近日,由工业和信息化部主办,中国信息通信研究院、中国邮电器材集团有限公司承办的ICT 中国·2023高层论坛-云原生产业发展论坛在京召开。会上,中国移动通信集团上海有限公司(以下简称“上海移动”)联合青藤共同申报的“先进云原生安全解决方案CNAPP”成功入选为“2023年云原生安全守护先锋-云原生安全优秀实践案例”。
随着国家大力推进数字中国建设,上海移动在集团战略指导下,积极响应上海地区数字经济蓬勃发展大势,积极建设以5G、算力网络、能力中台为重点的新型信息基础设施,构建“连接+算力+能力”新型信息服务体系,参与并深度融入本地经济数字化、生活数字化、治理数字化等各领域转型进程中,充分发挥信息服务科技创新在支撑上海经济社会数字化、网络化、智能化转型升级中的作用,已经成为助推上海城市数字化转型主力军。
伴随企业上云迁移、数字化转型的持续深入,以容器、微服务、DevOps、Serverless为代表的云原生技术凭借其弹性、韧性及拓展性等特点,成为上海移动数字化转型过程中降本增效、提升自身业务的敏捷性的重要抓手。在此背景下,上海移动联合青藤基于云原生业务运行的全生命周期,围绕开发侧、应用层、基础设施层、运行时四个维度,通过将业务与安全深度融合,共同搭建了基于CNAPP的先进云安全整体方案。
四大要素开发阶段安全。在云时代,为缩短开发周期,提高软件迭代效率,软件工程大多采用DevOps一站式应用开发运维模式;安全如果还是作为一个单独检查项,在应对以云为核心的基础设施上,适配度不够高。CNAPP方案通过实现安全与人员的融合、与开发工具的融合、与流程的融合,进而实现DevSecOps,让上云即安全成为可能。
应用阶段安全。企业业务上云后,开放度持续提升。最直接的体现是,微服务化后所有的应用API化越来越明显。但API资产、异常行为缺乏可见性,API的权限管理变得异常复杂。该方案通过WAAP构建了API资产自动发现、API风险监测、API异常行为实时检测、API链路监控等能力,实现云应用安全防护和API安全。
运行阶段安全(配置管理)。配置错误是产生云环境风险的一个重要原因。针对这一问题,该方案通过云安全资产管理、配置检查、风险发现、配置管理等功能,实现了一站式的风险梳理和发现,联动防护一键处置告警,大幅提高了安全运维效率。
基础设施安全。基础设施作为承载业务运行系统的核心底座,其对安全核心能力及稳定性的要求极高。该方案通过将核心一公里(服务器)及上层虚拟机、云主机、docker等基础设施贯通的情况下,通过多项先进技术以增强其平台的智能化与自动化。例如,利用可扩展的分布式图计算技术降低大数据安全监控的噪音告警,实现基于上下文的精细化威胁检测,并提高安全事件的响应速度。
成效显著该方案从云原生应用的资产梳理、风险收敛、安全加固、攻击行为监控、攻击事件处置与溯源多个阶段入手,结合云原生安全管理平台建设的能力,实现了显著的安全防护效果。
l安全可视:全自动化、细粒度的对各种云原生资产进行识别,同时可视化容器之间的网络访问行为
l安全左移:能集成到企业的DevOps流程中,实现覆盖云原生全生命周期的安全风险管理,构建主动安全能力
l精准感知:实现多锚点的基于行为的检测能力,能够实时、准确地感知入侵事件,并对安全事件快速响应处置
l环境融合合规:实现云原生运行环境安全体系联动,全方位保障云原生环境健康
携手共建,赋能行业随着云原生技术的迭代演进,云原生已经成为云计算的中枢神经,对数字经济基础设施底座的粘性、韧性、弹性起着决定性作用。云原生技术在帮助企业业务运营更加敏捷、提质增效的同时,也增加了安全管理难度,此次双方联手打造的“先进云原生安全解决方案CNAPP”,是基于自动化的云原生安全体系,不仅能有效识别已知威胁,也能与企业业务高度耦合地检测未知威胁,进一步帮助企业数字化转型得以安全稳定地推进。未来,双方将继续发挥各自优势,积极发挥带动效应,为进一步推动云原生技术在我国关基行业的稳步落地贡献力量。