隨著云計(jì)算的發(fā)展��,云原生技術(shù)已經(jīng)成為企業(yè)數(shù)字化轉(zhuǎn)型的得力武器,如何保障容器安全,已成為企業(yè)最關(guān)心的問(wèn)題。為此,亞信安全采用數(shù)據(jù)驅(qū)動(dòng)安全的創(chuàng)新技術(shù)路線,結(jié)合信艙云主機(jī)安全產(chǎn)品在CWPP上的能力�����,正式推出了亞信安全信艙容器安全模塊���,將智能數(shù)據(jù)分析與云原生特性相結(jié)合����,從鏡像供應(yīng)鏈����、容器運(yùn)行、容器加固等多個(gè)方面展開主動(dòng)�、持續(xù)的風(fēng)險(xiǎn)分析,為用戶提供了覆蓋容器環(huán)境全生命周期的立體化安全防護(hù)平臺(tái)�����。
01
容器化技術(shù)
帶來(lái)多維度安全挑戰(zhàn)
容器技術(shù)并不是一種新技術(shù)�,它已經(jīng)出現(xiàn)了大約二十年的時(shí)間�,但是其進(jìn)入快速發(fā)展和應(yīng)用階段卻是近幾年的事情,可謂是一個(gè)厚積薄發(fā)的過(guò)程��。當(dāng)前���,以其為代表的云原生技術(shù)采納度正逐年攀升����,Gartner報(bào)告曾指出�����,到2024年,將有75%的全球化企業(yè)將在生產(chǎn)中使用云原生的容器化應(yīng)用���。但是���,由于容器的一些特性導(dǎo)致了諸多安全風(fēng)險(xiǎn),任何一項(xiàng)安全問(wèn)題產(chǎn)生的容器失陷����,都有可能威脅到所有其它容器,容器逃逸技術(shù)甚至可以直接入侵底層宿主機(jī)�����。
圖:容器技術(shù)應(yīng)用帶來(lái)的全新挑戰(zhàn)
調(diào)查數(shù)據(jù)顯示�,94%的用戶在近一年發(fā)生過(guò)容器安全事件。那么��,為何容器威脅會(huì)成云原生安全的“風(fēng)暴之眼”呢�?
對(duì)此,亞信安全認(rèn)為����,容器化技術(shù)帶來(lái)多維度的安全挑戰(zhàn)�����,可以包含以下四個(gè)方面:
鏡像供應(yīng)鏈安全
鏡像在構(gòu)建�����、倉(cāng)庫(kù)存儲(chǔ)�����、部署等階段均易受到不同程度的攻擊威脅�,不安全的鏡像一旦啟用���,會(huì)造成大量應(yīng)用失陷。
容器網(wǎng)絡(luò)應(yīng)用安全
容器網(wǎng)絡(luò)中��,由于流量封裝�����、IP快速變化以及微服務(wù)化帶來(lái)的應(yīng)用數(shù)量的指數(shù)級(jí)增長(zhǎng)�,傳統(tǒng)的邊界防御產(chǎn)品無(wú)法解決容器場(chǎng)景下的4/7層網(wǎng)絡(luò)應(yīng)用安全問(wèn)題。
容器運(yùn)行安全
容器運(yùn)行過(guò)程中不合理的運(yùn)行配置和未修復(fù)的漏洞極易造成系統(tǒng)被非法入侵���、容器逃逸����、數(shù)據(jù)泄密等嚴(yán)重安全事件。
容器平臺(tái)環(huán)境安全
容器引擎��、編排組件����、主機(jī)操作系統(tǒng)是所有容器運(yùn)行的底座,其安全基礎(chǔ)配置項(xiàng)多達(dá)上百種�����,另外容器環(huán)境本身的API訪問(wèn)控制能力薄弱�����,如Docker引擎的API默認(rèn)不加控制�����,極易造成安全短板����,需要進(jìn)行精細(xì)化的安全加固���。
02
以“容器+業(yè)務(wù)”視角
構(gòu)建云原生安全防護(hù)體系
鑒于當(dāng)前普遍應(yīng)用的容器環(huán)境,企業(yè)需要具備覆蓋容器應(yīng)用分析能力�,發(fā)現(xiàn)容器環(huán)境下的異常行為,并形成有別于傳統(tǒng)安全技術(shù)的容器安全防護(hù)體系�。正是觀察到了云原生所面臨的新挑戰(zhàn)、新安全��,亞信安全推出了全新的容器環(huán)境安全防護(hù)解決方案���。
容器視角下的安全防護(hù)理念
基于“容器+業(yè)務(wù)”的安全防護(hù)實(shí)踐���,亞信安全的云原生安全部件全部支持容器化運(yùn)行,并從安全數(shù)據(jù)�����、安全能力���、安全場(chǎng)景、安全管理與運(yùn)營(yíng)多個(gè)維度出發(fā)����,為企業(yè)用戶的部署應(yīng)用和日常運(yùn)維提供了保障�。在具體的容器安全場(chǎng)景中��,該方案更覆蓋了事前安全防范�����、事中威脅檢查���、事后調(diào)查響應(yīng)�����,最終形成主動(dòng)防御�����。
事前安全防范
可讓用戶全面掌握容器環(huán)境下的資產(chǎn)信息��,支持各種資產(chǎn)類型���,包括主機(jī)、容器����、應(yīng)用�����、倉(cāng)庫(kù)鏡像����、已部署鏡像���、k8s pod ����、 k8s service等���,以及Docker Registry�����、Harbor����、華為云SWR等主流的鏡像倉(cāng)庫(kù)�,自動(dòng)、持續(xù)上報(bào)資產(chǎn)信息����,消除資產(chǎn)盲點(diǎn),及時(shí)掌握容器資產(chǎn)變化�,為安全管理提供最新的資產(chǎn)數(shù)據(jù)支持。
事前實(shí)現(xiàn)顆粒度的微隔離安全
其次���,提供了覆蓋生命周期的鏡像漏洞安全管理和安全配置堅(jiān)持��,檢測(cè)供應(yīng)鏈各階段的鏡像資產(chǎn)��,包括CI構(gòu)建鏡像��、倉(cāng)庫(kù)鏡像���、節(jié)點(diǎn)鏡像、第三方開發(fā)工具包等�����,并自動(dòng)檢測(cè)Web應(yīng)用安全配置���、鏡像安全配置����、平臺(tái)環(huán)境安全配置、微隔離安全�����,實(shí)時(shí)阻斷不符合安全標(biāo)準(zhǔn)鏡像的生產(chǎn)流通���,確保容器自身安全��,并實(shí)現(xiàn)容器引擎的“零信任”防護(hù)�。
事中威脅檢查
采用智能化威脅檢測(cè)全棧覆蓋�,從已知威脅到未知威脅,從已知攻擊方式到未知攻擊方式�,形成立體化交叉,并基于CEP引擎對(duì)容器威脅相關(guān)事件進(jìn)行關(guān)聯(lián)分析�����,追蹤溯源����,自動(dòng)發(fā)現(xiàn)失陷容器并做出響應(yīng),從而完成“防護(hù)—檢測(cè)—響應(yīng)”的整個(gè)安全事件運(yùn)營(yíng)的閉環(huán)����。
摘自部分亞信安全公眾號(hào)
