金融行业一直是信息化程度最高、监管要求最高的行业之一，其云计算普及率已经达到较高水准，据《金融业数字化转型发展报告》统计，部分金融机构的云化率超过了80%，也因此，云原生正在成为金融行业关键业务场景中不可或缺的技术主角，而面对云原生环境下新的复杂设计，如何安全平稳地运用云原生技术也是个巨⼤的挑战。

数字时代下金融行业的架构转型

自改革开放起，随着金融业务的发展，我国金融行业IT架构经过多次变迁，大体可分为四个阶段：

• 第一阶段还是以银行网点为基础的业务形态，手工对账；
• 第二阶段进入电子时代，PC单机处理，原始凭证电算化；
• 第三阶段进入联网联机时代，开始实现省级的互联互通，各行根据自身情况进行不同程度的数据集中；
• 第四阶段以客户为中心，从传统的面向账户，转变为以用户为中心，只要有用户的地方，都会主动挖掘洞察用户需求，实现精准服务。

近年来，随着金融线上业务的发展以及数字化转型的推进，传统IT架构出现了很多问题。

首先，金融行业从低频业态转变为高频业态，提升服务质量并根据客户需求迅速开发新的产品，传统研发周期长，绝大数的金融机构系统研发为传统瀑布式方式，需求交付周期以月来计算，难以满足高频发布的需求。

其次，由于交付标准多，除了自研，还有外包开发等，各业务系统部署安全标准不一，金融机构运维复杂，数十上百个应用对应着成百上千台的机器，安全产品更是种类繁多，需要一个庞大的运维部门。

为了能更好地面向业务快速多变的诉求，金融行业的架构转型已经势在必行。

金融行业对IT系统提出更高的要求

01 需要更高频的迭代

随着金融业务系统走向多元化，业务并发高峰期更加频繁，金融业务系统需要能快速响应用户需求，进行高效的版本迭代。如双十一期间银行的峰值交易处理，需要更加简约化、模块化，高度参数化和模块化的架构，以能提供标准的交易流程，满足高并发下的急速交易处理需求。

02 需要更开放、更灵活的系统

为适配不同的业务场景，金融IT系统需要更加开放和灵活，以确保能够便捷地与其他系统做对接，更有效地控制开发成本。

应运而生的云原生技术

在数字化转型过程中，银行运用以容器、微服务、服务网格为代表的云原生技术，重塑了云端应用的设计、开发、部署和运行模式，实现了自动化、易管理、可观测的全新DevOps体系，开发者和运维人员能够最大限度地提高生产力，更敏捷、更高效、更安全地进行应用迭代。

微服务通过把“巨石应用”拆解为若干单功能的服务，减少服务间的耦合度，让开发和部署更加便捷和灵活，有效缩短开发周期；

服务网格让微服务中间件的升级与应用系统的升级完全解耦，在运维和管控方面的灵活性获得提升；

Serverless让算力和运维对开发透明，对于应用所需资源进行自动伸缩。

新技术带来的新风险

整个金融行业正在向“云原生”的开发和部署模式转变，相关的技术、产品、标准和解决方案等生态系统也在不断扩大，由此也带来了新的风险：

01 DevOps风险

全新的DevOps体系带来更加高效敏捷的开发模式，促使应用生命周期大幅缩短，开发阶段的风险管控变得更加重要。

02 基础设施安全风险

云原生场景下，新的基础设施（宿主机、容器、编排工具、多云平台等）的出现，引发了新的安全风险，如主机风险、容器风险、镜像风险、编排工具风险、多云安全风险等，对于单位运维人员来说，运维压力更大了。

03 微服务安全风险

应用微服务化使得端口数量呈指数级增长，微服务暴露面增加，微服务之间的交互认证授权问题更加复杂，同时随着微服务自身引入大量的开源组件(Spring Cloud、Dubb0)，也导致了新的微服务框架安全风险。

04 运行时安全风险

以容器为载体的云原生应用，因为容器自身的生命周期较短，所以黑客在云原生环境下攻击思路也发生了转变，力求寻找新的持久化方向，例如：容器逃逸、提权等。

比大部分行业都更强调安全稳定的金融业，如何在飞速更迭的云原生环境下，保持业务持续发展的同时，做到既稳又快？为了满足云原生高可靠、高性能的基本保障，安全建设至关重要。

