暂无图片
暂无图片
暂无图片
暂无图片
暂无图片
首页 / 中移信息顺利通过云原生安全成熟度评估!

中移信息顺利通过云原生安全成熟度评估!

云原生安全实验室 2023-01-12
698


数智化转型是提升产业生产力和生产效率,提高竞争力和实现产业现代化的根本性改革举措。国家“十四五 ”规划明确指出:加快建设数字经济、数字社会、数字政府,以数智化转型整体驱动生产方式、生活方式和治理方式变革,实施“上云用数赋智”行动。“云化”转型要求我们由传统的以资源为中心的云计算向以应用为中心的云原生时代转变。云原生技术给企业带来了IT基础设施的技术革新,但容器以及云原生组件等随之衍生出了很多新的安全问题,云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中的必备项。


2023年1月9日,中国信息通信研究院主办的云原生产业联盟年会在北京召开,大会上中国信通院云大所云计算部主任马飞隆重发布了2022年可信云·云原生安全成熟度新增评估结果。


中移信息磐基PaaS平台&磐舟一体化开发交付平台顺利通过云原生安全成熟度评估

为支撑中国移动新基建、新要素、新能动战略,打造智慧中台统一技术基座,沉淀技术服务能力,供给云原生算力,连接平台与应用,助力数智化转型。中国移动磐基PaaS平台以云原生K8S+Docker为基础构建,由PaaS门户系统、Kubernetes集群管理器(KEM)、磐舟一体化开发交付、智能运维系统和安全中心组成。该架构支持多集群资源集中管理、弹性伸缩、应用统一快速部署、不中断业务的灰度发布、微服务统一管理、可视化操作管控和集中运维监控以及DevOps驱动的一体化交付;具备全域通用、技术标准统一、多云协同、安全可靠、灵活开放的特点;支持租户按需选取不同的技术组件、技术中间件进行灵活的组装,协同支撑智慧中台建设;为业务应用系统顺利迁移提供一系列的标准、规范和流程保障。


图1 磐基PaaS平台&磐舟一体化开发交付平台


2022年12月,磐基PaaS平台&磐舟一体化开发交付平台参评由中国信通院组织的云原生安全成熟度评估,并顺利通过云原生安全成熟度基础设施安全域、云原生基础架构安全域、云原生研发运营安全域三个域的成熟度评估,相关安全功能均达到L4级能力要求。


基础设施安全域方面

磐基PaaS平台&磐舟一体化开发交付平台提供领先的计算、网络、存储等基础设施服务,基于长期业务积累的海量威胁数据构建的威胁识别模型对云端安全事件进行预防、防御、检测和响应,提供安全稳定的计算环境,以及完善的安全隔离,数据备份恢复、存储加密能力。

云原生基础架构安全域方面

磐基PaaS平台&磐舟一体化开发交付平台拥有领先和全面的云原生安全技术,以业务为中心,提供一站式的上云体验,支持灵活的容器化部署,保障应用的平稳运行,统一微服务框架,支撑应用轻松上云。提供全面覆盖的安全防护措施,包括统一的容器资产管理、容器镜像安全扫描管理、集群编排设施巡检和准入控制、容器运行时入侵检测等安全服务,通过丰富的安全策略定义进行攻击入侵自动化防护和威胁响应,保障容器业务从构建、部署到运行时的全生命周期安全。


图2网络安全能力


图3镜像安全能力



图4运行时安全能力


云原生研发运营安全域方面

磐基PaaS平台&磐舟一体化开发交付平台从安全开发从制品阶段即实现了对镜像仓库、制品仓库等的安全管理;在开源管理阶段,通过开源软件管控工具实现了对开源许可、开源漏洞的统一管理;在代码安全方面,通过源代码审计工具实现了对源代码安全的统一管理;在安全设计方面,通过STAC丰富的知识库以及威胁建模分析,实现对应用进行安全设计并形成安全设计方案。将功能测试、安全测试进行统一管理,并通过CICD流水线将各种自动化测试工具引入至流程中,保证测试安全的落实。围绕软件开发全生命周期,建立DevSecOps能力,从安全建模、代码安全、安全设计、安全测试等多个维度保障云原生安全。

评估介绍

中国信通院深耕云原生领域多年,已经建立了涵盖容器、微服务、Serverless、服务网格、云原生中间件、云原生安全、云原生数据等云原生细分领域的完整知识体系,并凝聚产业先进经验形成广泛认可的云原生能力成熟度模型。云原生能力成熟度模型(CNMM-TAS)以提升企业研发效能、促进业务创新发展为目标,从技术架构(T)、业务应用(A)、架构安全(S)三个方面助推企业云原生能力建设。云原生安全成熟度(CNMM-S)评估融合了零信任、安全左移、持续监测与响应以及可观测四大理念,从基础设施、基础架构、应用服务、研发运营、安全运维等5个层面综合评估企业云原生平台及应用的安全成熟度,帮助企业快速对照、定位安全建设能力水平,诊断自身问题,根据业务需求结合模型高阶能力定制安全架构演进方向。


评估面向云原生平台的安全体系,包括云基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全运维5个能力域、15个能力子项、46个实践项和近400个细分能力要求,具体如下:


图5 云原生安全成熟度模型


云原生安全成熟度模型

基础设施安全域:

承载云原生架构的底层基础设施的安全能力。

云原生基础架构安全域:

云原生PaaS平台的安全能力。

云原生应用安全域:

云原生PaaS平台上部署的应用安全防护能力。

云原生研发运营安全域:

结合管理体系、制度流程、自动化工具,在应用设计研发阶段便引入安全措施,实现安全左移。

云原生安全运维域:

对云原生全流程全要素统一的安全管理,以及多点联动的安全运营能力。

联系人:

杜老师 dulan@caict.ac.cn

李老师 liyongxin@caict.ac.cn


应用架构信息架构云计算安全平台架构
文章转载自云原生安全实验室,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。

评论