隨著云計(jì)算的發(fā)展，云原生技術(shù)已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的得力武器，如何保障容器安全，已成為企業(yè)最關(guān)心的問題。為此，亞信安全采用數(shù)據(jù)驅(qū)動安全的創(chuàng)新技術(shù)路線，結(jié)合信艙云主機(jī)安全產(chǎn)品在CWPP上的能力，正式推出了亞信安全信艙容器安全模塊，將智能數(shù)據(jù)分析與云原生特性相結(jié)合，從鏡像供應(yīng)鏈、容器運(yùn)行、容器加固等多個(gè)方面展開主動、持續(xù)的風(fēng)險(xiǎn)分析，為用戶提供了覆蓋容器環(huán)境全生命周期的立體化安全防護(hù)平臺。

容器技術(shù)并不是一種新技術(shù)，它已經(jīng)出現(xiàn)了大約二十年的時(shí)間，但是其進(jìn)入快速發(fā)展和應(yīng)用階段卻是近幾年的事情，可謂是一個(gè)厚積薄發(fā)的過程。當(dāng)前，以其為代表的云原生技術(shù)采納度正逐年攀升，Gartner報(bào)告曾指出，到2024年，將有75%的全球化企業(yè)將在生產(chǎn)中使用云原生的容器化應(yīng)用。但是，由于容器的一些特性導(dǎo)致了諸多安全風(fēng)險(xiǎn)，任何一項(xiàng)安全問題產(chǎn)生的容器失陷，都有可能威脅到所有其它容器，容器逃逸技術(shù)甚至可以直接入侵底層宿主機(jī)。

圖：容器技術(shù)應(yīng)用帶來的全新挑戰(zhàn)

調(diào)查數(shù)據(jù)顯示，94%的用戶在近一年發(fā)生過容器安全事件。那么，為何容器威脅會成云原生安全的“風(fēng)暴之眼”呢？

對此，亞信安全認(rèn)為，容器化技術(shù)帶來多維度的安全挑戰(zhàn)，可以包含以下四個(gè)方面：

鏡像供應(yīng)鏈安全

鏡像在構(gòu)建、倉庫存儲、部署等階段均易受到不同程度的攻擊威脅，不安全的鏡像一旦啟用，會造成大量應(yīng)用失陷。

容器網(wǎng)絡(luò)應(yīng)用安全

容器網(wǎng)絡(luò)中，由于流量封裝、IP快速變化以及微服務(wù)化帶來的應(yīng)用數(shù)量的指數(shù)級增長，傳統(tǒng)的邊界防御產(chǎn)品無法解決容器場景下的4/7層網(wǎng)絡(luò)應(yīng)用安全問題。

容器運(yùn)行安全

容器運(yùn)行過程中不合理的運(yùn)行配置和未修復(fù)的漏洞極易造成系統(tǒng)被非法入侵、容器逃逸、數(shù)據(jù)泄密等嚴(yán)重安全事件。

容器平臺環(huán)境安全

容器引擎、編排組件、主機(jī)操作系統(tǒng)是所有容器運(yùn)行的底座，其安全基礎(chǔ)配置項(xiàng)多達(dá)上百種，另外容器環(huán)境本身的API訪問控制能力薄弱，如Docker引擎的API默認(rèn)不加控制，極易造成安全短板，需要進(jìn)行精細(xì)化的安全加固。

鑒于當(dāng)前普遍應(yīng)用的容器環(huán)境，企業(yè)需要具備覆蓋容器應(yīng)用分析能力，發(fā)現(xiàn)容器環(huán)境下的異常行為，并形成有別于傳統(tǒng)安全技術(shù)的容器安全防護(hù)體系。正是觀察到了云原生所面臨的新挑戰(zhàn)、新安全，亞信安全推出了全新的容器環(huán)境安全防護(hù)解決方案。

基于“容器+業(yè)務(wù)”的安全防護(hù)實(shí)踐，亞信安全的云原生安全部件全部支持容器化運(yùn)行，并從安全數(shù)據(jù)、安全能力、安全場景、安全管理與運(yùn)營多個(gè)維度出發(fā)，為企業(yè)用戶的部署應(yīng)用和日常運(yùn)維提供了保障。在具體的容器安全場景中，該方案更覆蓋了事前安全防范、事中威脅檢查、事后調(diào)查響應(yīng)，最終形成主動防御。