打造金融级云原生安全建设

针对上述云原生环境下的安全挑战，默安科技自主研发的尚付云原生保护平台（以下简称“尚付CNAPP”），致力于帮助用户打造完整、体系化的云原生安全解决方案。

#1 提供五大安全能力

尚付CNAPP可为用户提供跨越多云的全生命周期、全栈的安全保护，具备五个核心安全能力：

01 DevSecOps+安全服务

（一）安全左移

平台在DevOps中引入安全流程，通过与CI/CD流水线集成，利用自动化工具链，全自动进行IAC扫描、镜像扫描、第三方组件成分分析、交互式安全测试等的云原生各阶段安全问题分析识别，提供风险闭环处置功能，实现安全左移，避免业务带病上线。

（二）安全卡点

通过卡点准入落地安全左移理念。在镜像构建阶段，不符合既定策略的IaC和第三方组件扫描，将进行第一个阻断，禁止镜像构建。镜像的安全扫描，对镜像的恶意文件、漏洞信息进行安全扫描，进行第二道准入策略。在业务上线前的安全测试是安全左移的最后一道卡点，通过交互式安全测试，符合既定策略，准许正式部署。

02 基础设施合规安全

平台提供多种基线配置标准，如等保、PCI DSS、CIS等，对发现资产进行合规检测，并提供修复加固建议，可自动识别IaC中的错误代码并进行修复，支持Kubernetes Manifest、Docker File、Terraform等多种格式的安全检查。

03 微服务安全

通过机器自学习多集群所有微服务东西向流量，平台可生成可视化访问关系雷达图，帮助用户直观了解集群内访问关系，提供基于零信任理念的微隔离策略，实现基于身份的微隔离。

04 工作负载安全

平台对容器云平台环境中各类资产进行识别，展示所有容器相关资产的统计数据和风险状态，自动对各类资产信息进行同步，实时监控资产信息的变化；通过对已梳理资产进行持续监控分析，帮助用户在面对入侵威胁时（容器逃逸，容器提权、恶意命令执行、webshell等）进行安全防护，同时支持对于风险容器的闭环处置（创建保护策略、暂停、隔离等）。

05 应用与数据安全

平台为云原生微服务提供声明式WAF能力，支持Istio环境。应用启动时即自动获得WAF保护，并支持容器应用的飘移WAF安全策略随行功能，通过简单的操作即可获得强大的安全能力。

#2 部署实现方式

在考虑安全性的同时，系统稳定性对于金融IT也至关重要，因此，如何在引入新安全手段的同时，又不对原有体系造成冲击，这是默安科技对于云原生安全的重要思考，尚付CNAPP就能做到这一点。

图  尚付CNAPP部署方式

01 容器化交付

平台采用容器化部署形式，支持安装包镜像化，可实现快速交付部署，同时支持自适应扩缩容，满足云原生弹性资源调度。在不改变客户现有组织架构的情况下，把安全能力与客户现有自动化流程相结合，在客户流水线中温和嵌入安全能力组件，形成安全闭环能力。

02 多集群统一纳管

业务转型期间，容器化建设是逐步转变的。现有的业务架构，更多是混合多云的形式在组织内并存，多集群场景更加常见。平台具备多集群统一纳管、分布式管理各节点的安全能力，可集中呈现各节点的安全风险，提供闭环处置能力，通过不同层级管理员实现对各部门权责的划分，促使各部门履行各自的安全职责。

#3 实现全栈、全生命周期的安全

尚付CNAPP打通了DevOps和容器云，让运维人员可以知道代码库的代码运行的节点及构建成的服务、线上的服务由哪里的代码生成、应用从开发到上线的每一步在何时完成、存在的安全风险等。平台突破性地将应用层的安全风险上下文信息与镜像指纹绑定，为后面的运营和管控提供更丰富的手段。

同时，平台还打通了CSPM（云安全状态管理）和可以兼容容器和云主机的工作负载安全agent，在统一的界面内展现基础SaaS业务、托管容器云与私有容器平台的配置错误与合规性，以及不同云主机的安全问题，实现业务全生命周期时间维度、全栈空间维度的安全风险可见和管控。

云原生作为一种全新的技术理念，所涵盖的内容十分广泛，随着云原生技术走进越来越多的业务场景，如何建立与之匹配的安全防护体系成为业界极为关注的问题。一直以来，默安科技在云原生安全领域不断进行理念创新、技术深耕和落地实践，努力解决以金融为首的各行业云原生化转型过程中的安全顾虑，希望本文能为金融行业乃至于其他政企用户的云原生安全体系建设工作提供借鉴和参考。