玫琳凯创立于 1963 年,是全球领先的化妆品跨国企业,其业务遍布 35 个国家和地区,在全球拥有 5000 多名员工。玫琳凯于 1995 年进入中国市场,并迅速成长为具有影响力的美容品牌。
概述
全球知名美容品牌 Mary Kay 玫琳凯使用 SUSE Security 解决方案,全面提升了容器环境安全性,实现了保护数据安全、业务不中断、管理成本降低等目标。SUSE Security 通过零信任安全策略保护企业敏感数据,全程审查容器镜像的安全与合规性,保护供应链安全,并满足了严苛的资源占用要求。在 SUSE 的协助下,玫琳凯仅用了不到三个月的时间,就完成了从前期调研到整体上线的全部工作,大幅提升了容器平台的安全性,为客户提供更安全、高效的服务体验,保持其在全球美妆行业的领先地位。
应对云原生安全挑战
玫琳凯采用了云原生架构来打造技术后台,通过采用云计算和容器化技术,构建了高扩展、高可用、能快速迭代和交付的技术体系。公司技术团队需要负责技术平台和服务器的管理、开发和维护工作,为生产、销售、运营提供全流程支持,确保数据安全。
随着业务的高速发展,玫琳凯面临着数字化转型的新挑战。他们在管理大量服务器的同时,还要兼顾跨地区数据同步,对多端应用程序实施统一化管理问挑战,更重要的是,企业希望全面提升数据安全防护等级,达到监管要求。
玫琳凯希望引入功能强大的云原生安全解决方案,来保护东西向数据和软件供应链的安全,该方案还应具备部署简单、资源占用少、自动化程度高等特点。经过多方比对,玫琳凯最终选择 SUSE Security 解决方案。该方案能无缝接入主流云计算平台,采用基于行为学习算法保障数据安全,拥有经过严格审核的软件供应链,全天候自动扫描安全漏洞,帮助技术团队专注于核心功能开发,大幅降低了开发和运营成本。
“SUSE Security 提供了全生命周期的容器安全管理解决方案,完美契合我们的现有技术架构,项目部署和上线过程中业务没有中断。该解决方案基于行为学习算法,实现了自动化学习与发现、实时安全监控与拦截,具有技术先进性,并在综合成本上展现了明显优势。”
影响:SUSE Security 构筑云原生安全防线
适配主流云平台,无障碍快速部署
适配性,是用户在选择安全解决方案时最看重的标准之一。优秀的解决方案在满足功能性需求的同时,也应适配用户多样的使用环境,满足无缝对接和快速部署的需求。SUSE Security 广泛适配了主流云计算平台,包括:AWS、微软、谷歌、阿里、腾讯、华为、百度等,满足用户快速部署、无缝集成的需求。
玫琳凯采用了 AWS EKS 容器集群环境。在寻找解决方案过程中,他们发现部分第三方安全产品适配性低,部署流程复杂,甚至会出现功能异常等问题。玫琳凯技术负责人表示,团队需要更具兼容性的容器安全平台,能够快速部署,并能满足未来跨平台部署需求。“使用几个 YAML 文件或 HELM 就可以在 AWS 上快速部署 SUSE Security,过程非常简单,它还能和 AWS 本身的权限管理、日志管理等功能无缝集成,大大减轻了管理难度。”
SUSE Security 的适配性不只体现在单一云计算平台上,它还提供了多云、混合云环境支持,甚至能在本地数据中心、边缘计算场景中使用,让企业轻松应对未来扩容需求。玫琳凯表示, SUSE Security 的多应用场景适配性能让他们放心部署,轻松应对未来扩容、迁移等需求。“对我们来说,SUSE Security 既满足了当下的安全需求,也为未来的创新提供了保障。”
零信任安全策略,保护核心数据安全
在容器集群内部,东西向数据流量无法通过传统外部防火墙进行防护,由于企业容易忽视容器集群内部的安全防护,导致东西向数据的工作负载很容易成为攻击目标,从而增加了数据泄露的风险。
玫琳凯每天需要处理大量的运营数据,不同类型的数据在容器、微服务之间快速流动,他们很早就开始重视东西向数据的保护。玫琳凯非常认可 SUSE Security 所采用的零信任安全模型,该模型默认阻止所有未经授权的通信和操作,阻隔了非法数据流动。同时,平台还能实时检测非授权的访问和数据传输行为,并发出告警。
在零信任安全策略的支持下,玫琳凯确保了东西向数据的安全传输,保证每一次数据交换都合法合规,有迹可循,补齐了企业内部的安全短板。通过在真实生产环境下的使用,玫琳凯发现 SUSE Security 非但没有降低数据传输效率,反而因为其阻隔了非法传输行为,提高了系统运行效率。
