某银行是我国由民间资本设立的商业银行，拥有覆盖全国的分支及附属机构。近年来，在金融行业数字化转型的驱动下，国有银行、股份制银行和各级商业银行也纷纷步入云原生化的进程。该银行重点发力“云原生体系”、“分布式体系”建设，走在数字化转型的前列。

需求和挑战

银行不仅要满足国家和金融行业强监管的合规要求，而且要做到对资产的完全可视、安全控制。

在前期的需求调研中，该银行发现他们缺少快速、集中的资产和风险管理手段，安全运营工作缺乏技术上的保障和审核能力。原本他们希望通过自研Agent以满足对云原生基础设施的资产清点和入侵检测功能需求，但因为开发成本和维护成本太高，又难以满足场景各异的安全需求，所以需要一款性能稳定、功能全面、架构成熟的云原生安全方案。同时，该银行专业安全技术人员无法全面覆盖到日益增长的创新业务和应用场景，也更需要一套高效化云原生安全分析平台来处理繁杂的安全应急工作和安全管理工作。

事实上，从传统应用向云原生化转型后，该银行也面临诸多的安全挑战。具体地讲，主要包括：

 • 缺乏持续检测容器中是否存在漏洞的技术手段。

• 无法判断容器是否存在风险配置。

• 入侵检测无法实时防护容器，入侵检测功能需要实时检测容器中是否有反向链接行为，检测Web容器中是否存在后门文件。

• 容器资产难以统计。容器资产清点不仅可以掌握容器资产状况，也可以在发现容器被入侵时提供详细的信息进行溯源，可以通过查看容器内运行进程、端口是否存在异常来进一步分析。如果发现异常进程，则可以通过查看该容器对应的镜像，对应在“镜像”的资产中，查看这个镜像起跑起了多少容器，是否每个容器中都有异常程序。

因此，考虑自身的行业属性，面对数字化转型的发展需求和挑战，该银行需要一款性能稳定、功能全面、架构成熟的云原生安全产品或方案。凭借坚持技术创新、客户服务第一的优势积累，青藤蜂巢·云原生安全平台受到该银行青睐。例如，在技术能力上，通过蜂巢安全补丁功能可以及时发现镜像在构建时是否使用了有漏洞的应用，也可以更进一步的发现镜像仓库中是否存在漏洞，并且支持配置可信的“镜像源”，在镜像投入使用前就可以发现漏洞、修复漏洞。通过合规基线功能可以及时发现容器是否存在配置风险。比如黑客在入侵时有可能通过不断耗尽容器的内存资源进行攻击，进而导致主机上的所有容器都不可用，蜂巢通过检查是否设置了限制容器内存使用配置，可以实现有效预防。此外，7*24小时的实时在线防护服务，也为该银行业务平稳、安全运行提供保障。

解决方案

经过多番的对比试用、测试和安全验证，该银行最终安全平台。整个部署方案如图所示，主要从安全左移和运行时安全两个阶段，在容器的全生命周期过程中，提供原生的、融合的安全能力。