京东云发布云原生安全平台 构建一体化云原生安全防御体系

9月1日消息，面对镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等安全挑战，京东云近日发布云原生安全平台，包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务，提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。

每年的京东618、双11都会面临高并发、大流量的技术挑战。通过对大规模的应用开发和系统的保障实践，京东云安全团队总结出了一套符合DevSecOps场景的一体化全生命周期云原生安全防护理念，形成了保障全生命周期的CNAPP平台——京东云原生安全平台。

图源：京东云公众号

该平台由一个产品提供全面能力，统一控制端、统一权限分发、统一策略配置，实现资产清点一体化、网络防护一体化、镜像容器节点应用防护一体化和基础设施安全一体化。与此同时，平台覆盖镜像构建、容器运行、应用安全、编排安全、计算资源安全、网络安全，贯穿整个生命周期。

早在2014年，云原生技术爆发之前，京东就率先将Docker容器技术大规模应用至生产环境。2016年开始实践了Kubernetes技术，并成为Harbor最早的一批用户 。2018年，京东云正式加入CNCF基金会，成为其首位白金会员。京东云是CNCF开源项目最大的使用者与贡献者之一，并在当年获得CNCF终端用户奖。

目前，京东云运营着全球最大规模的Docker集群、Kubernetes集群，以及最复杂的 Vitess 集群之一，是目前全球容器化最彻底的科技企业之一。

截自京东云官网

基于多年的云原生实践，京东云原生安全平台沉淀了云原生化部署、混合多云适配丰富终端、国产化适配主流系统等架构优势。

具体来看，京东云采用灵活的分层架构设计，能够基于用户场景、行业、规模属性灵活地进行私有化部署。轻量化探针面向云原生kubernetes场景采用非侵入部署方式，还支持以Daemonset进行更加云原生化的自动一键部署、自动管理模式。控制面整体采用计算数据分离、接口计算分离的架构，通过管控层进行探针管理、数据汇聚、任务管理，实现探针agent一键操作。

所有数据都由存储模块统一管理，包括离线计算、在线计算、持久化存储，支持多副本架构，确保数据的安全性。通过中间层统一提供接口实现接口统一入口、统一管理。

图源：京东云公众号

此外，京东云通过自动采集、学习网络流量，多种方式智能分析流量与应用关联关系，基于应用视角自动构建网络架构拓扑，真正实现每一个应用网络架构都清晰可见，不再是杂乱无章的网络“毛线团”。

与新兴云原生安全厂商不同，京东云原生安全能够做到强大的基础设施防护，覆盖节点漏洞，病毒木马，网页木马，可疑操作，暴力破解，异常登录等安全检测与防护。自研云查杀引擎识别已知病毒检测99%，未知病毒识别率高达97%。