2026-04-18 06:59:42 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档介绍山石网科为商业银行提供的云原生架构微隔离解决方案。客户在容器化转型中面临东西向流量防护缺失、IPTables策略效率低、Agent资源占用高及信创适配等挑战。方案采用平行容器技术实现无Agent微隔离，通过Linuxnetfilter模块进行流量管控，结合智能策略五步法简化配置，支持K8s资产同步并适配国产化服务器，帮助银行构建零信任安全体系。 综合评分： 82 文章分类： 云安全,解决方案,技术标准,数据安全,应用安全

cover_image

山石方案｜商业银行-云原生架构微隔离案例

原创

山石网科山石网科

山石网科新视界

2026年4月16日 14:01 北京

在小说阅读器读本章

去阅读

商业银行-云原生架构微隔离案例

一、客户现状

某银行2019年启动云原生架构转型，早期采用阿里云方案奠定容器化、微服务基础，后续引入华为云等，构建多云协同架构。依托Kubernetes、Docker实现应用容器化，打造跨数据中心资源调度平台，经过数年的发展，平台的资源利用率、容器化应用处理能力较传统架构提升数倍。

同城双活、异地灾备，系统切换客户无感

核心系统分布式架构，支持每秒十万笔并发交易处理

混合云部署结合Prometheus+Grafana构建可观测平台，故障处理效率、自动化运维覆盖率翻倍提升

“信创易”工具完成78个模块信创迁移，国产化率大幅提升

二、项目背景与需求

随着容器化率提升，某某银行在容器安全领域也进行了相关建设，但在建设过程中也遇到了如下挑战：

1.东西向流量防护缺失

容器间通信无有效管控，一旦某容器失陷易引发横向渗透，威胁核心数据

2.原生IPTables策略适配效率低下

基于IP/端口的静态规则依赖人工维护，配置效率低，很难动态调整，无法匹配容器的快速扩容

3.Agent方式过度占用资源

第三方容器微隔离方案往往需要安装Agent，但客户主机已经部署了多个Agent，加上Agent对资源占用较高

4.需适配信创

客户已经完成了大部分服务器的信创改造，引入的方案需要进行适配

三、案例方案

以平行容器的方案配置云铠安全守卫，无需安装Agent，符合某某银行的配置要求。
云铠安全守卫利用linux netfilter模块的能力获取TCP SYN包和UDP NEW状态包，将流量牵引至安全守卫，以实现容器网络微隔离管控服务。
由于只引流首包的办法，系统部署后只对业务新建有轻微影响，对吞吐/并发/时延等其它性能无影响。
配置微隔离测试的过程中，通过山石独有的微隔离策略落地五步法，显著降低配置难度，系统结合资产定义，智能识别访问关系，并实现策略自动匹配和持续优化。
对接K8s apiserver，获取云原生资产，支持对多种资产做策略管控。

四、采购产品

五、方案价值优势说明

山石云铠提供覆盖容器、虚机和物理机的一站式安全防护方案，一套平台便可实现多种云工作负载的防护和安全运维，高效便捷。
山石云铠可实时秒级同步云环境内容器和主机的各种资产信息，方便用户及时掌握资产变化。
采用领先的微隔离技术帮助用户实现云内工作负载东西向流量的精细管控与流量可视，高效策略管理，无性能瓶颈，助力用户构建云内“零信任”方案落地。
云铠产品适配华为鲲鹏服务器以及海光（搭载麒麟OS）服务器，满足企业安全建设国产化需求。

荣耀认证丨山石网科×北京某大学联合案例，入选《数据安全合规治理优秀案例集》
山石方案｜教育行业-校园网边界安全案例
山石网科防火墙入选《中国（香港）网络安全竞争力调研报告》推荐厂商

山石网科是中国网络安全行业的技术创新领导厂商，由一批知名网络安全技术骨干于2007年创立，并以首批网络安全企业的身份，于2019年9月登陆科创板（股票简称：山石网科，股票代码：688030）。

现阶段，山石网科掌握30项自主研发核心技术，申请560多项国内外专利。山石网科于2019年起，积极布局信创领域，致力于推动国内信息技术创新，并于2021年正式启动安全芯片战略。2023年进行自研ASIC安全芯片的技术研发，旨在通过自主创新，为用户提供更高效、更安全的网络安全保障。目前，山石网科已形成了具备“全息、量化、智能、协同”四大技术特点的涉及基础设施安全、云安全、数据安全、应用安全、安全运营、工业互联网安全、信息技术应用创新、AI安全、安全服务、安全教育等10大类产品及服务，50余个行业和场景的完整解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：山石网科新视界山石网科山石网科《山石方案｜商业银行-云原生架构微隔离案例》