绿盟科技荣获2022安全样板工程（云原生安全）

5G边缘计算带来高性能、低时延与高带宽的电信级服务环境，为各类行业应用带来更多可能。5G边缘计算广泛采用以容器为代表的云原生技术，但是容器和容器编排平台（Kubernetes）等云原生技术应用也为边缘计算带来新的安全挑战。

1.应用安全。边缘计算节点利用容器承载着第三方的多种行业应用，然而这些行业应用和API可能会在开发和设计过程中引入漏洞。这些漏洞通过镜像快速交付到边缘节点，一旦运行将会被攻击，造成数据泄露，甚至是过渡耗费边缘节点有限的资源。

2.网络安全。各类行业应用提供服务，多类型和大量的设备接入，将会增加边缘计算节点的暴露面，更易被攻击。如果单个应用的组件之间未做好隔离，一旦组件被攻击，将会造成组件间的横向攻击，甚至造成边缘计算节点被攻击，危及更多应用。

3.基础设施安全。边缘计算节点使用Kubernetes来运行边缘计算平台和行业应用。因Kubernetes或容器运行时未实施正确配置而造成的攻击层出不穷，必须要正确维护Kubernetes和运行时的配置基线。

4.分散管理。边缘计算节点分布在多个机房，涉及多个运营方和责任方，对安全提出了更高的要求。边缘计算平台或各应用的组件未及时升级，会导致漏洞利用。安全设备的部署方式和各设备的分散管理模式，会增加运维工作量。

绿盟科技秉承持续检测的安全理念，提出5G边缘计算云原生安全保护方案。本方案依托云原生容器安全平台，对行业应用的镜像、网络、应用和基础环境等进行全方位和全生命周期的检测和分析。在集中部署的安全平台中，统一和直观展示各边缘节点的安全风险，并通过容器化交付安全能力，接入到边缘计算节点中，最终为边缘计算提供贴身的安全保护。架构如下图所示。

1.多节点统一安全管理

本方案集中部署一套云原生容器安全平台，统一管理分布式部署在各边缘节点中的云原生安全能力，集中呈现各节点的安全风险，降低边缘节点的安全管理量，从而可以快速发现问题和处置问题。云原生安全管理平台支持细粒度权限管理，可以为边缘节点的运营方和行业应用方划分不同权限，帮助其履行各自安全职责。

2.容器化部署易管理

本方案所采用的云原生容器安全平台，实现容器化部署，支持将平台和各安全能力打包成容器镜像，快速和自动地交付到边缘计算节点中，当安全能力不足时，自动化进行扩展，兼容Kubernetes和Docker等多种云原生环境，降低了对边缘节点的云原生环境影响。同时，平台通过容器交付，可以被Kubernetes等编排工具进行监控，更加安全。

3.全方位和全时安全防护

本方案提供了镜像安全扫描、运行时保护和基础设施配置核查等能力。当行业应用上线时，自动进行镜像检测，可以发现软件漏洞和敏感信息，实现“有问题、不上线”。应用上线后，对应用的组件进行微隔离，检测组件间的网络入侵行为和应用层攻击，及时阻止组件间的攻击；对行业应用容器的运行时进行检测，及时发现异常行为和零日攻击。同时，本方案会对Kubernetes和Docker等基础组件进行合规性检测，消除不安全配置。最终，本方案对行业应用的镜像、运行时、网络以及容器软件和编排工具等组件，进行全访问和全生命周期的防护。

4.持续研发增强安全能力

绿盟科技一直在进行云原生领域的安全研究，孵化了多款云安全产品，开源了云原生开源靶场，提供云原生环境的资产风险测绘能力。本方案通过威胁情报，将这些研究成果和情报信息，持续同步到云原生容器安全平台，增强云原生安全能力，从而快速发现边缘节点的云原生安全问题，提升恶意代码、漏洞检测等安全防护效果。

1.构建安全边缘计算，保护行业应用

通过镜像扫描和流量威胁检测组件，提升容器网络安全能力，覆盖边缘计算和行业应用的各组件和全生命周期安全检测需求，持续转化云原生安全攻防研究成果，提供7×24小时持续专业容器安全运营服务，保障边缘计算中的行业应用安全。

2.统一安全管理，提升管理效率

通过集中的云原生容器安全平台，统一进行安全状态展示和安全事件处置，提升安全发现和处置效率；监控各安全能力的运行状态，当安全能力无法满足防护需求时，自动扩展安全能力；与边缘计算环境对接，持续检测镜像更新和业务节点数量，当新增镜像和边缘节点时，快速扫描和快速部署安全能力，最快发现镜像风险和保护边缘节点，运维效率提升50%以上。

3.安全容器化交付，降低环境影响

云原生容器安全平台各组件以镜像方式交付和容器化运行，严格限制容器的权限，防止容器权限过大，间接影响行业应用运行；与边缘计算环境的Kubernetes对接，控制和监控容器的资源阈值，不会过度占用边缘节点资源，进一步降低对行业应用的影响。