第二屆數(shù)字中國建設(shè)峰會昨日開幕,人臉識別、區(qū)塊鏈、物聯(lián)網(wǎng)、AI等數(shù)字科技手段,將三坊七巷這一古老的街區(qū)變身數(shù)字景區(qū)。全國有代表性的科技企業(yè)和專家圍繞“同享普惠科技 共建數(shù)字社會”“打造數(shù)字世界底座,構(gòu)建萬物互聯(lián)的智能世界”等主題展開了一場與未來的對話。
作為安全狗參與本屆數(shù)字中國建設(shè)峰會的重頭戲,在峰會現(xiàn)場我們發(fā)布了云甲—“主機容器安全解決方案”,兼顧了對容器的全面保護又能靈活地與容器編排體系相結(jié)合,屬于業(yè)內(nèi)首創(chuàng)的容器安全解決方案。
容器技術(shù)從LXC到Docker(容器鏡像的出現(xiàn))再到容器編排技術(shù)Kubernetes,尤其隨著微服務(wù)架構(gòu)和Develops開發(fā)模型的盛行,容器已經(jīng)成為中大型企業(yè)在構(gòu)建新一代信息化基礎(chǔ)設(shè)施和應(yīng)用交付的必要選擇。中國信息通信研究院 2018 年發(fā)布的《中國云計算開源發(fā)展調(diào)查報告》顯示,30.1% 的企業(yè)已經(jīng)將容器技術(shù)投入生產(chǎn)環(huán)境使用,正在測試環(huán)境使用容器的企業(yè)占比為 36.3%,還有 24.5% 的企業(yè)正在對容器技術(shù)進行評估。
隨著容器技術(shù)廣泛應(yīng)用,針對容器的安全問題也日趨嚴(yán)重,容器有著不同于傳統(tǒng)信息基礎(chǔ)設(shè)施的安全問題;在Garnter發(fā)布的2017年和2019年年度安全技術(shù)榜單中,容器安全(Container Security)也都榜上有名。容器的安全問題主要體現(xiàn)在以下幾個方面:
一、容器自身安全問題
即容器自身因為軟件漏洞或者配置不當(dāng)造成的安全問題,屬于中高危級別的安全風(fēng)險,黑客可利用這些漏洞輕松攻破整個容器體系。根據(jù)國家信息安全漏洞共享平臺(CNVD)的統(tǒng)計,Docker相關(guān)的漏洞中危及以上占比高達90%。除此之外還有不少因為對Docker默認(rèn)配置不做修改,導(dǎo)致容器關(guān)鍵服務(wù)直接暴露在互聯(lián)網(wǎng)上而直接被黑客攻擊利用。
二、容器鏡像安全問題
即容器鏡像里面使用了帶漏洞的軟件甚至鏡像生成過程中被污染帶上木馬后門,導(dǎo)致有問題的鏡像直接使用到生產(chǎn)環(huán)境中而產(chǎn)生的嚴(yán)重安全事件。
三、容器運行時安全問題
即容器在運行過程中其上的應(yīng)用和微服務(wù)受到黑客攻擊從而導(dǎo)致容器被黑客控制,甚至可能導(dǎo)致從容器逃逸到宿主機的逃逸攻擊進而攻擊整個容器集群。
針對以上安全問題,安全狗聯(lián)合北京小佑科技推出了云甲—“主機容器安全解決方案”,該方案采用主機安全Agent和安全容器相結(jié)合的技術(shù),既能做到對容器的全面保護又能靈活的跟容器編排體系相結(jié)合,屬于業(yè)內(nèi)首創(chuàng)的容器安全解決方案。
通過云甲—“主機容器安全解決方案”實現(xiàn)對對容器全生命周期安全管控,涉及到容器的各個環(huán)節(jié),即對容器鏡像文件的制作過程、容器運行的過程以及容器內(nèi)應(yīng)用進行全自動的安全檢測、 預(yù)警與防護,其中包括:
1、模板文件的安全防護
對模板文件進行自動的安全審查,識別出模板文件中危險的安全行為,如非法添加了惡意文件、越權(quán)的訪問以及被禁止的端口映射等等,同時還需要對模板文件中的行為動作進行合規(guī)審查,以發(fā)現(xiàn)不符合行業(yè)規(guī)范和等級保護要求。
2、鏡像文件安全防護
對制作的鏡像文件進行靜態(tài)和動態(tài)的安全掃描,以發(fā)行鏡像文件中的安全漏洞、木馬病毒、涉密的文件及環(huán)境變量,從而保證進入生產(chǎn)環(huán)境的鏡像是安全的,還需對鏡像的來源和歷史操作行為進行分析,對非法來源和有安全問題的鏡像禁止運行。
3、容器運行保護
對容器運行過程進行全程的安全監(jiān)控,進而對容器訪問宿主機的資源進行細(xì)粒度的控制,防止有越權(quán)訪問破壞容器隔離性的行為。
4、容器內(nèi)應(yīng)用保護
對容器內(nèi)應(yīng)用、微服務(wù)的安全漏洞識別、網(wǎng)絡(luò)威脅檢測,從而保證容器內(nèi)應(yīng)用的安全。
5、容器運行環(huán)境的保護
對容器的相關(guān)運行環(huán)境,如鏡像倉庫、容器守護進程、容器編排集成工具進行安全風(fēng)險識別及控制。
云甲容器安全方案中融合了安全狗·云眼主機EDR技術(shù)(安全agent),可以實現(xiàn)對容器主機的安全閉環(huán)管理。云眼采用輕量級Agent,與全部功能的重量級Agent相比,輕量級Agent實現(xiàn)了功能的最小集合,大大減輕Agent對于主機性能的影響。并且輕量級agent簡單,能夠動態(tài)地升級和更新,實現(xiàn)的代碼少,容易傳輸。
全新發(fā)布的產(chǎn)品奪人眼球,但安全狗其他云產(chǎn)品受到的關(guān)注也不落下風(fēng)。網(wǎng)絡(luò)安全作為“數(shù)字中國”時代的基礎(chǔ)性保障需求,是本次峰會和展覽的重頭戲之一,安全狗展示的云安全解決方案也受到了諸多觀展嘉賓和專家的關(guān)注。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!