“安全產品那么多，我怎么知道防住了？”“大家都說自己是云原生的，我看都是換湯不換藥”在與客戶溝通云原生安全方案的時候，經常會遇到這樣的吐槽。越來越的客戶已經開始了云原生化的技術架構改造，也意識到了云原生安全的重要性。但是面對還未像傳統安全一樣形成格局的云原生安全市場，魚龍混雜，客戶往往花掉了很多的時間成本，采購成本，但是沒有得到自己想要的安全結果，慢慢對云原生安全充滿了懷疑：到底什么才是真正的云原生安全平臺？誰又真的有實力能做出有用的產品？

京東的云原生實踐

京東目前運營著全球最大規模的 Docker 集群、Kubernetes 集群，以及最復雜的 Vitess 集群之一，基本實現了“All in Containers”，是目前全球容器化最徹底的互聯網企業之一。

早在2014年，云原生技術爆發之前，京東就率先將Docker容器技術大規模應用至生產環境。2016年開始實踐了Kubernetes技術，并成為Harbor 最早的一批用戶 。于2018年京東正式加入CNCF基金會，成為其首位白金會員。同時京東是 CNCF 開源項目最大的使用者與貢獻者之一，并在當年獲得CNCF終端用戶獎。2021年憑借在云原生領域的技術創新能力及大規模實踐成果，京東云的《ClickHouse云原生架構演進之路》 入選2021年度最值得學習案例。在2022年開展的評選中， 行云成功入選了中國信通院“軟件質效領航者”優秀案例。

京東在每年的 6.18、11.11 都會面臨海量數據和流量增長，各種業務系統都面臨著前所未有的挑戰。通過對大規模的應用開發和系統的保障實踐，京東云安全團隊總結出了一套符合DevSecOps場景的一體化全生命周期云原生安全防護理念，形成了保障全生命周期的CNAPP平臺——京東云原生安全平臺。

直擊痛點解決云原生的實際風險

云原生技術帶來了標準化和統一化，人們充分利用原生云能力的自動擴展、無中斷部署、自動化管理、彈性等特性進行應用設計、部署和運維。同時云原生時代也面臨新的安全挑戰，例如鏡像漏洞與投毒、編排軟件漏洞、不安全配置利用、容器逃逸等。與此同時傳統舊的攻擊手段依然有效，包括漏洞利用、暴力破解、DDOS攻擊、病毒木馬、挖礦進程等等。面對這樣的風險變化，傳統的安全產品已經無力應對，而越來越多的客戶也意識到，堆疊式的安全防護方式已經無法應對云原生的環境變化。

京東云原生安全平臺符合Gartner定義的云原生應用防護平臺（CNAPP）架構，基于DevSecOps的全流程賦能企業高效開發運維及業務快速安的發展。

我們將安全能力左移，提供鏡像安全掃描與加固，鏡像啟動控制，可信鏡像維護與管理能力，保障供應鏈安全。運行時提供容器入侵檢測與阻斷，容器逃逸檢測，容器安全基線加固，并提供編排安全能力包含集群審計，配置項檢測，集群漏洞檢測。在應用安全層面提供微服務組件清點，RASP應用防護，API安全檢測。云原生網絡層面提供容器網絡東西向可視化拓撲及微隔離策略配置。在基礎設施安全檢測與防護方面，包含長期實踐積累的節點漏洞檢測修復，入侵威脅檢測與隔離，等保基線檢測，敏感文件防護等。京東云原生安全平臺實現與CI/CD結合，基于DevSecOps的全流程全方位縱深防護，實現全平臺多集群統一防護，統一管理，統一運維，更高效更安全。

實踐沉淀一體化防護理念

京東云原生安全平臺主要定位于為用戶提供有效便捷的一體化云原生安全平臺，包含資產清點、鏡像安全、運行時安全、網絡安全、集群安全、節點安全等安全服務，提供從鏡像生成、存儲到運行時的全生命周期云原生安全解決方案。

一體化：并非多個安全產品的堆砌組合各自為政，而是由一個產品提供全面能力，統一控制端便捷管理，統一權限分發安全高效，統一策略配置，實現資產清點一體化，網絡防護一體化，鏡像容器節點應用防護一體化，基礎設施安全一體化

全生命周期：覆蓋鏡像構建，容器運行，應用安全，編排安全，計算資源安全，網絡安全，貫穿整個生命周期。

?

京東云原生安全平臺產品架構優勢

云原生化部署

采用靈活的分層架構設計，能夠基于用戶場景、行業、規模屬性靈活地進行私有化部署。我們的輕量化探針面向云原生kubernetes場景采用非侵入部署方式，還支持以Daemonset進行更加云原生化的自動一鍵部署、自動管理模式。控制面整體采用計算數據分離、接口計算分離的架構，通過管控層進行探針管理、數據匯聚、任務管理，實現探針agent一鍵操作。所有數據都由存儲模塊統一管理，包括離線計算、在線計算、持久化存儲，支持多副本架構，確保數據的安全性。通過中間層統一提供接口實現接口統一入口、統一管理。

?

?

混合多云適配豐富終端

以云原生架構體系為基礎，支持跨平臺部署，京東云、混合云、私有云，其他云；適配多種終端，服務器、虛擬機、IDC、容器、裸金屬服務器等。

?

國產化適配主流系統

已成功交付麒麟/海光/飛騰/統信等多個信創系統，參與信創實驗室，獲得信創互認證，支撐運營商/政府/金融/制造/交通/醫療/能源等行業領域安全無憂的數字化轉型實踐。在信創漏洞挖掘領域持續投入，深入挖掘，在信創漏洞領域始終保持著領先的檢測和防護能力。

?

強大的未知威脅防護能力

京東云原生安全平臺基于機器學習查殺引擎將人工智能、算法和機器學習應用于惡意代碼的預測、鑒定和阻止，在線和離線情況均能夠高效預測和預防已知和未知威脅。支持RASP能力，為每個應用都配置了貼身保鏢。在fastJson、log4j零日漏洞發生期間，準確識別應用行為，有效分辨出未知威脅和零日漏洞攻擊，保障京東集團未發生任何入侵事件。

審核編輯 黃宇