牧云容器安全六大核心能力,构建云原生实战防护体系

admin 2022年7月5日01:52:28云安全评论7 views2446字阅读8分9秒阅读模式
别忘了
牧云容器安全六大核心能力,构建云原生实战防护体系
 星标我!


从容器的自身架构和工作机制来看,容器遭受攻击主要有以下6个原因:


牧云容器安全六大核心能力,构建云原生实战防护体系


基于Gartner CNAPP的模型,容器安全需提供全生命周期的安全防护,覆盖构建、分发、运行不同的阶段。


长亭科技将CNAPP理念进行实践与落地,推出长亭牧云(CloudWalker)容器安全平台,可贴合攻防场景,助力防守方构建安全的云原生实战防护体系。


牧云容器安全六大核心能力,构建云原生实战防护体系






六大核心能力

构建云原生实战防护体系




01
安全能力原生化,无需重复安装Agent

DaemonSet是Kubernetes的一种控制器,能够确保在每一个Node上运行一个Pod副本,当有Node加入集群时,Pod副本也会随之新增,当有Node从集群移除时,这些Pod也会被回收。


牧云(CloudWalker)研发团队基于DaemonSet特性,将CWPP安全能力云原生化到每一个DaemonSet探针,以平行容器的形态部署于容器平台中,使其始终运行于每一个Node上。在新业务上线和扩容时,运维者无需重新安装Agent,便可敏捷、弹性地获取原生的安全能力,天然适配云原生场景。


牧云容器安全六大核心能力,构建云原生实战防护体系

安全能力原生化


牧云容器安全六大核心能力,构建云原生实战防护体系

牧云(CloudWalker)Agent Yaml样例


牧云容器安全六大核心能力,构建云原生实战防护体系

牧云(CloudWalker)Agent运行在每一个Node上



02
安全左移,为业务系统注入“免疫力”

容器镜像作为云原生应用的标准交付格式,包含了容器运行的基础文件。因此,镜像安全对于容器安全至关重要。


基于“安全左移”的治理原则,牧云(CloudWalker)分别在镜像构建和分发阶段进行镜像扫描和安全审计,提前发现已知漏洞、木马病毒、WebShell和敏感信息等,保障容器安全。


容器通过overlay存储驱动构建和管理镜像,每一个镜像层或者容器层都是一个目录;镜像层和容器层的内容存储在 aufs/diff/ 目录中;aufs/layers/ 中存储着镜像层的元数据,aufs/mnt/ 包含镜像或者容器层的挂载点,通过联合的方式进行组装。


基于以上特性,牧云(CloudWalker)在扫描镜像时,会采用分层扫描技术,分别扫描不同种类信息,如devicemapper、overlay2、aufs、btrfs、vfs,避免重复拷贝,提高扫描效率。


牧云容器安全六大核心能力,构建云原生实战防护体系

安全左移


牧云容器安全六大核心能力,构建云原生实战防护体系

分层扫描



03
构建,分发,运行,全生命周期防护

容器作为云原生“不可变的基础设施”的载体,其实例从镜像中快速构建,通过API快速销毁,具备生命周期短、业务复杂、网络复杂的特性,牧云(CloudWalker)容器安全平台覆盖了全生命周期安全:


  • 在构建、分发阶段,平台通过与CI工具Jenkins等对接,提前发现镜像的安全问题,并阻止不合格镜像传输到镜像仓库;

  • 在运行阶段,牧云(CloudWalker)帮助客户进行资产清点、运行前风险发现、运行时入侵检测。资产清点时平台自动构建资产图谱,实时更新主机、Kubernetes、容器等资产。




运行前,平台通过检查审计Capability、SeLinux、AppArmor、Seccomp,避免容器特权运行,及时发现风险;



运行时,平台及时发现入侵行为,包括容器逃逸、WebShell、反弹Shell、可疑审计,提高容器的安全性。


牧云容器安全六大核心能力,构建云原生实战防护体系

全生命周期防护


牧云容器安全六大核心能力,构建云原生实战防护体系

运行时入侵监测



04
全局可观测与感知,灵活应对复杂业务场景

根据最新报告显示,大约50%的容器镜像会在一周内被替换。容器生命周期极其短暂,且业务变化很快、系统复杂,可观测性成为重要属性。


企业需要构建完整的可观测模型,从指标(Metrics)、日志(Logging)和链路跟踪(Tracing)不同维度,观测系统内部的运行情况,实现故障诊断、根因分析和快速恢复。


牧云(CloudWalker)提供了全面可观测性服务,既包括系统日志、应用日志等日志管理,还包括各类运行指标、进程行为追踪、服务调用链追踪等。平台实时记录容器和主机上的行为事件,全生命周期安全审计,实现高效的追踪和溯源,具备如下优势:






采集全:覆盖System Call、文件系统、进程、各种网络活动、容器提权、命令空间和容器逃逸等



非侵入:非侵入透明采集,不需要更改内核与应用程序代码




轻量化:智能检测过滤聚合,大大减少事件采集开销



兼容广:  向下兼容低版本内核


牧云容器安全六大核心能力,构建云原生实战防护体系

全局可观测与感知



05
自动构建访问拓扑关系,可视化东西向流量

Kubernetes是容器运行的大脑,是云原生时代的操作系统,亦是攻击者入侵的第一步。


牧云(CloudWalker)支持对Kubernetes安全态势管理,自动化构建雷达拓扑,多维度可视化展示镜像、容器、Pod、Node、命名空间、Service的访问连接关系,漏洞详情、风险等级。


牧云容器安全六大核心能力,构建云原生实战防护体系

K8S安全态势管理


牧云容器安全六大核心能力,构建云原生实战防护体系

可视化容器访问连接关系



06
自学习微隔离,智能生成细粒度安全策略

云原生时代,业务东西向流量愈发庞杂,传统的防火墙或主机iptables的方式已无法满足海量流量及其高细粒度的需求,需要更智能、更精细的策略保障业务安全。


牧云(CloudWalker)提供自学习的微隔离能力,通过学习访问关系,将强耦合的容器进行归组,生成隔离策略。安全引擎通过增强原生访问控制CRD自动修复风险,智能学习容器进程、敏感文件、网络等工作负载行为,在应用、文件、网络外部的边界进行动态弹性防护。平台可执行多种不同来源的原生安全策略,支持多种Kubernetes网络插件,如Calico、Canal、Antrea、Cilium、Kube-router、Romana、Weave Net等。


牧云容器安全六大核心能力,构建云原生实战防护体系

微隔离自学习


牧云(CloudWalker)主机安全管理平台,在云原生时代应运而生,已成为首批通过中国信息通信研究院云(原生)安全产品和云SaaS安全服务平台测试的产品之一,7项类别、18项能力全项通过。其容器安全平台能够实现容器安全预测、防御、检测、响应的安全闭环,支持集成到复杂的云原生环境中,支持运行在公有云、私有云、混合云和IDC等不同的计算环境,精准发现安全隐患。


牧云容器安全六大核心能力,构建云原生实战防护体系


牧云容器安全六大核心能力,构建云原生实战防护体系
点分享
牧云容器安全六大核心能力,构建云原生实战防护体系
点收藏
牧云容器安全六大核心能力,构建云原生实战防护体系
点点赞
牧云容器安全六大核心能力,构建云原生实战防护体系
点在看

原文始发于微信公众号(长亭技术沙盒):牧云容器安全六大核心能力,构建云原生实战防护体系

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月5日01:52:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  牧云容器安全六大核心能力,构建云原生实战防护体系 http://cn-sec.com/archives/1157287.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: