眾所周知,容器技術(shù)是以操作系統(tǒng)的C-Group以及Namespace的機(jī)制,來實(shí)現(xiàn)操作系統(tǒng)內(nèi)核的共享,資源的虛擬化以及隔離。在DevOps和微服務(wù)領(lǐng)域都有廣泛的應(yīng)用。隨著容器技術(shù)的不斷向前發(fā)展,容器以及容器運(yùn)行時(shí)的安全性問題,已經(jīng)成為亟待解決的問題。
為了系統(tǒng)性地來解決容器的安全問題,青藤開發(fā)了新一代的容器安全產(chǎn)品--蜂巢。青藤蜂巢•容器安全產(chǎn)品覆蓋了容器使用過程中的Build、Ship和Run三個(gè)階段,在功能性上有鏡像掃描、合規(guī)基線、以及入侵檢測三大核心功能。
青藤蜂巢•容器安全產(chǎn)品在技術(shù)實(shí)現(xiàn)上采用了Agent-Server的技術(shù)架構(gòu),Agent運(yùn)行在容器的宿主機(jī)上,和Docker daemon跑在同一層的。Agent主要做了三件事情,第一是基礎(chǔ)信息的獲取,通過Docker Engine本身的API來獲取容器運(yùn)行的狀態(tài)信息,第二是鏡像掃描能力,通過Agent能夠來掃描主機(jī)上鏡像的相關(guān)信息,第三是對容器的運(yùn)行狀態(tài)進(jìn)行相應(yīng)的監(jiān)控,通過對于容器進(jìn)程進(jìn)行相應(yīng)的hook以及監(jiān)控發(fā)現(xiàn)容器運(yùn)行的相關(guān)信息。
青藤蜂巢•容器安全產(chǎn)品架構(gòu)
這套架構(gòu)總共有三個(gè)優(yōu)勢,第一個(gè)是在安全功能上,除了覆蓋容器的功能以外,同時(shí)覆蓋了主機(jī)的安全功能;第二是Agent運(yùn)行的效率,青藤的Agent在四年中,已經(jīng)在超過10萬臺(tái)主機(jī)上進(jìn)行驗(yàn)證過,CPU的消耗一直是小于5%,并且運(yùn)行的穩(wěn)定性能達(dá)到99%以上;第三塊是容器和主機(jī)安全產(chǎn)品,是一套超融合架構(gòu),也就是說能夠在同一套架構(gòu)里面解決兩類的問題,這都是青藤蜂巢•容器安全產(chǎn)品的架構(gòu)優(yōu)勢所在。
對于容器安全的發(fā)展前景,青藤云安全創(chuàng)始人兼CEO張福認(rèn)為目前在中國,越來越多的人想要把現(xiàn)有業(yè)務(wù)從物理的環(huán)境上換到云上,或從云上換成容器的形態(tài),這個(gè)遷移的過程和流程需要一定的時(shí)間,所以現(xiàn)在容器安全應(yīng)該算是早期市場。但張福相信未來,容器安全領(lǐng)域有很好的前景。
在過去的經(jīng)驗(yàn)中,大多數(shù)攻擊是發(fā)生在網(wǎng)絡(luò)側(cè),應(yīng)用側(cè),但其實(shí)黑客的攻擊目標(biāo)往往是服務(wù)器,因?yàn)榉?wù)器上是一切資產(chǎn)的核心。當(dāng)服務(wù)器被入侵了,攻擊者到底在這個(gè)服務(wù)器上做了哪些事情,后續(xù)該如何進(jìn)行回溯?這個(gè)問題一直困擾了大家很多年,為此青藤云安全研發(fā)出了青藤星池•大數(shù)據(jù)安全平臺(tái)。
青藤星池•大數(shù)據(jù)安全平臺(tái)可用來記錄攻擊者在服務(wù)器上的行為,以便后續(xù)去進(jìn)行回溯、還原以及取證。目前,青藤星池•大數(shù)據(jù)安全平臺(tái)已支持操作審計(jì)日志、網(wǎng)絡(luò)連接日志、系統(tǒng)登陸日志、賬號變更日志、進(jìn)程啟動(dòng)日志、DNS解析行為日志六種日志的記錄。
