“安全產(chǎn)品那么多，我怎么知道防住了？”“大家都說自己是云原生的，我看都是換湯不換藥”在與客戶溝通云原生安全方案的時候，經(jīng)常會遇到這樣的吐槽。越來越的客戶已經(jīng)開始了云原生化的技術(shù)架構(gòu)改造，也意識到了云原生安全的重要性。但是面對還未像傳統(tǒng)安全一樣形成格局的云原生安全市場，魚龍混雜，客戶往往花掉了很多的時間成本，采購成本，但是沒有得到自己想要的安全結(jié)果，慢慢對云原生安全充滿了懷疑：到底什么才是真正的云原生安全平臺？誰又真的有實力能做出有用的產(chǎn)品？

京東的云原生實踐

京東目前運營著全球最大規(guī)模的 Docker 集群、Kubernetes 集群，以及最復雜的 Vitess 集群之一，基本實現(xiàn)了“All in Containers”，是目前全球容器化最徹底的互聯(lián)網(wǎng)企業(yè)之一。

早在2014年，云原生技術(shù)爆發(fā)之前，京東就率先將Docker容器技術(shù)大規(guī)模應(yīng)用至生產(chǎn)環(huán)境。2016年開始實踐了Kubernetes技術(shù)，并成為Harbor 最早的一批用戶 。于2018年京東正式加入CNCF基金會，成為其首位白金會員。同時京東是 CNCF 開源項目最大的使用者與貢獻者之一，并在當年獲得CNCF終端用戶獎。2021年憑借在云原生領(lǐng)域的技術(shù)創(chuàng)新能力及大規(guī)模實踐成果，京東云的《ClickHouse云原生架構(gòu)演進之路》 入選2021年度最值得學習案例。在2022年開展的評選中， 行云成功入選了中國信通院“軟件質(zhì)效領(lǐng)航者”優(yōu)秀案例。

京東在每年的 6.18、11.11 都會面臨海量數(shù)據(jù)和流量增長，各種業(yè)務(wù)系統(tǒng)都面臨著前所未有的挑戰(zhàn)。通過對大規(guī)模的應(yīng)用開發(fā)和系統(tǒng)的保障實踐，京東云安全團隊總結(jié)出了一套符合DevSecOps場景的一體化全生命周期云原生安全防護理念，形成了保障全生命周期的CNAPP平臺——京東云原生安全平臺。

直擊痛點解決云原生的實際風險

云原生技術(shù)帶來了標準化和統(tǒng)一化，人們充分利用原生云能力的自動擴展、無中斷部署、自動化管理、彈性等特性進行應(yīng)用設(shè)計、部署和運維。同時云原生時代也面臨新的安全挑戰(zhàn)，例如鏡像漏洞與投毒、編排軟件漏洞、不安全配置利用、容器逃逸等。與此同時傳統(tǒng)舊的攻擊手段依然有效，包括漏洞利用、暴力破解、DDOS攻擊、病毒木馬、挖礦進程等等。面對這樣的風險變化，傳統(tǒng)的安全產(chǎn)品已經(jīng)無力應(yīng)對，而越來越多的客戶也意識到，堆疊式的安全防護方式已經(jīng)無法應(yīng)對云原生的環(huán)境變化。

京東云原生安全平臺符合Gartner定義的云原生應(yīng)用防護平臺（CNAPP）架構(gòu)，基于DevSecOps的全流程賦能企業(yè)高效開發(fā)運維及業(yè)務(wù)快速安的發(fā)展。

我們將安全能力左移，提供鏡像安全掃描與加固，鏡像啟動控制，可信鏡像維護與管理能力，保障供應(yīng)鏈安全。運行時提供容器入侵檢測與阻斷，容器逃逸檢測，容器安全基線加固，并提供編排安全能力包含集群審計，配置項檢測，集群漏洞檢測。在應(yīng)用安全層面提供微服務(wù)組件清點，RASP應(yīng)用防護，API安全檢測。云原生網(wǎng)絡(luò)層面提供容器網(wǎng)絡(luò)東西向可視化拓撲及微隔離策略配置。在基礎(chǔ)設(shè)施安全檢測與防護方面，包含長期實踐積累的節(jié)點漏洞檢測修復，入侵威脅檢測與隔離，等?；€檢測，敏感文件防護等。京東云原生安全平臺實現(xiàn)與CI/CD結(jié)合，基于DevSecOps的全流程全方位縱深防護，實現(xiàn)全平臺多集群統(tǒng)一防護，統(tǒng)一管理，統(tǒng)一運維，更高效更安全。

