众所周知,容器技术是以操作系统的C-Group以及Namespace的机制,来实现操作系统内核的共享,资源的虚拟化以及隔离。在DevOps和微服务领域都有广泛的应用。随着容器技术的不断向前发展,容器以及容器运行时的安全性问题,已经成为亟待解决的问题。
为了系统性地来解决容器的安全问题,青藤开发了新一代的容器安全产品--蜂巢。青藤蜂巢•容器安全产品覆盖了容器使用过程中的Build、Ship和Run三个阶段,在功能性上有镜像扫描、合规基线、以及入侵检测三大核心功能。
青藤蜂巢•容器安全产品在技术实现上采用了Agent-Server的技术架构,Agent运行在容器的宿主机上,和Docker daemon跑在同一层的。Agent主要做了三件事情,第一是基础信息的获取,通过Docker Engine本身的API来获取容器运行的状态信息,第二是镜像扫描能力,通过Agent能够来扫描主机上镜像的相关信息,第三是对容器的运行状态进行相应的监控,通过对于容器进程进行相应的hook以及监控发现容器运行的相关信息。
青藤蜂巢•容器安全产品架构
这套架构总共有三个优势,第一个是在安全功能上,除了覆盖容器的功能以外,同时覆盖了主机的安全功能;第二是Agent运行的效率,青藤的Agent在四年中,已经在超过10万台主机上进行验证过,CPU的消耗一直是小于5%,并且运行的稳定性能达到99%以上;第三块是容器和主机安全产品,是一套超融合架构,也就是说能够在同一套架构里面解决两类的问题,这都是青藤蜂巢•容器安全产品的架构优势所在。
对于容器安全的发展前景,青藤云安全创始人兼CEO张福认为目前在中国,越来越多的人想要把现有业务从物理的环境上换到云上,或从云上换成容器的形态,这个迁移的过程和流程需要一定的时间,所以现在容器安全应该算是早期市场。但张福相信未来,容器安全领域有很好的前景。
在过去的经验中,大多数攻击是发生在网络侧,应用侧,但其实黑客的攻击目标往往是服务器,因为服务器上是一切资产的核心。当服务器被入侵了,攻击者到底在这个服务器上做了哪些事情,后续该如何进行回溯?这个问题一直困扰了大家很多年,为此青藤云安全研发出了青藤星池•大数据安全平台。
青藤星池•大数据安全平台可用来记录攻击者在服务器上的行为,以便后续去进行回溯、还原以及取证。目前,青藤星池•大数据安全平台已支持操作审计日志、网络连接日志、系统登陆日志、账号变更日志、进程启动日志、DNS解析行为日志六种日志的记录。
不仅如此,青藤星池•大数据安全平台已经可以做到基于机器学习的智能化自动分析。打个比方,每一个程序员或者是运维人员,他们输入命令是有个人习惯的,当记录下每一条命令的敲击时间和频率,并进行大数据的机器学习,便可以做行为预测和统一分析。当操作人员换人了,或者说是一个黑客进来了,即便用相同的IP地址、主机名字,但他的键盘敲击习惯与上一个人不同的。通过青藤星池•大数据安全平台,可以做到清晰地预测和感知。
张福表示,通过现有主机安全的日志集中在一起,进行清晰预测和感知,甚至做出阻断是未来安全分析的必备技能。
等保2.0即将推出,国内各大安全厂商争相推出解决方案。青藤云安全COO程度分享,在等保2.0被提出来之后,通过调研与分析,青藤云安全发现在测评的过程有一些难点。对于测评机构来说,有三个大的痛点,第一是主机数量大,对测评机构来说测评的难度会增大;第二是虚拟机容器等新兴的虚拟化场景对测评机构是不可见的;第三,因为测评机构需要重复地去做测评,在同一个云平台下,有多个租户,会做多租户重复的测评,这将浪费许多工作量。而对于监管机构来说,同样有类似的问题,首先是只能做一次性的监管,无法做持续的监管;第二是流量无法可视化。对于云租户,云平台,痛点也是很明确的,就是说无法实时了解合规的状态,整个流量有些时候也是不可见的。第三,缺乏整改的一些手段。
青藤云安全此次推出的的云等保2.0解决方案主要针对于安全计算环境部分。基于测评机构,监管机构,以及云租户相应的痛点,青藤提供了CWPP(Cloud Workload Protection Platform)产品。CWPP产品为云安全而生,主要是通过云工作负载的全面监控,从而解决测评机构和监管机构的难点,以及云租户、云平台合规的诉求。这款产品基本覆盖了通用要求中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范,以及资源控制六个部分。通用计算会牵扯到虚拟机、虚拟设备、以及业务系统安全,这个产品几乎解决了所有合规的问题。
青藤云安全以服务器安全为核心,采用自适应安全架构,将预测、防御、监控和响应能力融为一体,构建基于主机端的安全态势感知平台,为用户提供持续的安全监控、分析和快速响应能力,帮助用户在公有云、私有云、混合云、物理机、虚拟机等多样化的业务环境下,实现安全的统一策略管理,有效预测风险,精准感知威胁,提升响应效率,全方位保护企业数字资产的安全与业务的高效开展。业务现已覆盖金融、互联网、政府等数十个领域,防护服务器超过百万台。
