近日,由中国信息通信研究院(以下简称“中国信通院”)主办的“零信任发展论坛”在线上成功召开。本界论坛,中国信通院重磅发布了“2022安全守卫者计划优秀案例”评选结果,“光大银行全栈云微隔离建设实践”案例,凭借零信任微隔离技术在光大银行全栈云环境近万点的规模化落地示范效应,以及充分适应DevSecOps的多项技术创新探索,成功入选优秀案例。
案例概述
近年来,光大银行积极拥抱云原生技术创新,坚持从业务需求出发服务金融应用,不断建设发展新一代全栈云平台,构建了全行级数字化基础设施底座。随着业务上云工作的深入推进,如何对云环境下业务东西向流量实施精细化的网络隔离和访问控制,成为了全栈云平台基础设施亟需解决的问题。
2022年,光大银行在全栈云零信任安全防护体系的建设过程中,完成了微隔离从创新技术到工程化落地,成功将零信任微隔离技术应用到全栈云环境的网络隔离和访问控制场景。
随着数据中心架构向云化演变以及云原生技术的推广应用,光大银行网络隔离和访问控制技术手段也随之进行了迭代和演进。由物理防火墙为代表的域间网络隔离方案,到以安全组为代表虚拟防火墙方案,逐步演进成为以微隔离技术为代表的零信任安全方案。
全栈云网络隔离与访问控制方案演进
案例创新
光大银行全栈云微隔离建设实践案例,主要有以下3个方面的创新:
(1)基于零信任安全技术理念,创新性地将微隔离的策略执行点内嵌在全栈云基础设施环境中,实现了专业微隔离能力向云原生的内嵌融合,提供多数据中心、跨云平台、容器多集群的微隔离统一管控,有效解决了云环境下云工作负载网络隔离复杂、访问控制策略难以可持续运营的难题。
(2)针对云上业务系统的工作负载,设计了基于系统的“身份”和“角色”标签体系,为工作负载在IP层之上建立起了一套与基础设施解耦、面向业务属性的管理分层,从而适应云工作负载高度动态、弹性的特点,实现了安全策略随工作负载迁移、扩缩容而动态自适应更新。
(3)通过API打通了微隔离和多套管理系统的数据通道,完成了微隔离管理和云平台运营数据的对接,实现了微隔离策略的自动化运维能力,从而使得微隔离适应并符合用户DevSecOps的运行流程,安全策略能够随工作负载的生成而同步生效,微隔离系统成为了云原生安全的基础设施。
实践效果
光大银行全栈云微隔离系统经过前期的建设实施,实现了以下安全能力和防护效果:
(1)提供业务访问关系的可视化展示:支持大量业务迁移上云,面对全栈云内流量激增场景,自动学习业务访问关系,实现业务访问关系的可视化展示,协助管理人员摸清家底,清晰洞察云上网络流量。
(2)建立了工作负载的标签化体系:能够对工作负载进行基于业务属性的分组和标签化管理,利用基于标签的微隔离策略框架,实现安全策略与IP地址解耦,适应业务系统向云原生改造和业务投产上线需求。
(3)实现了细粒度访问控制策略的自适应计算:基于统一、便捷的访问控制策略管理体系,提供工作组、工作负载、IP、端口等不同粒度的策略管理,用标签定义策略,由微隔离自适应引擎智能分析和计算,提升访问控制精细度的同时,简化安全策略的运维工作量,降低运维的成本和难度。
(4)支持实时威胁监测和安全隔离应急响应:持续监测工作负载访问行为,对入站和出站访问流量进行实时检测,对于白名单以外的异常访问产生实时告警,提供一键式安全隔离应急响应手段,可快速隔离失陷主机,防止威胁进一步扩散。
数字化时代通过科技创造信任,光大银行全栈云将持续加速金融科技价值的传递,向客户提供安全可靠、高效敏捷的云服务,为金融业务高质量发展保驾护航。
作者 | 段鑫冬
视觉 | 王朋玉
统筹 | 郑 洁
