开发者社区> 容器小师妹> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里云云原生携手 Salesforce 获信通院软件供应链安全优秀案例

简介: 2022 年 6 月 17 日,由中国信息通信研究院、中国通信标准化协会主办的 2022 首届 3SCON “软件供应链安全论坛”于线上召开。会上阿里云联合 Salesforce 申报的容器 ISV 软件供应链安全实践案例“阿里云助力 Salesforce 软件供应链安全落地实践”,经过了自主申报、专家评审等环节的层层筛选,最终成功获评“2022安全守卫者计划优秀案例”。
+关注继续查看

2022 年 6 月 17 日,由中国信息通信研究院、中国通信标准化协会主办的 2022 首届 3SCON “软件供应链安全论坛”于线上召开。会上阿里云联合 Salesforce 申报的容器 ISV 软件供应链安全实践案例“阿里云助力 Salesforce 软件供应链安全落地实践”,经过了自主申报、专家评审等环节的层层筛选,最终成功获评“2022 安全守卫者计划优秀案例”。
1.png

Salesforce 是创建于 1999 年 3 月的一家客户关系管理 (CRM) 软件服务提供商,可提供随需应用的客户关系管理平台。Salesforce 允许客户与独立软件供应商定制并整合其产品,同时建立他们各自所需的应用软件。

Salesforce 和阿里云联合发布针对中国市场的软件“ Salesforce 社交电商”过程中,通过与阿里云容器团队的紧密合作,应对云原生场景软件的复杂化、多样化挑战,较好地落地了全生命周期的软件供应链安全实践。在开发交付阶段应用了代码和镜像的静态治理和准入;在交付阶段通过镜像扫描加签、跨账号同步及验签确保了镜像内容安全可信,通过策略管理保障了镜像部署启动的安全;在运行时阶段,基于安全沙箱容器运行提高了容器应用的隔离性,使用容器运行时安全监控和告警等能力,实时发现资产中的安全威胁和态势。

云原生软件供应链存在的风险

随着企业 IT 数字化转型演变的进程,越来越的企业采用云原生化架构升级的方式,改善应用开发运维迭代的效率,加速企业业务创新迭代,改进资源弹性管理和迁移的效率,帮助企业降本增效。但是由于云原生弹性、敏捷和动态可扩展等特性,也为云原生软件供应链安全引入了新的挑战:

  • 三方及开源组件带来安全隐患:企业软件项目越来越趋于依靠来自供应商三方或开源社区组件,该些组件常以基础镜像的方式在软件供应链里传递。攻击者可能利用组件中存在的漏洞,注入恶意代码或控制第三方机器环境,执行从加密货币挖矿、发送垃圾邮件、到通过大型僵尸网络发起 DDoS 攻击。
  • 软件供应链环节复杂埋下风险:从软件开发阶段的需求分析、代码开发、集成、测试,到供应商交付阶段的特定渠道软件交付、终端客户验收,最后运行阶段的终端客户软件运行、运营和维护。整个软件供应链周期链路长,在各个环节中均可能存在安全风险,导致软件漏洞、软件后门、恶意篡改、知识产权风险、信息泄露等安全威胁。
  • 容器化运行引入更多风险攻击面:容器应用部署依赖 Linux 内核特性,很多黑客攻击者利用内核系统漏洞,从容器运行时组件和容器应用部署配置等多个维度发起针对性的逃逸或者入侵攻击。最近几年 K8s、Docker、Istio 等开源社区都爆出了不少的高危漏洞,这都给攻击者提供了可乘之机。

整个软件供应链生存周期应在保证软件可用性、完整性、保密性基础上,降低软件供应链的安全风险,实现全链路可审计,可追溯,可自动化安全运营。保障从软件开发、交付到运行,整个软件供应链有纵深防御的安全能力,一旦任何环节出现问题,能够及时准确实现问题定位和追溯,识别相关方风险并及时安全加固。

阿里云云原生软件供应链解决方案

为了帮助客户更便捷实践软件供应链安全,阿里云容器服务团队提供了端到端的解决方案。企业客户可以在跨企业交付或者企业内研发迭代场景,提升安全治理效率及安全加固能力,实现全链路容器应用安全可信交付。

