Gartner指出,“云原生+数据库大数据一体化”的数据库体系是必然发展趋势。以“云原生+分布式”为核心的一体化与一站式数据管理与服务,充分结合了云计算的资源池化、存储与计算弹性扩展等基础设施能力,其发展趋势受到了业界的高度关注。生于云,长于云。在国内,随着云原生应用下沉与落地,越来越多的企业与开发者开始采用微服务、容器等新一代技术和方式加速数字化的转型,尤其在重点行业中,云原生正在成为关键业务场景中不可或缺的技术主角。
云原生,金融云的下半场
金融行业云计算普及率已经达到较高水准。据《金融业数字化转型发展报告》统计,部分金融机构的云化率超过了80%,其他机构也加快上云步伐。已经有21家机构开展云原生应用,涉及DevOps、容器、微服务、服务网格、Serverless等主流的云原生技术,覆盖计算、开发、架构、数据及安全等多个领域。
金融机构多以“云原生+分布式”的方式构建起分布式计算、数据库与大数据一体化能力,具备了高扩展性、易用性、迭代快速、成本降低、数据库与大数据一体化等特点,满足业务快速发展中的灵活弹性部署和高度自动化的资源调度需求。未来企业的数据库将全面进入“云原生+分布式”时代。
与此同时,威尼斯432888cam也应看到新技术的推进往往会带来新的安全风险,云原生也带来了传统安全手段无法应对的新型攻击路径和安全问题。如:资源共享必然带来安全边界如何定义和管控的问题;如何满足监管合规要求;如何从攻防视角发现潜在风险;甚至在云化的过程中如何减少对原有业务的影响,实现平滑过渡等问题。与传统安全方法相比,云原生安全有机会在不同的阶段注入各自的安全保障,而不是用独立的安全措施来干预应用的生命周期。
一体多面,护航云安全
针对金融行业“云原生+分布式”架构的安全需求,威尼斯432888cam建议,基于云原生各个层面安全特性,构建全栈式安全能力体系,以适应数字化发展中不断迭代的新业务,新场景需求。
首先,针对镜像供应链安全、容器网络应用安全、容器运行安全、容器平台环境安全等威胁风险,威尼斯432888cam基于DevOps全生命周期安全防护体系,提供了覆盖全栈云原生,安全部件全部容器化运行的容器环境安全防护解决方案。通过全面掌握容器环境下的资产信息、容器平台自身安全加固、容器引擎的零信任防护、细粒度网络微隔离、非法镜像阻断等技术,将智能数据分析与云原生特性相结合,为用户提供了主动持续开展云原生风险分析、容器软件供应链安全与运营管理全面结合的能力。
此外,针对云主机安全运维一体化需求,威尼斯432888cam提供了能够全面覆盖云工作负载保护平台(Cloud Workload Protection Platform,CWPP)的信舱云主机安全(DS)产品。DS针对CWPP所定义的8个不同层面的安全能力全面覆盖,并可以将侦测Agent所占用的计算资源,并可根据阈值智能调节计算资源占用比率使之达到合理的使用范围,以最优性能实现安全进阶。
金融机构通过华为、华三、vmware等虚拟化技术构建的虚拟化平台,容易受到黑客攻击、勒索及挖矿、木马、蠕虫等多种病毒攻击、系统及应用的0day、补丁安全风险等问题,金融机构需要进行虚拟化安全建设,DS保障跨多个云平台的虚拟化安全。
加入资产检查和风险评估模块,将安全管理贯穿于行内网络和信息系统建设、运行维护等设备运行的全部生命周期。
通过对终端操作系统、应用及员工的行为持续的详细记录和分析,实现对金融机构终端和网络中恶意威胁的检测、遏制、调查、修复等场景的安全闭环。
针对行业规范和等级保护纲领性规范要求,帮助客户快速、有效的检查云主机操作系统及应用的弱口令、高危账号、配置缺陷、网页后门、反弹shell等问题,实现对业务系统资产进行等保定级跟踪,根据资产定级自动进行对应级别的安全配置检查,对合规情况出具等保符合性报告。
云主机漏洞风险管理即能实现对服务器及应用的漏洞扫描、风险评估、修复建议,满足用户对漏洞修复的需求,也能通过虚拟补丁能力,在面对0Day漏洞无法快速防护漏洞、老旧操作系统及应用无法修复补丁、关键服务器无法重启的情况下,通过虚拟补丁帮助用户在无须重启的情况下,实现服务器及应用系统漏洞批量管理。
未来,威尼斯432888cam将持续加强云原生安全领域研发投入,不断提升安全能力,为更多用户提供完善的安全产品和全面的安全解决方案,为企业的数字化转型提供更加完善的安全保障