不僅如此,青藤星池•大數(shù)據(jù)安全平臺(tái)已經(jīng)可以做到基于機(jī)器學(xué)習(xí)的智能化自動(dòng)分析。打個(gè)比方,每一個(gè)程序員或者是運(yùn)維人員,他們輸入命令是有個(gè)人習(xí)慣的,當(dāng)記錄下每一條命令的敲擊時(shí)間和頻率,并進(jìn)行大數(shù)據(jù)的機(jī)器學(xué)習(xí),便可以做行為預(yù)測和統(tǒng)一分析。當(dāng)操作人員換人了,或者說是一個(gè)黑客進(jìn)來了,即便用相同的IP地址、主機(jī)名字,但他的鍵盤敲擊習(xí)慣與上一個(gè)人不同的。通過青藤星池•大數(shù)據(jù)安全平臺(tái),可以做到清晰地預(yù)測和感知。
張福表示,通過現(xiàn)有主機(jī)安全的日志集中在一起,進(jìn)行清晰預(yù)測和感知,甚至做出阻斷是未來安全分析的必備技能。
等保2.0即將推出,國內(nèi)各大安全廠商爭相推出解決方案。青藤云安全COO程度分享,在等保2.0被提出來之后,通過調(diào)研與分析,青藤云安全發(fā)現(xiàn)在測評的過程有一些難點(diǎn)。對于測評機(jī)構(gòu)來說,有三個(gè)大的痛點(diǎn),第一是主機(jī)數(shù)量大,對測評機(jī)構(gòu)來說測評的難度會(huì)增大;第二是虛擬機(jī)容器等新興的虛擬化場景對測評機(jī)構(gòu)是不可見的;第三,因?yàn)闇y評機(jī)構(gòu)需要重復(fù)地去做測評,在同一個(gè)云平臺(tái)下,有多個(gè)租戶,會(huì)做多租戶重復(fù)的測評,這將浪費(fèi)許多工作量。而對于監(jiān)管機(jī)構(gòu)來說,同樣有類似的問題,首先是只能做一次性的監(jiān)管,無法做持續(xù)的監(jiān)管;第二是流量無法可視化。對于云租戶,云平臺(tái),痛點(diǎn)也是很明確的,就是說無法實(shí)時(shí)了解合規(guī)的狀態(tài),整個(gè)流量有些時(shí)候也是不可見的。第三,缺乏整改的一些手段。
青藤云安全此次推出的的云等保2.0解決方案主要針對于安全計(jì)算環(huán)境部分。基于測評機(jī)構(gòu),監(jiān)管機(jī)構(gòu),以及云租戶相應(yīng)的痛點(diǎn),青藤提供了CWPP(Cloud Workload Protection Platform)產(chǎn)品。CWPP產(chǎn)品為云安全而生,主要是通過云工作負(fù)載的全面監(jiān)控,從而解決測評機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)的難點(diǎn),以及云租戶、云平臺(tái)合規(guī)的訴求。這款產(chǎn)品基本覆蓋了通用要求中身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范,以及資源控制六個(gè)部分。通用計(jì)算會(huì)牽扯到虛擬機(jī)、虛擬設(shè)備、以及業(yè)務(wù)系統(tǒng)安全,這個(gè)產(chǎn)品幾乎解決了所有合規(guī)的問題。
青藤云安全以服務(wù)器安全為核心,采用自適應(yīng)安全架構(gòu),將預(yù)測、防御、監(jiān)控和響應(yīng)能力融為一體,構(gòu)建基于主機(jī)端的安全態(tài)勢感知平臺(tái),為用戶提供持續(xù)的安全監(jiān)控、分析和快速響應(yīng)能力,幫助用戶在公有云、私有云、混合云、物理機(jī)、虛擬機(jī)等多樣化的業(yè)務(wù)環(huán)境下,實(shí)現(xiàn)安全的統(tǒng)一策略管理,有效預(yù)測風(fēng)險(xiǎn),精準(zhǔn)感知威脅,提升響應(yīng)效率,全方位保護(hù)企業(yè)數(shù)字資產(chǎn)的安全與業(yè)務(wù)的高效開展。業(yè)務(wù)現(xiàn)已覆蓋金融、互聯(lián)網(wǎng)、政府等數(shù)十個(gè)領(lǐng)域,防護(hù)服務(wù)器超過百萬臺(tái)。