2.png
(企业间交付场景图)

在容器应用交付阶段,容器镜像服务 ACR 企业版提供了云原生应用交付链能力,融合访问控制、镜像构建、内容安全、二进制认证、全球化分发等能力,支持预置风险拦截策略,实现发现即阻止、安全控制左移。

  • 镜像内容安全,ACR 和云安全中心联合提供了增强型容器镜像扫描引擎,覆盖系统漏洞、应用漏洞、基线检查及恶意样本等风险类型,具有高识别率、低误报率漏洞扫描能力。同时,提供了容器镜像修复能力,支持自动化高效修复风险漏洞,实现从发现到修复的安全闭环。
  • 镜像跨账号交付,针对企业间 ISV 应用交付场景,ACR 提供了跨账号同步能力保障容器镜像和签名的分发安全。ISV 将镜像及对应的签名信息通过 ACR 跨账号同步能力交付给 ISV 的客户实例下。对应的镜像开启了不可变镜像版本,确保镜像的版本不可覆盖。ISV 的客户在 ACK 上做镜像部署时,会基于 ISV 的公钥验签,确保镜像完整且来自 ISV。

在容器应用运行阶段,容器服务 ACK 在默认管控组件、系统组件安全加固之上,提供了部署策略管理、安全巡检,保障容器应用一致性的安全策略。ACK 集成云安全中心提供了容器运行时安全监控和告警能力,覆盖 ATT&CK 杀伤链的 200 余项安全检测模型,提升整体业务负载运行环境安全性。基于 ISV 应用运行场景,ACK 也提供了安全沙箱容器作为运行时解决方案,确保更好的安全隔离能力和更高的稳定性。

  • 部署策略管理:ACK 基于 OPA 策略引擎和丰富的预置策略模板,有效约束应用配置安全,支持容器业务 YAML 多维度部署策略管理,避免特权容器、风险镜像部署等风险行为,加强在集群侧容器安全的主动治理能力。
  • 安全沙箱容器:终端客户采用了安全沙箱容器作为运行时,相比与原有的 Docker 运行时,可以让容器应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核,具备更好的安全隔离能力,相比与社区 Kata Container 具有更强的稳定性。
  • 容器运行时安全:终端客户使用了云安全中心容器运行时安全监控和告警能力,包括在容器中或在主机层面发生的病毒和恶意程序攻击、容器内部的入侵行为、容器逃逸和高风险操作预警等主要的容器侧攻击行为,帮助客户及时发现资产中的安全威胁、实时掌握资产安全态势。

在安全运营阶段,客户可以通过 ACR 自动同步、自动扫描、自动加签,ACK 自动验签、自动策略实施,以及风险识别后自动阻断后续流程功能,实现了容器化 DevSecOps 自动化流程。通过订阅 ACR、ACK、云安全中心的风险事件,实现镜像内容、镜像交付、容器部署、容器运行时全流程安全的风险感知,可以更及时高效处理安全风险,实现全局风险感知。

阿里云容器家族:云原生安全先进技术产品

在 6 月 15 日的 2022 云原生产业大会上,阿里云在信通院“云原生安全成熟度”评估中,也取得国内唯一全域最高等级认证。信通院“云原生安全成熟度”从基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全和云原生安全 5 个维度,共计 315 个细分项考察企业云原生架构安全水平。阿里云云原生应用平台通过大规模企业客户服务积累和创新性技术打磨,沉淀了全链路的云原生安全解决方案,全方位展现了阿里云云原生产品安全能力的丰富度和领先性。

从容器镜像服务 ACR、容器服务 ACK 到云安全中心,阿里云丰富的云原生安全产品家族保障了阿里巴巴自身的大规模云原生化实践,确保应用全生命周期的云原生安全。同时这些云原生安全能力也支撑了云上百万企业,提升了企业内与企业间软件供应链的全链路安全及安全治理效率。阿里云将持续在云原生安全领域创新,通过产品、技术、安全运营的深度融合,提供在云边端多部署场景,微服务、无服务多业务形态下,更深度、更智能自治的软件供应链安全,保障企业客户的云原生化架构升级之路。
3.png

2022 年6月23日-7月23日,扫描上方图片二维码或点击此处填写问卷,首次购买阿里云容器服务专业版 ACK Pro、容器镜像服务企业版 ACR EE的客户可享受7折优惠。期待您的反馈!

