小佑科技两案例荣获信通院首批“云安全守卫者计划”优秀案例

全栈云容器安全平台建设

案例背景：

案例应用方中国光大银行股份有限公司自2017年开始积极探索容器技术，旨在运用分布式微服务框架、云中间件、容器、DevOps等前沿技术，搭建可提供横向扩展、秒级伸缩、智能运维、适应快速开发持续交付的全栈云，为银行提供向互联网金融转型最适配的基础架构。

截止目前，光大银行全栈云容器平台基于IaaS私有云“两地三中心”架构部署，底层使用IaaS提供的云主机千余台，运行容器数量达到2万余个，涉及开发、测试、预投产、生产环境的多个Kubernetes集群、SDN网络单元。在全栈云容器平台上承载的业务系统近50个。

解决方案：

作为光大银行云原生技术合作伙伴，小佑科技深度理解光大银行的现状及相关建设要求，基于云原生安全的理念，从容器视角为云原生的全生命提供整体安全防护的解决方案。平台具备的功能包括资产梳理、镜像扫描、漏洞管理、运行时入侵监测与防护、网络微隔离、合规审计等功能。

通过践行安全左移的理念，“镜界”产品提供了开发阶段扫描，节省安全运营成本。在运行时防护方面，使用智能测试、机器学习与威胁预测的方式来确保容器及容器内的应用安全。另外，镜界还支持与DevOps流程进行集成，形成更完整的DevSecOps方案，更全面高效地保护客户的云原生资产。

中信证券云原生安全实践

案例背景：

案例应用方中信证券股份有限公司致力于打造行业领先的人工智能应用研发、部署、运行统一云平台，提供统一的数据、算力和研发运行环境。

解决方案：

小佑科技在深度理解中信证券OpenShift云原生平台安全防护需求的基础之上，设计了能覆盖构建、传输、运行时容器全生命周期的防御体系。基于安全左移设计理念，在构建阶段扫描本地镜像安全问题并阻止危险镜像上传，在传输阶段扫描仓库镜像安全问题并阻止危险镜像下载，在运行阶段扫描节点镜像安全并阻止危险镜像运行。每个阶段皆有检测和控制手段。

本方案支持在 RedHat CoreOS 系统上部署, 适配了 OpenShift V4 平台的 podman 客户端和 CRI-O 容器运行时。

安全防护平台本身就是遵守云原生应用开发的最佳实践，所有安全组件皆是无状态模式部署，支持动态扩缩容，使用多副本保证容错能力。

方案建设完成后，制定并施行了企业云平台安全使用规范，实现了镜像安全问题的自动化扫描，严格控制了镜像准入流程中的各个环节，解决了由配置合规性引起的安全问题，加固了集群的薄弱配置项，极大的提高了集群整体的安全水平，保障平台业务稳定运行，助力平台业务不断创新。

往期推荐