案例分享｜基金行业容器安全建设思路

案例分享｜基金行业容器安全建设思路

随着云计算、大数据、AI等创新技术在基金行业的广泛应用，容器技术因其弹性伸缩和秒级启动的特性而受到青睐。然而，容器技术的深度应用也带来了新的安全挑战。本文将分享基金行业容器安全建设的思路和方案，帮助企业在享受容器技术带来的便利的同时，确保业务安全稳定运行。

建设背景

证券基金行业对信息技术和数据高度依赖，随着现代信息技术与业务的深度融合，科技技术对行业的发展起到了越来越重要的作用。随着国内线上支持方式的兴起，技术部门开始走向前台，通过不断引进云计算、大数据、AI等创新技术，实现为业务赋能。容器技术是其中的代表技术，其弹性伸缩和秒级启动的特性，在基金行业受到广泛应用。然而，容器技术的深度应用在给行业发展带来机遇的同时也给信息安全工作带来了新的挑战。

相较于传统安全而言，容器技术是一种半虚拟化技术，在安全上是天然存在弊端的，一旦这些不足被部署、应用在企业内网中，并且缺乏对应的防护手段，将给企业带来不可估量的损失。

故企业内部需重视容器环境的安全建设，安全防护范围需要前移，防护粒度需要更细，也需要静态安全与动态安全防护相结合。

建设方案

1. 安全左移

传统的安全只关注资产本身是否安全，并不关注流程的自动化。基金行业客户在建设容器安全防护平台的同时，需重点关注云原生安全的流程，在精简，可落地的基础上需具备自动化水平，减少流程中因人为因素带来的风险。

以镜像的流转过程为例，此次容器安全防护平台的建设，增加了对安全镜像的识别及自动管控的能力。识别到安全镜像, 并对镜像增加安全标记后, 可自动同步到生产镜像仓库。生产镜像仓库只允许从平台上同步镜像, 同时在平台中将生产镜像仓库设置为可信镜像仓库, 并阻止非可信镜像运行, 这样可以保证生产环境中运行的镜像都是安全镜像，实现安全左移。

2. 动静结合的分析能力

基金行业业务与用户资产息息相关，业务的安全是IT建设的重中之重。如何快速锁定真正容易被攻击的漏洞是安全团队首要考虑的问题。为了解决上述问题，我们为用户提供镜像与容器的深度关联分析能力。通过对镜像中的开源软件进行成分分析、依赖分析、特征分析、 引用识别等多种技术组合能够精确识别软件中的开源组件信息，并结合容器运行过程中依赖的环境，启动的应用等，快速准确识别应用程序是否实际使用了易受攻击的组件，进一步确认漏洞的真实有效性，使开发人员避免面对数量巨大的误报和无法利用的漏洞，帮助他们区分优先级，将有限的修复精力集中在真正重要的漏洞上。

云原生安全是云原生技术与安全技术的结合，通过提供容器粒度的安全审计，对异常历史容器进行溯源分析的能力，能对基金用户出现的云原生安全问题进行深度的监控、防护以及处理，为云原生应用的稳定运行提供保障。

3. 最小化访问权限

基金行业用户对数据的敏感程度较高，容器集群中的网络默认情况下是没有任何安全限制的，大大减弱了业务数据在传输过程中的安全性。在建设容器安全平台的过程中，通过网络雷达实现业务视角的连接关系可视化分析，再结合分析结果制定微隔离策略，并提供基于业务属性标签的精细化策略管理能力。

制定策略后，可先使用预发布策略，预发布策略只对违反策略的流量进行告警不进行阻断。当策略确认没问题后，再将策略修改为发布，此时就会对违反策略的流量既进行告警又进行阻断，保障业务安全。

建设效果

1. 满足国内相关监管及合规要求；提升容器应用数据安全和隐私保护能力；
2. 建立容器业务上线流程，为容器业务提供更强有力的安全保障；
3. 弥补容器安全空白，实现容器运行时安全监测与防护能力。