火山引擎容器安全项目入选信通院优秀案例名单

近日,由中国信通院主办的安全运营发展论坛在北京召开,会上公布了“安全守卫者计划——安全运营专题”优秀案例征选结果。北京火山引擎科技有限公司携手金拱门(中国)有限公司共同申报的《容器安全全生命周期建设》项目案例成功入选优秀案例名单。

图片1.png

“安全守卫者计划——安全运营专题”是由中国信通院发起的优秀案例征集活动。目的是引导安全领域产品的发展方向,选拔出一批成熟度高、具有示范作用的优秀安全案例。经过多轮严格评审,火山引擎申报的容器安全实践案例成功脱颖而出,充分体现了火山引擎在云原生安全领域的竞争实力。

《容器安全全生命周期建设》项目从金拱门实际容器平台业务场景出发,与业务端DevOps模式转型深度融合,有效解决了用户在镜像安全扫描分析、运行时安全、容器基础设施环境安全等方面实际的需求痛点,保障了金拱门数字化业务安全稳定的运行。

图片2.png

火山引擎在云原生领域有着丰富的技术实践经验,通过将安全原生的理念融入金拱门容器云业务架构建设中,为客户的数字化转型提供了坚实的安全保障,并带来以下效益:

安全易用,能效提升

镜像供应链的安全保障是容器安全运行的基础,除了基础的安全扫描分析加固之外,火山引擎通过自定义基础镜像、精细化的漏洞风险分析以及多样化的镜像阻断手段,来帮助用户提升镜像安全运营效率。

运维部门通常会将获取的源镜像,进行安全扫描修复后,放入镜像仓库作为基础镜像,同时所有的业务镜像都是由开发部门提供应用代码,在基础镜像上构建而成的。火山引擎容器安全产品在后续的安全扫描中,能够自动化识别出脆弱性是否属于基础镜像引入,按照责任归属提交运维部门或者开发部门进行修复。修复过程中,会优先修复基础镜像存在的问题,以提升修复效率。

另外,火山引擎容器安全产品对镜像漏洞风险引入智能化分析评分机制,不仅基于CVE本身的风险要素,还结合容器运行的环境要素进行综合评定(如特权容器、端口监听、异常事件等要素),给出最适合实际场景的修复优先级建议。

在最后环节中,镜像在生产环境中启动成容器时,产品会帮助设置合理的安全卡点,并依据镜像的脆弱性风险进行自动化镜像启动阻断,防止镜像带病上线。

技术领先,全面防治

火山引擎以容器原生特性为基础创新技术路线,以业内领先的行为建模分析技术为基础,全面覆盖容器运行时遇到的各类已知和未知威胁。

图片3.png

如图,产品客户端组件会进行广泛的容器资产行为收集,可收集各类资产静态特征和动态行为。进一步利用容器的不变性和单一性,通过行为基线、广谱规则对异常行为进行检测,多维度数据关联分析,提升未知威胁检测的准确性。从而全面覆盖各类高级入侵行为,如容器逃逸、反弹shell、远程控制、挖矿等威胁。

原生部署,安全稳定

火山引擎提供的所有产品组件全部以云原生化的方式进行部署,以非特权平行容器的方式运行,可自主设置资源消耗上限,对业务运行“0”影响,深得用户信赖。

图片4.png

在未来,火山引擎会不断加大对云原生安全领域的探索,深度洞察技术发展趋势,输出更多的内部技术实践经验,不断加深和专业客户的合作,共创共建出更多的优秀实践案例。