当用户充分利用原生云能力进行应用设计、部署和运维时，云原生也面临新的安全挑战，例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。

面对这样的风险，京东云重磅发布云原生安全平台，包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务，提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。

直击痛点打造一体化防护

每年的京东6.18、11.11都会面临高并发、大流量的技术挑战。通过对大规模的应用开发和系统的保障实践，京东云安全团队总结出了一套符合DevSecOps场景的一体化全生命周期云原生安全防护理念，形成了保障全生命周期的CNAPP平台——京东云原生安全平台。

该平台由一个产品提供全面能力，统一控制端、统一权限分发、统一策略配置，实现资产清点一体化、网络防护一体化、镜像容器节点应用防护一体化和基础设施安全一体化。与此同时，平台覆盖镜像构建、容器运行、应用安全、编排安全、计算资源安全、网络安全，贯穿整个生命周期。

云原生实践沉淀架构优势

目前，京东云运营着全球最大规模的Docker集群、Kubernetes集群，以及最复杂的 Vitess 集群之一，是目前全球容器化最彻底的科技企业之一。

早在2014年，云原生技术爆发之前，京东就率先将Docker容器技术大规模应用至生产环境。2016年开始实践了Kubernetes技术，并成为Harbor最早的一批用户 。2018年，京东云正式加入CNCF基金会，成为其首位白金会员。京东云是CNCF开源项目最大的使用者与贡献者之一，并在当年获得CNCF终端用户奖。

基于多年的云原生实践，京东云原生安全平台沉淀了云原生化部署、混合多云适配丰富终端、国产化适配主流系统等架构优势。

云原生化部署

采用灵活的分层架构设计，能够基于用户场景、行业、规模属性灵活地进行私有化部署。轻量化探针面向云原生kubernetes场景采用非侵入部署方式，还支持以Daemonset进行更加云原生化的自动一键部署、自动管理模式。控制面整体采用计算数据分离、接口计算分离的架构，通过管控层进行探针管理、数据汇聚、任务管理，实现探针agent一键操作。

所有数据都由存储模块统一管理，包括离线计算、在线计算、持久化存储，支持多副本架构，确保数据的安全性。通过中间层统一提供接口实现接口统一入口、统一管理。

智能化应用网络架构感知

通过自动采集、学习网络流量，多种方式智能分析流量与应用关联关系，基于应用视角自动构建网络架构拓扑，真正实现每一个应用网络架构都清晰可见，不再是杂乱无章的网络“毛线团”。

真正的业务无感应用安全保镖

业务部署无须关注安全策略，通过自动化流程自动实施防护。业务方实现完全无感接入，安全统一管理不再有遗漏。

强大的未知威胁防护能力

基于机器学习查杀引擎，将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止，在线和离线情况均能高效预测和预防已知和未知威胁，支持RASP能力，为每个应用都配置了“贴身保镖”。在fastJson、log4j零日漏洞发生期间，准确识别应用行为，有效分辨出未知威胁和零日漏洞攻击。

领先的基础设施防护能力

与新兴云原生安全厂商不同，京东云原生安全能够做到强大的基础设施防护，覆盖节点漏洞，病毒木马，网页木马，可疑操作，暴力破解，异常登录等安全检测与防护。自研云查杀引擎识别已知病毒检测99%，未知病毒识别率高达97%，领先行业检测率。真正做到云原生安全底座与容器，网络与应用全方位覆盖。

混合多云适配丰富终端

以云原生架构体系为基础，支持跨平台部署京东云、混合云、私有云、其他云；适配多种终端服务器、虚拟机、IDC、容器、裸金属服务器等。

国产化适配主流系统

已成功交付麒麟、海光、飞腾、统信等多个国产化系统，支撑运营商、政府、金融、制造、交通、医疗、能源等领域的数字化转型，在国产化漏洞领域始终保持领先的检测和防护能力。

京东云持续致力于以更低的成本、更高的效率、更好的体验为合作伙伴提供云原生安全服务，为产业数字化筑牢安全屏障。

作者：京东科技 王菁 转载请注明出处