05-拥抱云原生，构筑安全新防线-冯向辉

云无边界架构未来：拥抱开源、本地化与数字创新

现有云原生安全简析

• 架构特点：云原生架构引入了全新的开发部署流程，导致资产极度碎片化、负载极度动态化，并增加了供应链风险和运行时风险。
• 安全挑战：当前风险评估方案包括操作系统、镜像仓库、微服务等多层面扫描，但存在左右侧安全壁垒、东西向流量安全盲区以及与传统架构的壁垒问题。
• 具体问题：
  • 左右侧安全泾渭分明，漏洞处理等级无法区分业务重要性。
  • 东西向流量安全盲区，SDN尚未渗透云原生环境，传统网络安全方案未云原生化。
  • 传统架构与云原生架构的壁垒，缺乏有效信息采集和策略映射。

云原生安全新思考

• 思考一：打通左右侧安全壁垒，实现镜像扫描与运行时安全的无缝连接。
• 思考二：解决东西向流量安全盲区，增强云原生环境下的流量监管与阻断能力。
• 思考三：通过API接口打通云原生与传统网络架构的壁垒，实现服务信息采集和策略映射。

雅客云原生安全架构

• 安全趋势：GARTNER 2022分析指出，云原生安全需形成生态系统的体系化安全阵列。
• 软件定义安全阵列：
  • 编排能力：安全、流量、策略的统一编排。
  • 业务层：云原生微隔离、沙箱、WAF、蜜罐、防火墙等。
  • 基础设施：底层数据抽取、AI关联分析、神经网络智能策略编排。

F5-雅客云纵深联合防护

• 防护体系：NGINX+KIC集群、镜像扫描、超级Gateway、CES出向控制策略、虚拟补丁注入、NAP边车vTAP等。
• 防护方向：
  • 运行时防护：基于服务输出容器流量和上下文。
  • 流水线防护：完整覆盖容器云安全三大方向。
  • 安全可观测性：供应链威胁检测、镜像投毒检测、下发POD隔离策略。
• 防护范围：入口防护、外部入口、动态发布、镜像扫描、虚拟补丁注入等。