当前,互联网环境下的外部威胁趋于多样化、新型化,传统的防御手段对于已知的漏洞利 用和威胁攻击手法具有较好的应对效果,但是无法很好地应对 APT 攻击、0Day 漏洞攻击等新型威胁。然而,这些已知的和新型的威胁存在着共同的特点:均是业务预期外的行为。基于此 特点,云原生技术需要对所有的服务请求及资源加载行为进行可信度量,建立起基于可信行为 的安全纵深防御体系,确保只有预期内的行为可以访问执行成功,对预期外的行为进行阻断拦 截来达到抵御已知和未知威胁的效果。
同时,金融行业为保障业务主体之间的安全隔离,基础设施等技术服务也要从业务主体中 构建隔离的环境,具备独立隔离的网络环境和更高等级的安全保障。云原生平台技术服务按照 可信原生服务标准进行相关的多租户隔离、统一管控、可信通道收敛等相关改造,升级为可信 原生服务。针对应用运行时所处的环境,云原生安全可信架构在基础设施中内置身份、认证、 鉴权、全链路访问控制、全链路加密等安全可信能力,并尽可能实现基础设施与应用的解耦, 以可信原生的方式减少对业务的打扰,提供可信的应用运行环境。