全周期自主防护,降低运营管理成本
初期,玫琳凯采用权限控制、网络隔离等手段作为安全防护措施,实施这些措施不仅需要占用可观的团队资源,而且缺乏及时告警、主动防护等能力,不足以抵御潜在威胁。在“降本增效”成为企业数字变革目标之一的趋势下,玫琳凯就在寻求低管理成本,自主高效的安全解决方案。
SUSE Security 的全周期自主防护能力,完全满足了玫琳凯的需求。SUSE Security 具备实时防护能力,平台能实时监测并阻止非法扫描、横向移动等常见攻击行为;通过深度包检测(DPI)分析数据流,发现和阻止零日攻击;还能实时扫描容器镜像中的安全漏洞,阻止非法代码入侵容器环境。SUSE Security 的实时防护能力能显著减轻运维压力。
除此之外,SUSE Security 还拥有独家的自主学习防护能力。基于自主研发的基于行为学习技术,SUSE Security 能学习当前环境下工作负载的正常行为和网络流量模式,自动生成安全防护策略,能够自主识别容器和应用程序中的异常行为,阻止异常流量传输,并发出告警,真正实现全自主防护。
玫琳凯表示,SUSE Security 显著提高了安全管理效率,以往需要数天才能完成的安全策略部署,如今只需要简单的配置操作,就可完成大量集群的安全规则更新。更重要的是,SUSE Security 能自主识别、阻止威胁,优化安全策略并发出告警,大大提升了运营效率。
全流程审核检测,保障供应链安全
如今,针对软件供应链的攻击行为严重威胁着企业的信息安全。随着容器技术、CI/CD 开发模式的广泛应用,一旦容器镜像、开源组件遭到入侵,安全威胁将快速影响到企业内部运营,甚至会损害终端用户的利益。保障供应链安全,不只是企业的基本运营需求,更是国家信息安全制度的硬性要求。
玫琳凯非常认可 SUSE Security 对于软件供应链的保护能力。SUSE Security 会在全周期实时扫描容器镜像中的漏洞(CVE),确保镜像的合规性,从部署之初就确保容器环境的安全性。它还配备了七层网络防护能力,可以深入应用层识别特定协议流量,防护能力远超传统的网络层(第3/4层)防火墙。更重要的是,SUSE Security 能和 DevOps 流程无缝集成,它能在 CI/CD 阶段,自动执行安全策略检查,防止漏洞、配置错误或恶意代码进入生产环境。它还能提供安全合规性报告,便于开发团队排查问题,并满足监管要求。
玫琳凯技术负责人表示,SUSE Security 大大减轻了开发团队在安全管理上的负担,可视化界面非常容易上手,使得团队能够专注于功能开发。SUSE Security 的安全防护等级,也帮助玫琳凯满足了网络安全等级、个人信息保护等国家强制标准的要求。
7/24 技术服务,全流程服务保障
“SUSE 的本地化服务能力给了我们意外的惊喜。我们本来还担心跨国企业响应速度会比较慢,服务流程冗长,但这次 SUSE 团队全程参与了测试、安全策略制订、部署上线、培训等工作,无论是现场服务还是线上沟通,响应速度都非常快。”玫琳凯技术负责人说,“这么大规模的集群技术改造,从 POC 到项目落地只用了三个月时间,业务运行不受任何影响,SUSE 的技术服务起到了很大的作用。”
为了保证业务不中断,SUSE 技术团队和玫琳凯在 UAT 环境下进行了充分的测试,并制定了详细的生产环境部署计划,通过分阶段的部署和调试,最终保证了 SUSE Security 的无缝落地。在整个过程中,SUSE 团队通过线下服务、线上沟通等方式,及时响应了客户的需求。
SUSE 在中国拥有完整的售前、产品、研发、售后服务团队,办公室遍及北京、上海、深圳、香港等主要城市,已为国内领先的电信、金融、信息、汽车、制造企业提供过服务。SUSE 的支持服务可为用户提供最高 7x24 小时全天候服务,服务内容包括需求分析、方案制订、规划、测试、部署、故障排查等。除此之外,SUSE 还为客户提供了集成进系统重的专属知识库和专家社群,帮助用户紧跟技术趋势。
产品是基础,服务是保障。SUSE 的本地化技术支持服务,如同为用户配备了全天候在线的专家团队,助力企业的数字化创新。
后续规划
随着业务量的增长,玫琳凯将全面推进云原生化,以进一步提升系统运行效率。企业将加强客户数据保护,通过统一的大规模容器集群管理平台,实现自动化部署、安全审计和智能故障排查,确保系统的安全性与稳定性。同时,玫琳凯也将把 AI 引入业务创新流程,作为未来发展的重要方向之一。