“安全产品那么多，我怎么知道防住了？”“大家都说自己是云原生的，我看都是换汤不换药”在与客户沟通云原生安全方案的时候，经常会遇到这样的吐槽。越来越的客户已经开始了云原生化的技术架构改造，也意识到了云原生安全的重要性。但是面对还未像传统安全一样形成格局的云原生安全市场，鱼龙混杂，客户往往花掉了很多的时间成本，采购成本，但是没有得到自己想要的安全结果，慢慢对云原生安全充满了怀疑：到底什么才是真正的云原生安全平台？谁又真的有实力能做出有用的产品？

京东的云原生实践

京东目前运营着全球最大规模的 Docker 集群、Kubernetes 集群，以及最复杂的 Vitess 集群之一，基本实现了“All in Containers”，是目前全球容器化最彻底的互联网企业之一。

早在 2014 年，云原生技术爆发之前，京东就率先将 Docker 容器技术大规模应用至生产环境。2016 年开始实践了 Kubernetes 技术，并成为 Harbor 最早的一批用户 。于 2018 年京东正式加入 CNCF 基金会，成为其首位白金会员。同时京东是 CNCF 开源项目最大的使用者与贡献者之一，并在当年获得 CNCF 终端用户奖。2021 年凭借在云原生领域的技术创新能力及大规模实践成果，京东云的《ClickHouse 云原生架构演进之路》 入选 2021 年度最值得学习案例。在 2022 年开展的评选中， 行云成功入选了中国信通院“软件质效领航者”优秀案例。

京东在每年的 6.18、11.11 都会面临海量数据和流量增长，各种业务系统都面临着前所未有的挑战。通过对大规模的应用开发和系统的保障实践，京东云安全团队总结出了一套符合 DevSecOps 场景的一体化全生命周期云原生安全防护理念，形成了保障全生命周期的 CNAPP 平台——京东云原生安全平台。

直击痛点解决云原生的实际风险

云原生技术带来了标准化和统一化，人们充分利用原生云能力的自动扩展、无中断部署、自动化管理、弹性等特性进行应用设计、部署和运维。同时云原生时代也面临新的安全挑战，例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。与此同时传统旧的攻击手段依然有效，包括漏洞利用、暴力破解、DDOS 攻击、病毒木马、挖矿进程等等。面对这样的风险变化，传统的安全产品已经无力应对，而越来越多的客户也意识到，堆叠式的安全防护方式已经无法应对云原生的环境变化。

京东云原生安全平台符合 Gartner 定义的云原生应用防护平台（CNAPP）架构，基于 DevSecOps 的全流程赋能企业高效开发运维及业务快速安的发展。

我们将安全能力左移，提供镜像安全扫描与加固，镜像启动控制，可信镜像维护与管理能力，保障供应链安全。运行时提供容器入侵检测与阻断，容器逃逸检测，容器安全基线加固，并提供编排安全能力包含集群审计，配置项检测，集群漏洞检测。在应用安全层面提供微服务组件清点，RASP 应用防护，API 安全检测。云原生网络层面提供容器网络东西向可视化拓扑及微隔离策略配置。在基础设施安全检测与防护方面，包含长期实践积累的节点漏洞检测修复，入侵威胁检测与隔离，等保基线检测，敏感文件防护等。京东云原生安全平台实现与 CI/CD 结合，基于 DevSecOps 的全流程全方位纵深防护，实现全平台多集群统一防护，统一管理，统一运维，更高效更安全。

实践沉淀一体化防护理念

京东云原生安全平台主要定位于为用户提供有效便捷的一体化云原生安全平台，包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务，提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。

一体化：并非多个安全产品的堆砌组合各自为政，而是由一个产品提供全面能力，统一控制端便捷管理，统一权限分发安全高效，统一策略配置，实现资产清点一体化，网络防护一体化，镜像容器节点应用防护一体化，基础设施安全一体化

全生命周期：覆盖镜像构建，容器运行，应用安全，编排安全，计算资源安全，网络安全，贯穿整个生命周期。

京东云原生安全平台产品架构优势

云原生化部署

采用灵活的分层架构设计，能够基于用户场景、行业、规模属性灵活地进行私有化部署。我们的轻量化探针面向云原生 kubernetes 场景采用非侵入部署方式，还支持以 Daemonset 进行更加云原生化的自动一键部署、自动管理模式。控制面整体采用计算数据分离、接口计算分离的架构，通过管控层进行探针管理、数据汇聚、任务管理，实现探针 agent 一键操作。所有数据都由存储模块统一管理，包括离线计算、在线计算、持久化存储，支持多副本架构，确保数据的安全性。通过中间层统一提供接口实现接口统一入口、统一管理。

混合多云适配丰富终端

以云原生架构体系为基础，支持跨平台部署，京东云、混合云、私有云，其他云；适配多种终端，服务器、虚拟机、IDC、容器、裸金属服务器等。

国产化适配主流系统

已成功交付麒麟/海光/飞腾/统信等多个信创系统，参与信创实验室，获得信创互认证，支撑运营商/政府/金融/制造/交通/医疗/能源等行业领域安全无忧的数字化转型实践。在信创漏洞挖掘领域持续投入，深入挖掘，在信创漏洞领域始终保持着领先的检测和防护能力。

强大的未知威胁防护能力

京东云原生安全平台基于机器学习查杀引擎将人工智能、算法和机器学习应用于恶意代码的预测、鉴定和阻止，在线和离线情况均能够高效预测和预防已知和未知威胁。支持 RASP 能力，为每个应用都配置了贴身保镖。在 fastJson、log4j 零日漏洞发生期间，准确识别应用行为，有效分辨出未知威胁和零日漏洞攻击，保障京东集团未发生任何入侵事件。