当金融科技遇上云原生，蚂蚁金服是怎么做安全架构的？

蚂蚁金服在曩昔十五年重塑支出改变生活，为全球跨越十二亿人供应办事，这些背后离不开手艺的撑持。在 2019 杭州云栖大会上，蚂蚁金服将十五年来的手艺沉淀，以及面向将来的金融手艺立异和参会者分享。我们将个中的精良演讲整顿成文并将陆续发布在“蚂蚁金服科技”公家号上，本文为个中一篇。

在云原生成长趋势之下，金融行业想要应用云原生手艺，平安问题是一个非常大的拦路虎，而云原生社区对平安问题的正视水平远远不敷。蚂蚁金服在落地云原生的时候，解决平安问题是重中之重，经由索求与实践，我们沉淀出了一套从底层硬件到软件、从系统到应用层的全链路金融级云原生平安架构。

金融行业最主要的就是信任，我们认为，平安所带来的信任，是一种无形的产物，撑持着所有金融买卖。

顺应互联网时代成长，金融行业与机构也发生了好多的转变，包罗 App、小法式等更多的接见渠道，更快的买卖转变，更多的第三方供给商。然则，不管怎么转变，金融行业有一点始终不变，那就是 Zero Fault，对错误的零容忍，也就是对不乱性和平安性的极高要求。

这里，我还想澄清人人对金融行业的一个错误见解，就是，人人都说金融机构有好多遗留系统，好多手艺是十几年前的，就认为金融机构的手艺是掉队的。但其实，金融行业一向是科技含量非常高的。前段时间有一部片子上映，叫《蜂鸟规划》，凭据真实事件改编，讲一帮做高频生意的人，为了降低从堪萨斯到纽约生意所的时间，建造了一条上千英里纵贯两地的光纤，想尽法子去争夺那最后一毫秒。所以，金融行业并不只有平庸保守的科技，它同样也在追逐最前沿最进步的手艺，我们的使命就是要用科技来进一步武装金融行业，为金融科技注入更多的活力。

云原生架构其实代表一种新的生产力，金融行业一定是需要云原生的，它为我们带来了节约成本和迅速斥地的能力，然则在它前面还需要加一个定语，就是平安的云原生架构，它里面不光仅包含之前的相对简洁的平安方案，而是一个从端到端的全链路可托的平安解决方案。包罗了了代码所有权，做到可托启动，对镜像的建造和发布收口，合营账号系统，了了应用的所有权和接见权限；以及平安可自力布置的精美化隔离方案，将平安策略和实施集成在根蒂架构中，对软件斥地和测试透亮。

这里我们着重分享蚂蚁金服正在实践的几项云原生平安手艺，包罗云原生收集平安 Service Mesh，平安容器，以及秘要较量。云原生收集平安：SOFAMesh

当前，云原生里除了容器之外第二大手艺其实就是 Service Mesh，从蚂蚁的实践来看，其实它对金融平安有非常高的匡助。它至少能够做到三点：

策略化高效流量掌握，能够匡助运维敏捷适应买卖快速转变；

全链路加密，珍爱端到端数据平安；

流量劫持与剖析，当发现非常流量与容器时，进行流量阻断。

而且，这些工尴尬买卖是透亮的，不需要给买卖斥地增加肩负，同时我们还能够对流量进行实时的语义剖析等等，做比传统的防火墙做更多的事情。

蚂蚁金服在对 Service Mesh 的索求中，推出了本身用 Golang 打造的 SOFAMesh，而且已经对外开源，进展和社区一路起劲，让 Service Mesh 的理念和手艺加倍普及。

SOFAMesh 是基于 Istio 改善和扩展而来的 Service Mesh 大规模落地实践方案。在继续 Istio 壮大功能和雄厚特征的根蒂上，为知足大规模布置下的机能要求以及应对落地实践中的实际情形，所做的改善包罗采用 Golang 编写的 SOFAMosn 庖代 Envoy，极大降低了 Mesh 自己的斥地难度，并做了一些立异性工作，例如归并Mixer到数据平面以解决机能瓶颈，增加 Pilot 以实现更天真的办事发现机制，增加对 SOFARPC、Dubbo 的支撑，等等。

更多详情可查察SOFAMesh的GitHub主页：

https://github.com/sofastack/sofa-mesh

蚂蚁金服率先在生产情况中大规模落地 SOFAMesh，跨越 10W+ 容器做到了 Mesh 化，平稳撑持了 618 大促，给我们带来了多和谈支撑、UDPA、腻滑升级、平安等多方面的优点，而且对机能仅有稍微的影响，单跳 CPU 增加 5% 损耗，RT增加不到 0.2ms，甚至部门买卖经由 Mesh 化革新将买卖链路下沉，RT 反而下降 7%。平安容器 Kata Containers

传统容器架构

平安容器架构

这里给人人分享一下 Kata Containers 的近期进展，针对人人最存眷的机能问题有了非常大的提拔：

引入 shimv2 每 Pod 辅助历程数量从 2N+2 削减到 1 个；

引入 virtiofs，提拔文件系统机能约 70% 到 90%；

引入 Firecracker， VMM 内存开销从 60MB 降到约 15MB；

改用 rust 实现 agent，占用内存从 11MB 下降到约 1MB。

我们也会和社区一路持续共建 Kata Containers，让平安容器成为云原生的标配。

平安容器能够有效的珍爱主机，然则，金融买卖自己仍然需要更强的隔离珍爱，蚂蚁金服引入了秘要较量，并凭据实际场景研发了大规模落地解决方案 SOFAEnclave。秘要较量中央件：SOFAEnclave

所谓秘要较量，也就是基于例如 Inte SGX，ARM Trustzone 等可托执行情况（Trusted Execution Environment, TEE），也称为 Enclave ，接见较量机内存时隔离用户数据，以避免将数据露出给其他应用法式、把持系统或其他云办事器租户的解决方案。

Enclave架构

然则 Enclave 今朝存在一些问题，阻碍了它在实际生产情况中的应用。总结这些问题包罗：

第一，需要改写应用，因为可托执行情况里面没有内核和根蒂库，所以没法把应用直接在 Enclave 中执行；

第二，需要朋分应用，需要把买卖法式划分为 Enclave 内和 Enclave 外的部门；

第三，未集群化，与客户端场景分歧，Enclave 中的应用若何 failover，容灾也是阻止其在数据中心中大规模使用的一个原因。

蚂蚁金服针对这些问题的谜底就是 SOFAEnclave 秘要较量中央件。

SOFAEnclave架构

SOFAEnclave 由三个组件构成，第一个是 Occlum LibOS，此外一个是 SOFAst，以及 KubeTEE。Occlum 是蚂蚁和英特尔、清华主导斥地的一个内存平安的多义务 Enclave 内核，把系统内核的功能经由 lib 的体式链接曩昔，经由这种体式给 Enclave 增加功能。同时我们也立异性的解决了在 Enclave 跑多历程的体式，让 Enclave 真正适配大型的应用。

想具体认识 SOFAEnclave 的手艺细节，能够参考这篇文章：

《SOFAEnclave：蚂蚁金服新一代可托编程情况》

当我们把这些平安组件与云原生框架编织在一路，组成一个全景，就是我们正在构建的金融办事的平安云原生平安架构——基于阿里云和 Kubernetes，以端到端的平安性保障金融办事。