案例分享｜基金行业容器安全建设思路

发布时间：

2024-04-12 14:43

01 建设背景

证券基金行业对信息技术和数据高度依赖，随着现代信息技术与业务的深度融合，科技技术对行业的发展起到了越来越重要的作用。随着国内线上支持方式的兴起，技术部门开始走向前台，通过不断引进云计算、大数据、AI等创新技术，实现为业务赋能。容器技术是其中的代表技术，其弹性伸缩和秒级启动的特性，在基金行业受到广泛应用。然而，容器技术的深度应用在给行业发展带来机遇的同时也给信息安全工作带来了新的挑战。

相较于传统安全而言，容器技术是一种半虚拟化技术，在安全上是天然存在弊端的，一旦这些不足被部署、应用在企业内网中，并且缺乏对应的防护手段，将给企业带来不可估量的损失。

故企业内部需重视容器环境的安全建设，安全防护范围需要前移，防护粒度需要更细，也需要静态安全与动态安全防护相结合。

02 建设方案

1、安全左移

传统的安全只关注资产本身是否安全，并不关注流程的自动化。基金行业客户在建设容器安全防护平台的同时，需重点关注云原生安全的流程，在精简，可落地的基础上需具备自动化水平，减少流程中因人为因素带来的风险。

以镜像的流转过程为例，此次容器安全防护平台的建设，增加了对安全镜像的识别及自动管控的能力。识别到安全镜像, 并对镜像增加安全标记后, 可自动同步到生产镜像仓库。生产镜像仓库只允许从平台上同步镜像, 同时在平台中将生产镜像仓库设置为可信镜像仓库, 并阻止非可信镜像运行, 这样可以保证生产环境中运行的镜像都是安全镜像，实现安全左移。

2、动静结合的分析能力

基金行业业务与用户资产息息相关，业务的安全是IT建设的重中之重。如何快速锁定真正容易被攻击的漏洞是安全团队首要考虑的问题。为了解决上述问题，我们为用户提供镜像与容器的深度关联分析能力。通过对镜像中的开源软件进行成分分析、依赖分析、特征分析、引用识别等多种技术组合能够精确识别软件中的开源组件信息，并结合容器运行过程中依赖的环境，启动的应用等，快速准确识别应用程序是否实际使用了易受攻击的组件，进一步确认漏洞的真实有效性，使开发人员避免面对数量巨大的误报和无法利用的漏洞，帮助他们区分优先级，将有限的修复精力集中在真正重要的漏洞上。