可讓用戶全面掌握容器環(huán)境下的資產(chǎn)信息，支持各種資產(chǎn)類型，包括主機(jī)、容器、應(yīng)用、倉庫鏡像、已部署鏡像、k8s pod 、 k8s service等，以及Docker Registry、Harbor、華為云SWR等主流的鏡像倉庫，自動、持續(xù)上報(bào)資產(chǎn)信息，消除資產(chǎn)盲點(diǎn)，及時(shí)掌握容器資產(chǎn)變化，為安全管理提供最新的資產(chǎn)數(shù)據(jù)支持。

圖：事前實(shí)現(xiàn)顆粒度的微隔離安全

其次，提供了覆蓋生命周期的鏡像漏洞安全管理和安全配置堅(jiān)持，檢測供應(yīng)鏈各階段的鏡像資產(chǎn)，包括CI構(gòu)建鏡像、倉庫鏡像、節(jié)點(diǎn)鏡像、第三方開發(fā)工具包等，并自動檢測Web應(yīng)用安全配置、鏡像安全配置、平臺環(huán)境安全配置、微隔離安全，實(shí)時(shí)阻斷不符合安全標(biāo)準(zhǔn)鏡像的生產(chǎn)流通，確保容器自身安全，并實(shí)現(xiàn)容器引擎的“零信任”防護(hù)。

采用智能化威脅檢測全棧覆蓋，從已知威脅到未知威脅，從已知攻擊方式到未知攻擊方式，形成立體化交叉，并基于CEP引擎對容器威脅相關(guān)事件進(jìn)行關(guān)聯(lián)分析，追蹤溯源，自動發(fā)現(xiàn)失陷容器并做出響應(yīng)，從而完成“防護(hù)—檢測—響應(yīng)”的整個(gè)安全事件運(yùn)營的閉環(huán)。

圖：事后快速定位攻擊的影響范圍

事后調(diào)查響應(yīng)

通過各個(gè)功能之間進(jìn)行聯(lián)動，建立采集、檢測、監(jiān)測、防御、捕獲一體化的安全閉環(huán)管理系統(tǒng)，快速定位攻擊的影響范圍，協(xié)助用戶及時(shí)定位已經(jīng)失陷的主機(jī)，避免內(nèi)部大面積主機(jī)安全事件的發(fā)生。

03安全左移讓云與安全相融相生

秉承DevSecOps理念，亞信安全容器安全管理平臺通過容器編排技術(shù)將安全容器部署于容器環(huán)境中，進(jìn)行持續(xù)的檢測和分析，實(shí)現(xiàn)了容器環(huán)境的資源可視化管理、鏡像風(fēng)險(xiǎn)管理、容器運(yùn)行時(shí)安全管理、合規(guī)性檢測和微服務(wù)API風(fēng)險(xiǎn)管理，最終保障容器在構(gòu)建、部署和運(yùn)行整個(gè)生命周期的安全。另外，整套方案將各種安全能力與DevOps流水線相結(jié)合，把安全工作從運(yùn)行時(shí)左延到構(gòu)建階段，為容器提供構(gòu)建、部署和運(yùn)行的全生命周期保護(hù)，到最終實(shí)現(xiàn)容器安全的主動防御。

作為中國網(wǎng)絡(luò)安全軟件領(lǐng)域的領(lǐng)跑者，亞信安全針對云原生安全框架的各個(gè)層面提供不斷迭代的安全能力。同時(shí)，亞信安全還積極采用《云原生安全技術(shù)規(guī)范》等云安全指南與標(biāo)準(zhǔn)編寫工作，并為運(yùn)營商、金融行業(yè)頭部客戶、移動互聯(lián)網(wǎng)領(lǐng)軍企業(yè)的云原生應(yīng)用提供著全面的安全解決方案，讓云與安全相融相生。

標(biāo)簽：