原生软件开发过程中，编码不规范或使用不安全的组件包将引入代码安全风险。在构建容器镜像过程中，使用存在安全漏洞或配置不当的镜像时将引入镜像安全风险。在制品安全管理过程中，由于云原生制品繁多且种类庞杂，如果无法按照统一的安全策略管理众多软件制品，将面临制品安全管理的风险和挑战。

3.云原生网络安全风险和挑战

云原生网络随着无处不在的服务互联，网络边界逐渐模糊，网络安全风险波及范围同步扩张，加大了网络攻击横移和威胁扩散的风险。在敏捷开发和持续集成、持续部署的加持下，云原生应用建立和消亡高频发生，IP地址已不再是安全策略的可靠锚点，导致传统基于IP地址的静态网络安全策略失去作用位置而无法发挥效应。如何有效识别云工作负载、实施网络访问控制、可视化网络流量和审计网络访问行为，成为了云原生网络安全防护的新要求。

4.云原生应用安全风险和挑战

云原生应用的微服务化拆分带来应用间交互式端口的指数级增长，导致端口数量暴涨和攻击面扩大，多服务实例共享操作系统带来了单个漏洞的集群化扩散。同时，云原生应用以容器为载体极大地缩短了应用生命周期，也增加了安全防护、安全审计和攻击溯源难度。云原生应用除了面临着传统Web应用攻击、API攻击和应用层DDoS攻击等安全风险以外，同时引入了容器逃逸攻击、容器运行时安全攻击等新的安全威胁。

5.云原生数据安全风险和挑战

云原生应用在多云环境中部署和管理，其相较于传统应用正面临着更大的数据安全风险和挑战。一是数据泄露风险，云原生应用采用微服务化的设计模式，数据在多个服务之间进行传输和存储，加大了敏感数据泄露风险。二是数据篡改风险，云原生应用部署在资源共享的基础设施上，可能存在多租户之间隔离不彻底的情况，导致数据被破坏或篡改风险。三是数据窃取风险，云原生应用如果引入不安全第三方组件和共享方式，攻击者可利用安全漏洞对数据进行窃取。

二、构建云原生安全防护体系，持续筑牢金融科技数字安全屏障

构建有效的云原生安全防护体系是夯实银行数字化安全底座的基本保证。近年来，光大银行围绕金融业务应用上云需求，持续建设新一代全栈云平台，并将安全融入到云平台规划设计、建设实施和运营运维的整个过程，不断强化和完善云安全防护能力，向用户交付更安全的云服务。

1.云原生基础设施安全防护技术探索和实践

光大银行在云原生基础设施安全防护方面，一是以基础设施即代码（IaC）技术理念和方法，通过机器可读的定义文件来管理和配置云原生基础设施，针对不同场景提供定制化的安全基线和防护策略，同时通过安全扫描分析检测出潜在的安全漏洞和配置风险，并提供修复建议。二是基于身份及服务(IDaaS)的技术理念，实现了云原生基础设施权限的授予、解析、实施、撤销等操作统一管理，并在多云环境中实施最小权限原则，以减少不合规的身份和访问权限，持续修复访问安全风险。三是构建可信计算防护体系，对云原生环境进行可信度量、可信记录和可信报告，自动化监控分析用户实体行为合规性，持续评估安全态势。

2.云原生制品安全防护技术探索和实践

云原生制品安全贯穿于云原生应用的全生命周期，尽早地发现安全问题并且及时解决安全威胁，将有助于进一步降低云原生安全运营成本，提升整体安全防护水平。光大银行基于“安全左移”架构原则，将“安全”基因嵌入到软件制品的全生命周期，积极应对云原生制品安全风险和挑战。在云原生软件设计开发和测试阶段，结合静态安全测试、动态安全测试、交互式安全测试等技术手段和工具平台，不断提高软件代码安全测试的效率和准确率。同时，通过建设全栈云制品库平台，对云原生制品的统一管理、安全扫描、访问控制、同步分发、质量管控、安全溯源等安全管理，以高标准的“准入”+“准出”要求进行安全管控，实现云原生制品上线即安全，有效减少攻击面，降低安全运营成本。

3.云原生网络安全防护技术探索和实践

光大银行基于零信任安全建设思路，将微隔离安全能力内嵌融合于云平台中，实现了从管控对象纳管，到资产身份确认，再到细粒度访问控制，都与云原生业务应用紧密一致。微隔离技术相比于传统防火墙的隔离技术，一方面能够针对业务身份角色和业务之间的关系，从业务视角更细粒度的实现微服务之间的访问隔离，从而降低网络攻击的横向移动；另一方面能够自动化应对云原生应用和网络的快速变化，自适应生成全新的访问控制策略，在云工作负载中快速部署和生效。同时，结合微隔离系统跨平台、跨集群的集约化管理能力，实现两地多中心、多云架构的复杂数据中心场景下对容器、虚拟机、裸金属多种类型工作负载的统一纳管，为云原生网络规模化扩展提供统一安全保障和有力支撑。

4.云原生应用安全防护技术探索和实践

光大银行针对云原生应用新的安全防护需求，通过建设云原生应用安全防护平台，进一步提升容器逃逸攻击、Web应用安全、API安全攻击的检测能力和主动防御能力。从攻击流量识别、攻击行为分析、智能防护策略和威胁情报分析等多个维度，扩展安全防护的广度和深度。同时，在云原生API网关和服务网格等技术组件中内嵌API的鉴权、限流、加密和签名等功能，进一步强化云原生安全能力，防止云原生应用API被滥用和篡改。

5.云原生数据安全防护技术探索和实践

光大银行基于数据分类分级安全防护原则，积极应对云原生数据被篡改、破坏、泄露或者非法获取和利用的风险和挑战。一是建设密钥管理基础设施和数据加密平台，对重要数据进行加密保护，以确保重要数据的安全性。二是建设数据脱敏和数据防泄漏平台，建立敏感数据屏蔽规范，实现敏感信息的统一管理，防止敏感信息泄露，保障个人隐私安全。三是建设多方安全计算平台，保障数据流通安全，激发数据价值，为数据共享、数据开放、数据资产经营等探索实践提供核心能力支撑。

三、未来展望

随着云原生技术的发展和应用，云原生安全技术将持续演进升级，并与人工智能、大数据等技术深度融合，不断提升安全防护智能化和精细化程度，同时结合威胁情报大数据更好地应对新型安全威胁。

未来，光大银行将持续关注和研究云原生安全技术发展趋势和最佳实践，不断夯实云原生安全基石，强化金融科技数字安全屏障，为客户提供更加智能、便捷、安全的金融服务。