绿盟科技荣获2022安全样板工程(云原生安全)
当前,数字化、网络化、智能化成为数字经济时代发展的重要特征。与此同时,网络安全也在向体系化、常态化、实战化方向迈进,网络安全建设正从产品驱动向服务驱动转变。在此背景下,《网络安全和信息化》杂志推出“2022安全样板工程”系列专题,通过样板案例展示,向广大企业用户推介网络安全建设思路和经验,提升企业网络安全防护能力,更好地护航数字经济发展。绿盟科技5G边缘计算云原生安全保护方案成功入选2022安全样板工程(云原生安全)。
5G边缘计算带来高性能、低时延与高带宽的电信级服务环境,为各类行业应用带来更多可能。5G边缘计算广泛采用以容器为代表的云原生技术,但是容器和容器编排平台(Kubernetes)等云原生技术应用也为边缘计算带来新的安全挑战。
1.应用安全。边缘计算节点利用容器承载着第三方的多种行业应用,然而这些行业应用和API可能会在开发和设计过程中引入漏洞。这些漏洞通过镜像快速交付到边缘节点,一旦运行将会被攻击,造成数据泄露,甚至是过渡耗费边缘节点有限的资源。
2.网络安全。各类行业应用提供服务,多类型和大量的设备接入,将会增加边缘计算节点的暴露面,更易被攻击。如果单个应用的组件之间未做好隔离,一旦组件被攻击,将会造成组件间的横向攻击,甚至造成边缘计算节点被攻击,危及更多应用。
3.基础设施安全。边缘计算节点使用Kubernetes来运行边缘计算平台和行业应用。因Kubernetes或容器运行时未实施正确配置而造成的攻击层出不穷,必须要正确维护Kubernetes和运行时的配置基线。
4.分散管理。边缘计算节点分布在多个机房,涉及多个运营方和责任方,对安全提出了更高的要求。边缘计算平台或各应用的组件未及时升级,会导致漏洞利用。安全设备的部署方式和各设备的分散管理模式,会增加运维工作量。
部署过程
绿盟科技秉承持续检测的安全理念,提出5G边缘计算云原生安全保护方案。本方案依托云原生容器安全平台,对行业应用的镜像、网络、应用和基础环境等进行全方位和全生命周期的检测和分析。在集中部署的安全平台中,统一和直观展示各边缘节点的安全风险,并通过容器化交付安全能力,接入到边缘计算节点中,最终为边缘计算提供贴身的安全保护。架构如下图所示。
1.多节点统一安全管理
本方案集中部署一套云原生容器安全平台,统一管理分布式部署在各边缘节点中的云原生安全能力,集中呈现各节点的安全风险,降低边缘节点的安全管理量,从而可以快速发现问题和处置问题。云原生安全管理平台支持细粒度权限管理,可以为边缘节点的运营方和行业应用方划分不同权限,帮助其履行各自安全职责。
2.容器化部署易管理
本方案所采用的云原生容器安全平台,实现容器化部署,支持将平台和各安全能力打包成容器镜像,快速和自动地交付到边缘计算节点中,当安全能力不足时,自动化进行扩展,兼容Kubernetes和Docker等多种云原生环境,降低了对边缘节点的云原生环境影响。同时,平台通过容器交付,可以被Kubernetes等编排工具进行监控,更加安全。
3.全方位和全时安全防护
本方案提供了镜像安全扫描、运行时保护和基础设施配置核查等能力。当行业应用上线时,自动进行镜像检测,可以发现软件漏洞和敏感信息,实现“有问题、不上线”。应用上线后,对应用的组件进行微隔离,检测组件间的网络入侵行为和应用层攻击,及时阻止组件间的攻击;对行业应用容器的运行时进行检测,及时发现异常行为和零日攻击。同时,本方案会对Kubernetes和Docker等基础组件进行合规性检测,消除不安全配置。最终,本方案对行业应用的镜像、运行时、网络以及容器软件和编排工具等组件,进行全访问和全生命周期的防护。
4.持续研发增强安全能力
绿盟科技一直在进行云原生领域的安全研究,孵化了多款云安全产品,开源了云原生开源靶场,提供云原生环境的资产风险测绘能力。本方案通过威胁情报,将这些研究成果和情报信息,持续同步到云原生容器安全平台,增强云原生安全能力,从而快速发现边缘节点的云原生安全问题,提升恶意代码、漏洞检测等安全防护效果。
实施效果与经验价值
1.构建安全边缘计算,保护行业应用
通过镜像扫描和流量威胁检测组件,提升容器网络安全能力,覆盖边缘计算和行业应用的各组件和全生命周期安全检测需求,持续转化云原生安全攻防研究成果,提供7×24小时持续专业容器安全运营服务,保障边缘计算中的行业应用安全。
2.统一安全管理,提升管理效率
通过集中的云原生容器安全平台,统一进行安全状态展示和安全事件处置,提升安全发现和处置效率;监控各安全能力的运行状态,当安全能力无法满足防护需求时,自动扩展安全能力;与边缘计算环境对接,持续检测镜像更新和业务节点数量,当新增镜像和边缘节点时,快速扫描和快速部署安全能力,最快发现镜像风险和保护边缘节点,运维效率提升50%以上。
3.安全容器化交付,降低环境影响
云原生容器安全平台各组件以镜像方式交付和容器化运行,严格限制容器的权限,防止容器权限过大,间接影响行业应用运行;与边缘计算环境的Kubernetes对接,控制和监控容器的资源阈值,不会过度占用边缘节点资源,进一步降低对行业应用的影响。