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
远光软件获得阿里云产品生态集成认证,携手阿里云共建新合作
近日,远光软件股份有限公司新一代企业数字核心系统远光达普(YG-DAP)V7.1 通过阿里云产品集成认证测试,与阿里云旗下的阿里云应用服务器(V1.0)、阿里云 PolarDB 数据库管理软件、消息队列 RocketMQ 版(V3.16)以及企业级分布式应用服务 EDAS(V4.0)深度集成。这意味着在云原生领域远光软件与阿里云正式携手合作。
44 0
基于阿里云Serverless搭建的PNG 图片高质量压缩工具
笔者通过使用阿里云Serverless Devs部署基于 Serverless 图像预测案例,体验了阿里云Serverless的部分主要功能,阿里云Serverless功能强大、上手容易、性能也不弱,不过应用模板还不够丰富,大部分是环境类模板,这方面有待加群,本人也体验其他云服务提供商的Serverless服务,阿里云每月前100万次函数调用免费、每月前400,000(GB-秒)函数实例资源使用量免费。我体验的那个云服务提供商就前三个月有免费额度,而且很容易
282 0
【Java 虚拟机原理】Java 引用类型 ( 强引用 | 软引用 | 弱引用 | 虚引用 | 静态变量 )
【Java 虚拟机原理】Java 引用类型 ( 强引用 | 软引用 | 弱引用 | 虚引用 | 静态变量 )
33 0
“战疫”免费云迁移 -- VMware 迁 阿里云 3 步
2020年初,一场突如其来的疫情让原本祥和的新年气氛荡然无存。春节过后,状况并无好转,导致很多企业无法正常复工,对各行各业带来了巨大冲击。 此时,“上云“的巨大价值体现的淋漓尽致,企业管理者们也意识到业务只有跑在”云上“才能做到”永不下线,能够将对企业的影响降到最低。
773 0
阿里云有奖调查结果公布,赠送10个阿里巴巴logo胸针
4月17日,我们发起了“阿里云有奖调查!赠10个阿里巴巴logo胸针”活动,现经过随机抽奖机抽选出10名幸运同学,每人赠送一枚阿里巴巴胸针。现把获奖同学ID公布如下,请如下同学私信我,告知姓名、电话和邮寄地址。
1407 0
解决阿里云(ECS)等云主机服务端口的访问不通问题(安全组的坑)
一、在现在阿里云、腾讯云、京东云等一系列的云主机的出现,作为开发者,将越来越多的服务搬上云主机上去了 二、但是在将服务,例如mysql、redis等放在云主机上部署后,远程无法连接 其实是云主机安全组的坑。
1583 0
阿里云云盾WAF获年度云安全产品及服务大奖
12月29日,第二届FreeBuf互联网安全创新大会暨WitAwards颁奖典礼评选在上海国际会议中心举办。WitAwards颁奖典礼评选中,阿里云Web应用防火墙获“2016年度云安全产品及服务大奖”。
4833 0
Web 开发人员和设计师必读文章推荐【系列二十九】
  《Web 前端开发精华文章推荐》2014年第8期(总第29期)和大家见面了。梦想天空博客关注 前端开发 技术,分享各类能够提升网站用户体验的优秀 jQuery 插件,展示前沿的 HTML5 和 CSS3 技术应用,推荐优秀的 网页设计 案例,共享精美的设计素材和优秀的 Web 开发工具,希望这些精心整理的前端技术文章能够帮助到您。
1784 0
52
文章
1
问答
来源圈子
更多
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级 Kubernetes 容器化应用的全生命周期管理。容器服务 Kubernetes 版简化集群的搭建和扩容等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载