牧云容器安全六大核心能力，构建云原生实战防护体系

别忘了

 星标我！

从容器的自身架构和工作机制来看，容器遭受攻击主要有以下6个原因：

长亭科技将CNAPP理念进行实践与落地，推出长亭牧云（CloudWalker）容器安全平台，可贴合攻防场景，助力防守方构建安全的云原生实战防护体系。

DaemonSet是Kubernetes的一种控制器，能够确保在每一个Node上运行一个Pod副本，当有Node加入集群时，Pod副本也会随之新增，当有Node从集群移除时，这些Pod也会被回收。

牧云（CloudWalker）研发团队基于DaemonSet特性，将CWPP安全能力云原生化到每一个DaemonSet探针，以平行容器的形态部署于容器平台中，使其始终运行于每一个Node上。在新业务上线和扩容时，运维者无需重新安装Agent，便可敏捷、弹性地获取原生的安全能力，天然适配云原生场景。

安全能力原生化

牧云（CloudWalker）Agent Yaml样例

牧云（CloudWalker）Agent运行在每一个Node上

容器镜像作为云原生应用的标准交付格式，包含了容器运行的基础文件。因此，镜像安全对于容器安全至关重要。

基于“安全左移”的治理原则，牧云（CloudWalker）分别在镜像构建和分发阶段进行镜像扫描和安全审计，提前发现已知漏洞、木马病毒、WebShell和敏感信息等，保障容器安全。

容器通过overlay存储驱动构建和管理镜像，每一个镜像层或者容器层都是一个目录；镜像层和容器层的内容存储在 aufs/diff/ 目录中；aufs/layers/ 中存储着镜像层的元数据，aufs/mnt/ 包含镜像或者容器层的挂载点，通过联合的方式进行组装。

基于以上特性，牧云（CloudWalker）在扫描镜像时，会采用分层扫描技术，分别扫描不同种类信息，如devicemapper、overlay2、aufs、btrfs、vfs，避免重复拷贝，提高扫描效率。

安全左移

分层扫描

容器作为云原生“不可变的基础设施”的载体，其实例从镜像中快速构建，通过API快速销毁，具备生命周期短、业务复杂、网络复杂的特性，牧云（CloudWalker）容器安全平台覆盖了全生命周期安全：

全生命周期防护

运行时入侵监测

根据最新报告显示，大约50%的容器镜像会在一周内被替换。容器生命周期极其短暂，且业务变化很快、系统复杂，可观测性成为重要属性。

企业需要构建完整的可观测模型，从指标（Metrics）、日志（Logging）和链路跟踪（Tracing）不同维度，观测系统内部的运行情况，实现故障诊断、根因分析和快速恢复。

牧云（CloudWalker）提供了全面可观测性服务，既包括系统日志、应用日志等日志管理，还包括各类运行指标、进程行为追踪、服务调用链追踪等。平台实时记录容器和主机上的行为事件，全生命周期安全审计，实现高效的追踪和溯源，具备如下优势：

全局可观测与感知

Kubernetes是容器运行的大脑，是云原生时代的操作系统，亦是攻击者入侵的第一步。

牧云（CloudWalker）支持对Kubernetes安全态势管理，自动化构建雷达拓扑，多维度可视化展示镜像、容器、Pod、Node、命名空间、Service的访问连接关系，漏洞详情、风险等级。

K8S安全态势管理

可视化容器访问连接关系

云原生时代，业务东西向流量愈发庞杂，传统的防火墙或主机iptables的方式已无法满足海量流量及其高细粒度的需求，需要更智能、更精细的策略保障业务安全。

牧云（CloudWalker）提供自学习的微隔离能力，通过学习访问关系，将强耦合的容器进行归组，生成隔离策略。安全引擎通过增强原生访问控制CRD自动修复风险，智能学习容器进程、敏感文件、网络等工作负载行为，在应用、文件、网络外部的边界进行动态弹性防护。平台可执行多种不同来源的原生安全策略，支持多种Kubernetes网络插件，如Calico、Canal、Antrea、Cilium、Kube-router、Romana、Weave Net等。

微隔离自学习

牧云（CloudWalker）主机安全管理平台，在云原生时代应运而生，已成为首批通过中国信息通信研究院云（原生）安全产品和云SaaS安全服务平台测试的产品之一，7项类别、18项能力全项通过。其容器安全平台能够实现容器安全预测、防御、检测、响应的安全闭环，支持集成到复杂的云原生环境中，支持运行在公有云、私有云、混合云和IDC等不同的计算环境，精准发现安全隐患。

点分享

点收藏

点点赞

点在看