• <em id="yyzkj"><strike id="yyzkj"></strike></em>

    1. 青藤云安全

      2年,0事故,效能提升10倍的商業銀行云原生安全最佳實踐

      某商業銀行在云原生化轉型發展中,容器數量不斷增長,迫切需要一款性能穩定、功能全面、架構成熟的云原生安全產品,通過采用青藤蜂巢,滿足了監管合規要求,實現銀行業務平穩運行。

      資產可視 全周期持續響應 精準感知入侵
      2年,0事故,效能提升10倍的商業銀行云原生安全最佳實踐
      “部署青藤蜂巢產品2年來,我們銀行的云原生安全防護能力邁上了新臺階,能夠及時應對復雜的安全應急和安全管理工作?!?


      某銀行是我國由民間資本設立的商業銀行,擁有覆蓋全國的分支及附屬機構。近年來,在金融行業數字化轉型的驅動下,國有銀行、股份制銀行和各級商業銀行也紛紛步入云原生化的進程。該銀行重點發力“云原生體系”、“分布式體系”建設,走在數字化轉型的前列。本文將重點分享該銀行在數字化轉型過程中的云原生安全挑戰和實踐。


      需求和挑戰


      銀行不僅要滿足國家和金融行業強監管的合規要求,而且要做到對資產的完全可視、安全控制。


      在前期的需求調研中,該銀行發現他們缺少快速、集中的資產和風險管理手段,安全運營工作缺乏技術上的保障和審核能力。原本他們希望通過自研Agent以滿足對云原生基礎設施的資產清點和入侵檢測功能需求,但因為開發成本和維護成本太高,又難以滿足場景各異的安全需求,所以需要一款性能穩定、功能全面、架構成熟的云原生安全方案。同時,該銀行專業安全技術人員無法全面覆蓋到日益增長的創新業務和應用場景,也更需要一套高效化云原生安全分析平臺來處理繁雜的安全應急工作和安全管理工作。


      事實上,從傳統應用向云原生化轉型后,該銀行也面臨諸多的安全挑戰。具體地講,主要包括:


       ? 缺乏持續檢測容器中是否存在漏洞的技術手段。


      ? 無法判斷容器是否存在風險配置。


      ? 入侵檢測無法實時防護容器,入侵檢測功能需要實時檢測容器中是否有反向鏈接行為,檢測Web容器中是否存在后門文件。


      ? 容器資產難以統計。容器資產清點不僅可以掌握容器資產狀況,也可以在發現容器被入侵時提供詳細的信息進行溯源,可以通過查看容器內運行進程、端口是否存在異常來進一步分析。如果發現異常進程,則可以通過查看該容器對應的鏡像,對應在“鏡像”的資產中,查看這個鏡像起跑起了多少容器,是否每個容器中都有異常程序。


      因此,考慮自身的行業屬性,面對數字化轉型的發展需求和挑戰,該銀行需要一款性能穩定、功能全面、架構成熟的云原生安全產品或方案。憑借堅持技術創新、客戶服務第一的優勢積累,青藤蜂巢·云原生安全平臺受到該銀行青睞。例如,在技術能力上,通過蜂巢安全補丁功能可以及時發現鏡像在構建時是否使用了有漏洞的應用,也可以更進一步的發現鏡像倉庫中是否存在漏洞,并且支持配置可信的“鏡像源”,在鏡像投入使用前就可以發現漏洞、修復漏洞。通過合規基線功能可以及時發現容器是否存在配置風險。比如黑客在入侵時有可能通過不斷耗盡容器的內存資源進行攻擊,進而導致主機上的所有容器都不可用,蜂巢通過檢查是否設置了限制容器內存使用配置,可以實現有效預防。此外,7*24小時的實時在線防護服務,也為該銀行業務平穩、安全運行提供保障。


      解決方案


      經過多番的對比試用、測試和安全驗證,該銀行最終采用青藤蜂巢·云原生安全平臺。整個部署方案如圖(圖 青藤蜂巢產品功能架構)所示,主要從安全左移和運行時安全兩個階段,在容器的全生命周期過程中,提供原生的、融合的安全能力。


      圖 青藤蜂巢產品功能架構


      安全左移的核心是做安全管理,在實際落地的時候是通過軟件生產過程中安全檢查的卡點來實現的,同時還要以“準入”和“準出”來進行管控。


      ? 在開發環節,確保構建的鏡像是符合安全規定的,隨后鏡像即可“準入”到測試環節。


      ? 在測試環節,確保鏡像運行起來之后應用的相關安全測試是沒有問題的,隨后鏡像即可“準出”來發布上線。


      同時,青藤蜂巢提供將安全檢查的能力以API和插件的形式集成到生產流程中去,把開發運維和安全的人員之間的信息差給打破。在運行時,青藤蜂巢基于自適應安全的理念,實現對資產的監控和響應,來完成安全的閉環。


      ? 首先,摸清家底、理清系統脆弱點。


      ? 其次,對系統進行加固,下發安全策略,阻斷惡意行為的侵入。


      ? 接著,對運行時環境進行持續監控,實時發現惡意行為,并進行響應處理。


      ? 最后,能對惡意進行溯源分析,找到攻擊者利用的薄弱點并進行修補。


      方案價值


      該銀行采用青藤蜂巢·云原生安全平臺兩年來取得顯著的成效。青藤蜂巢通過自行修復不合規項,實時識別和防止違規行為的發生,確保該銀行的云原生應用滿足安全監管的合規要求,同時,提高各網絡區域的資產清點能力、風險發現能力,如弱口令、漏洞、配置風險,協做好每天安全風險的修復與運營工作。主要表現在:


      (1) 資產版本精確確認,及時定位不良資產


      通過資產清點功能,精確確認各服務器的業務情況,同時下發整改任務,及時更新服務器上版本過低的軟件,實時跟進版本更新進度。一方面該銀行的安全部門清晰地了解當前線上云原生應用,并且能夠實時跟進變化,另一方面在發生安全事件時,全面及時地獲取資產數據支持,縮短了應急響應時間,減少了損失。


      (2) 持續監測分析,發現內外風險


      通過對資產清點得到的信息進行分析,能夠提供風險快速分析和響應能力,持續監測暴露在外的資產風險, 如Web 風險文件、危險進程、開放端口、不必要的進程服務、不必要的系統賬號等,彌補了傳統邊界防護的不足,幫助客戶從單純的“應急響應”升級到全周期的“持續響應”。


      (3) 多錨點實時檢測,準確感知入侵


      由于銀行客戶對修復漏洞極為謹慎,所以對弱密碼、系統風險、應用風險、入侵檢測等操作等功能關注度更高。青藤蜂巢的入侵檢測功能通過對攻擊路徑的多個節點(如進程變化、文件變化、登錄退出等事件)等進行監控,能及時發現失陷主機,同時通過短信、郵件等多種方式,讓用戶第一時間知道入侵事件的發生。通過對容器運行時進行持續的監控和分析,該銀行在高強度的攻防演練中發現入侵事件,同時有效地對攻擊進行溯源分析,找到攻擊路徑并確定失陷范圍;同時能快速進行安全響應,提高了響應效率。


      (4) 縮小攻擊面,提高了整體安全水平


      該銀行的云原生安全防護方案涵蓋容器從開發到上線的全生命周期流程,對鏡像安全問題進行了深度檢查,發現了很多潛在安全風險,通過推動風險問題的解決,縮小了攻擊面,提高了整體安全水平。

      部署兩年來,在青藤蜂巢的護航下,該銀行業務安全平穩運行且零重大事故,云原生安全防護能力邁上新臺階,該銀行對青藤蜂巢安全防護能力表示高度的肯定和認可。


      案例相關產品和服務

      為1000+大型客戶,800萬+臺服務器
      提供穩定高效的安全防護

      預約演示 聯系我們
      電話咨詢
      售前業務咨詢
      400-800-0789轉1
      售后業務咨詢
      400-800-0789轉2
      復制成功
      在線咨詢
      掃碼咨詢
      掃碼咨詢
      預約演示 下載資料
      亚洲最大的熟女水蜜桃AV网站,嗯啊不要哦在线播放亚洲一区,中文亚洲无线码,免费A级毛片,亚洲av一天一片