京東云發(fā)布云原生安全平臺 構(gòu)建一體化云原生安全防御體系

9月1日消息，面對鏡像漏洞與投毒、編排軟件漏洞、不安全配置利用、容器逃逸等安全挑戰(zhàn)，京東云近日發(fā)布云原生安全平臺，包含資產(chǎn)清點、鏡像安全、運行時安全、網(wǎng)絡(luò)安全、集群安全、節(jié)點安全等安全服務(wù)，提供從鏡像生成、存儲到運行時的全生命周期云原生安全解決方案。

每年的京東618、雙11都會面臨高并發(fā)、大流量的技術(shù)挑戰(zhàn)。通過對大規(guī)模的應(yīng)用開發(fā)和系統(tǒng)的保障實踐，京東云安全團隊總結(jié)出了一套符合DevSecOps場景的一體化全生命周期云原生安全防護理念，形成了保障全生命周期的CNAPP平臺——京東云原生安全平臺。

圖源：京東云公眾號

該平臺由一個產(chǎn)品提供全面能力，統(tǒng)一控制端、統(tǒng)一權(quán)限分發(fā)、統(tǒng)一策略配置，實現(xiàn)資產(chǎn)清點一體化、網(wǎng)絡(luò)防護一體化、鏡像容器節(jié)點應(yīng)用防護一體化和基礎(chǔ)設(shè)施安全一體化。與此同時，平臺覆蓋鏡像構(gòu)建、容器運行、應(yīng)用安全、編排安全、計算資源安全、網(wǎng)絡(luò)安全，貫穿整個生命周期。

早在2014年，云原生技術(shù)爆發(fā)之前，京東就率先將Docker容器技術(shù)大規(guī)模應(yīng)用至生產(chǎn)環(huán)境。2016年開始實踐了Kubernetes技術(shù)，并成為Harbor最早的一批用戶 。2018年，京東云正式加入CNCF基金會，成為其首位白金會員。京東云是CNCF開源項目最大的使用者與貢獻者之一，并在當(dāng)年獲得CNCF終端用戶獎。

目前，京東云運營著全球最大規(guī)模的Docker集群、Kubernetes集群，以及最復(fù)雜的 Vitess 集群之一，是目前全球容器化最徹底的科技企業(yè)之一。

截自京東云官網(wǎng)

基于多年的云原生實踐，京東云原生安全平臺沉淀了云原生化部署、混合多云適配豐富終端、國產(chǎn)化適配主流系統(tǒng)等架構(gòu)優(yōu)勢。

具體來看，京東云采用靈活的分層架構(gòu)設(shè)計，能夠基于用戶場景、行業(yè)、規(guī)模屬性靈活地進行私有化部署。輕量化探針面向云原生kubernetes場景采用非侵入部署方式，還支持以Daemonset進行更加云原生化的自動一鍵部署、自動管理模式?？刂泼嬲w采用計算數(shù)據(jù)分離、接口計算分離的架構(gòu)，通過管控層進行探針管理、數(shù)據(jù)匯聚、任務(wù)管理，實現(xiàn)探針agent一鍵操作。

所有數(shù)據(jù)都由存儲模塊統(tǒng)一管理，包括離線計算、在線計算、持久化存儲，支持多副本架構(gòu)，確保數(shù)據(jù)的安全性。通過中間層統(tǒng)一提供接口實現(xiàn)接口統(tǒng)一入口、統(tǒng)一管理。

圖源：京東云公眾號

此外，京東云通過自動采集、學(xué)習(xí)網(wǎng)絡(luò)流量，多種方式智能分析流量與應(yīng)用關(guān)聯(lián)關(guān)系，基于應(yīng)用視角自動構(gòu)建網(wǎng)絡(luò)架構(gòu)拓撲，真正實現(xiàn)每一個應(yīng)用網(wǎng)絡(luò)架構(gòu)都清晰可見，不再是雜亂無章的網(wǎng)絡(luò)“毛線團”。

與新興云原生安全廠商不同，京東云原生安全能夠做到強大的基礎(chǔ)設(shè)施防護，覆蓋節(jié)點漏洞，病毒木馬，網(wǎng)頁木馬，可疑操作，暴力破解，異常登錄等安全檢測與防護。自研云查殺引擎識別已知病毒檢測99%，未知病毒識別率高達97%。