11月6日，由字节跳动、阿里云、华为、Intel、腾讯云共同发起的2022第三届中国云计算基础架构开发者大会（简称CID大会）在杭州举办。星环科技作为国产大数据基础软件的重要推动者之一，受邀出席大会，高级网络开发工程师吴正东和李阳在平台管理分论坛分享了星环科技云原生大数据平台零信任网络安全实践。

大数据时代来临，各行业数据规模呈TB级增长，拥有高价值数据源的企业在大数据产业链中占有至关重要的地位。在实现大数据集中后，如何确保网络数据的完整性、可用性和保密性，不受到信息泄漏和非法篡改的安全威胁影响，已成为政府机构、事业单位信息化健康发展所要考虑的核心问题。

企业和机构迫切需要大数据安全防护与加固，对于数据应用层，需要可信的数据应用机制，能够通过对内授权、对外隐私计算等方式帮助数据安全流通；对于数据资源层，需要对进行数据安全治理和安全防护，对数据分级分类、脱敏、溯源，管理权限等；对于大数据平台层，需要可信的软件环境，能够进行平台组件管理，数据加密传输和存储，审计操作，确权访问等；对于云基础设施层，需要可信的计算环境，能够对资源进行安全监控，资源隔离，漏洞检测等。

针对这些需求，星环科技在产品的各层级上都完善了安全技术，从而可以给用户提供体系化的数据安全防护能力。

在基础设施层，星环科技提供基于容器的云原生操作系统 TCOS，它不仅能够提供容器隔离和镜像扫描，还新增了漏洞检测以及面向业务的微隔离安全技术，从而可以为用户开辟一个独立的数据与计算环境，外部的服务未经授权无法进入，减少数据对外暴露风险。

在数据平台层，星环科技大数据基础平台 TDH 在新版本上做了大量的安全加固，一个是引入了微隔离安全技术，第二个是数据库支持行列级权限控制、动态脱敏等新能力，优化了数据透明加密并支持了用国密的算法，第三是增强了数据审计能力。

在数据资产层的安全防护上，星环科技数据安全管理平台Defensor可以帮助企业构建整个的数据安全管理域；数据流通平台Transwarp Navier，包含隐私计算平台Sophon P²C以及数据交易门户，提供包括联邦学习、差分隐私等技术能力，以及数据发布和数据合约等业务能力。

吴正东和李阳围绕星环科技体系化的数据安全与流通产品，重点介绍了其中的微隔离安全区功能、集群安全边界功能、统一身份认证功能三大技术点。

微隔离安全区

不再局限于传统微隔离中的IP地址，使用多元化的逻辑标识作为微隔离的基本元语；以网络安全区为核心重新定义微隔离基本元素，灵活配置微隔离逻辑范围，避免过度隔离。除了基础的功能实现，还具备微隔离流量按需加密、微隔离安全区支持多种CNI（Calico、Flannel、Antrea等）、微隔离流量可视化、微隔离流量L7安全策略、微隔离安全策略引擎等特性。

• 微隔离流量按需加密特性：不再简单粗暴的对整个集群进行流量加密，而是灵活的按需加密，可以实现微隔离单元内以及对外东西向流量加密。

• 微隔离安全区支持多种CNI：微隔离安全区功能与 CNI 插件解耦，微隔离安全区功能可以兼容多种主流 CNI 插件，如：Calico、Flannel、Antrea 等。

• 微隔离流量可视化特性：多个纬度对微隔离安全策略的流量进行统计，并可视化展示。

• 微隔离流量L7安全策略特性：支持L7安全策略设置，满足云原生业务的各种需求。

• 微隔离安全策略引擎特性：以流量可视化为基础，以微隔离SecurityZone为应用单元，根据动态策略分析对SecurityZone配置安全访问策略，满足SecurityZone 内灵活的上下架多样化的大数据业务的安全微隔离需求。

集群安全边界

• 安全边界负载均衡器：统一集群南北流量，在做到高性能，高可用的同时，增强了安全相关的特性。

• 跨集群安全通信：在实现跨集群 Full Mesh 通信的基础上，增强了安全相关特性，确保跨集群 Pod-To-Pod 的安全通信。

• 边界防火墙：支持对 NodePort 类型的 Service、HostNetwork 类型的 Pod 设置集群维度、节点维度、外部访问维度等多个维度边界安全规则。

统一身份认证

• 租户企业组织信息的管理：面向角色的租户角色划分，轻松实现租户企业组织信息管理。

• 租户认证管理：基于身份认证的资源管理，严格的授权和安全管控以及租户数据管理。

• Spire集成：大数据组件的身份认证与网络身份认证整合，统一管理，支持策略联动。