實踐沉淀一體化防護理念

京東云原生安全平臺主要定位于為用戶提供有效便捷的一體化云原生安全平臺，包含資產(chǎn)清點、鏡像安全、運行時安全、網(wǎng)絡(luò)安全、集群安全、節(jié)點安全等安全服務(wù)，提供從鏡像生成、存儲到運行時的全生命周期云原生安全解決方案。

一體化：并非多個安全產(chǎn)品的堆砌組合各自為政，而是由一個產(chǎn)品提供全面能力，統(tǒng)一控制端便捷管理，統(tǒng)一權(quán)限分發(fā)安全高效，統(tǒng)一策略配置，實現(xiàn)資產(chǎn)清點一體化，網(wǎng)絡(luò)防護一體化，鏡像容器節(jié)點應(yīng)用防護一體化，基礎(chǔ)設(shè)施安全一體化

全生命周期：覆蓋鏡像構(gòu)建，容器運行，應(yīng)用安全，編排安全，計算資源安全，網(wǎng)絡(luò)安全，貫穿整個生命周期。

?

京東云原生安全平臺產(chǎn)品架構(gòu)優(yōu)勢

云原生化部署

采用靈活的分層架構(gòu)設(shè)計，能夠基于用戶場景、行業(yè)、規(guī)模屬性靈活地進行私有化部署。我們的輕量化探針面向云原生kubernetes場景采用非侵入部署方式，還支持以Daemonset進行更加云原生化的自動一鍵部署、自動管理模式?？刂泼嬲w采用計算數(shù)據(jù)分離、接口計算分離的架構(gòu)，通過管控層進行探針管理、數(shù)據(jù)匯聚、任務(wù)管理，實現(xiàn)探針agent一鍵操作。所有數(shù)據(jù)都由存儲模塊統(tǒng)一管理，包括離線計算、在線計算、持久化存儲，支持多副本架構(gòu)，確保數(shù)據(jù)的安全性。通過中間層統(tǒng)一提供接口實現(xiàn)接口統(tǒng)一入口、統(tǒng)一管理。

?

?

混合多云適配豐富終端

以云原生架構(gòu)體系為基礎(chǔ)，支持跨平臺部署，京東云、混合云、私有云，其他云；適配多種終端，服務(wù)器、虛擬機、IDC、容器、裸金屬服務(wù)器等。

?

國產(chǎn)化適配主流系統(tǒng)

已成功交付麒麟/海光/飛騰/統(tǒng)信等多個信創(chuàng)系統(tǒng)，參與信創(chuàng)實驗室，獲得信創(chuàng)互認證，支撐運營商/政府/金融/制造/交通/醫(yī)療/能源等行業(yè)領(lǐng)域安全無憂的數(shù)字化轉(zhuǎn)型實踐。在信創(chuàng)漏洞挖掘領(lǐng)域持續(xù)投入，深入挖掘，在信創(chuàng)漏洞領(lǐng)域始終保持著領(lǐng)先的檢測和防護能力。

?

強大的未知威脅防護能力

京東云原生安全平臺基于機器學習查殺引擎將人工智能、算法和機器學習應(yīng)用于惡意代碼的預測、鑒定和阻止，在線和離線情況均能夠高效預測和預防已知和未知威脅。支持RASP能力，為每個應(yīng)用都配置了貼身保鏢。在fastJson、log4j零日漏洞發(fā)生期間，準確識別應(yīng)用行為，有效分辨出未知威脅和零日漏洞攻擊，保障京東集團未發(fā)生任何入侵事件。

審核編輯 黃宇