12大场景容器安全作战图鉴
一站式容器安全解决方案
-
漏洞管理难:在开发过程中,漏洞管理最重要的环节就是镜像扫描。有些扫描工具只能发现操作系统漏洞和某些特定语言才会有的漏洞,而有些却无法扫描每个镜像层或某些开源软件包。 -
合规管理效率低:团队人员通过手动进行配置管理,不但效率低而且极易出错,客户需要自动执行配置检查的工具改善安全状况并减少运营工作量。 -
缺少运行时安全:应用投入生产后,必须能够检测到应用中出现异常行为,这可能是发生安全事件的前兆。
-
自动化至关重要:随着公司处理的集群越来越多,自动化变得尤其重要,客户需要通过自动化工具实现统一安全策略管理。 -
更复杂的合规要求:在容器应用成熟阶段,重要的是要追踪,客户需要知道哪些应用或微服务要满足哪些合规要求,并高效检查其是否满足合规要求。 -
服务隔离和分段:随着服务数量的增加以及合规和安全生态系统变得越来越复杂,在服务之间进行适当的流量隔离和分段至关重要。
01
构建阶段
安全镜像扫描
通过容器镜像扫描,检测是否包含常用漏洞和风险(CVE),减少最终容器镜像的攻击面。正确的镜像扫描包括以下几个级别:
-
进行镜像扫描,检查根镜像和开源镜像库中是否有已知的第三方漏洞。 -
对配置和部署脚本进行静态扫描,及早发现错误配置问题,并对已部署的镜像进行动态基础架构加固扫描。
观察应用程序行为
在开发和集成时观察微服务架构,了解哪些是正常行为,这有助于威胁建模。在生产中,通过威胁模型检测异常行为,进行隔离。
02
分发阶段
审核已知内容
容器安全系统需要在通过容器镜像仓库时验证容器镜像,一旦发现不合规情况,就要拦截和隔离相关镜像。
审核风险评分
对每个检查点的每个容器镜像生成一个风险评分,实现容器生命周期的标准化,并对每个重要的检查点中设置最低安全阈值,如果没有达到最低水平,将对容器生命周期进行控制。
03
部署阶段
自动部署
将容器安全方案与部署系统联系起来,实现统一的安全策略管理,对所编写的、支持自动化部署任务的代码进行扫描和验证,发现代码中存在的漏洞。
安全基础架构
在主机上部署无漏洞的容器仍然会有安全风险,需要实施相关的加固最佳实践,例如,以 CIS 基准或公司加固策略为基准,查看与加固最佳实践存在的偏差。
日志数据审计
通过完整、全面的日志数据审核跟踪,在发生安全风险时可以调查具体原因,并据此采取补救措施并实施新的安全策略。
04
运行阶段
工作负载清点与可视化
全自动化、细粒度地对工作负载进行分析,并可视化工作负载之间的网络访问行为。
微隔离
使用微隔离可对容器的网络访问进行控制,并进行事件应急,发生问题后,可以采用隔离方式阻止威胁进一步扩散。
入侵检测和响应
提供多锚点的基于行为的检测能力,能精准检测容器特有的逃逸行为、基于K8S的攻击行为、容器内的挖矿、横向渗透等行为,同时进一步提供隔离容器、杀文件等方式进行处理。
溯源分析
通过威胁狩猎主动发现未知威胁,犹如网络空间的“黑匣子”,记录各种日志数据,可用于各种网络安全事件分析,溯源整个攻击过程。
01
强大的镜像扫描能力
通过CI集成插件,实现DevOps镜像扫描能力,相较于传统扫描工具流程,过去需要用将近1小时的漏洞扫描缩减为6分钟,效率提升10倍,误报率明显降低,实现降本增效。
02
全面的容器运行风险检查
针对运行的容器,一方面对其中的应用进行检测,发现应用漏洞;另一方面通过无损检测的方式,发现应用中的弱口令的问题,如mysql、redis的弱口令。
03
灵活的合规基线能力
支持150+检查项,能够覆盖集群内全部的检查对象,基线采⽤任务检查⽅式,客户可灵活针对不同检查对象、不同业务系统设置灵活的检查任务,以适应复杂的企业环境。
01
超细粒度的资产清点能力
青藤蜂巢资产清点的详细、全面程度远优于其他同类的解决方案,除了对基础资产、K8S资产进行清点外,还可以对应用资产及Web资产进行详细清点,支持15类资产类型,1500+业务应⽤识别。
02
多维度的入侵检测能力
针对已知威胁、恶意行为、异常行为进行全面检测,提供多锚点的基于行为的检测能力,对于利用漏洞逃逸、木马病毒、Webshell等入侵行为检测率远高于其他解决方案。
03
自适应的微隔离能力
青藤蜂巢通过对访问关系的梳理和学习,提供⾃适应的、⾃迁移的、⾃维护的⽹络隔离策略,提供业务视⻆的⽹络拓扑关系,覆盖各种云原⽣场景的隔离策略。
点击视频查看青藤蜂巢详细安全能力
原文始发于微信公众号(青藤云安全):作战图鉴:12大场景详述容器安全建设要求
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论