眾所周知,容器技術(shù)是以操作系統(tǒng)的C-Group以及Namespace的機(jī)制,來(lái)實(shí)現(xiàn)操作系統(tǒng)內(nèi)核的共享,資源的虛擬化以及隔離。在DevOps和微服務(wù)領(lǐng)域都有廣泛的應(yīng)用。隨著容器技術(shù)的不斷向前發(fā)展,容器以及容器運(yùn)行時(shí)的安全性問(wèn)題,已經(jīng)成為亟待解決的問(wèn)題。
為了系統(tǒng)性地來(lái)解決容器的安全問(wèn)題,青藤開(kāi)發(fā)了新一代的容器安全產(chǎn)品--蜂巢。青藤蜂巢•容器安全產(chǎn)品覆蓋了容器使用過(guò)程中的Build、Ship和Run三個(gè)階段,在功能性上有鏡像掃描、合規(guī)基線、以及入侵檢測(cè)三大核心功能。
青藤蜂巢•容器安全產(chǎn)品在技術(shù)實(shí)現(xiàn)上采用了Agent-Server的技術(shù)架構(gòu),Agent運(yùn)行在容器的宿主機(jī)上,和Docker daemon跑在同一層的。Agent主要做了三件事情,第一是基礎(chǔ)信息的獲取,通過(guò)Docker Engine本身的API來(lái)獲取容器運(yùn)行的狀態(tài)信息,第二是鏡像掃描能力,通過(guò)Agent能夠來(lái)掃描主機(jī)上鏡像的相關(guān)信息,第三是對(duì)容器的運(yùn)行狀態(tài)進(jìn)行相應(yīng)的監(jiān)控,通過(guò)對(duì)于容器進(jìn)程進(jìn)行相應(yīng)的hook以及監(jiān)控發(fā)現(xiàn)容器運(yùn)行的相關(guān)信息。
青藤蜂巢•容器安全產(chǎn)品架構(gòu)
這套架構(gòu)總共有三個(gè)優(yōu)勢(shì),第一個(gè)是在安全功能上,除了覆蓋容器的功能以外,同時(shí)覆蓋了主機(jī)的安全功能;第二是Agent運(yùn)行的效率,青藤的Agent在四年中,已經(jīng)在超過(guò)10萬(wàn)臺(tái)主機(jī)上進(jìn)行驗(yàn)證過(guò),CPU的消耗一直是小于5%,并且運(yùn)行的穩(wěn)定性能達(dá)到99%以上;第三塊是容器和主機(jī)安全產(chǎn)品,是一套超融合架構(gòu),也就是說(shuō)能夠在同一套架構(gòu)里面解決兩類(lèi)的問(wèn)題,這都是青藤蜂巢•容器安全產(chǎn)品的架構(gòu)優(yōu)勢(shì)所在。
對(duì)于容器安全的發(fā)展前景,青藤云安全創(chuàng)始人兼CEO張福認(rèn)為目前在中國(guó),越來(lái)越多的人想要把現(xiàn)有業(yè)務(wù)從物理的環(huán)境上換到云上,或從云上換成容器的形態(tài),這個(gè)遷移的過(guò)程和流程需要一定的時(shí)間,所以現(xiàn)在容器安全應(yīng)該算是早期市場(chǎng)。但張福相信未來(lái),容器安全領(lǐng)域有很好的前景。
在過(guò)去的經(jīng)驗(yàn)中,大多數(shù)攻擊是發(fā)生在網(wǎng)絡(luò)側(cè),應(yīng)用側(cè),但其實(shí)黑客的攻擊目標(biāo)往往是服務(wù)器,因?yàn)榉?wù)器上是一切資產(chǎn)的核心。當(dāng)服務(wù)器被入侵了,攻擊者到底在這個(gè)服務(wù)器上做了哪些事情,后續(xù)該如何進(jìn)行回溯?這個(gè)問(wèn)題一直困擾了大家很多年,為此青藤云安全研發(fā)出了青藤星池•大數(shù)據(jù)安全平臺(tái)。
青藤星池•大數(shù)據(jù)安全平臺(tái)可用來(lái)記錄攻擊者在服務(wù)器上的行為,以便后續(xù)去進(jìn)行回溯、還原以及取證。目前,青藤星池•大數(shù)據(jù)安全平臺(tái)已支持操作審計(jì)日志、網(wǎng)絡(luò)連接日志、系統(tǒng)登陸日志、賬號(hào)變更日志、進(jìn)程啟動(dòng)日志、DNS解析行為日志六種日志的記錄。
不僅如此,青藤星池•大數(shù)據(jù)安全平臺(tái)已經(jīng)可以做到基于機(jī)器學(xué)習(xí)的智能化自動(dòng)分析。打個(gè)比方,每一個(gè)程序員或者是運(yùn)維人員,他們輸入命令是有個(gè)人習(xí)慣的,當(dāng)記錄下每一條命令的敲擊時(shí)間和頻率,并進(jìn)行大數(shù)據(jù)的機(jī)器學(xué)習(xí),便可以做行為預(yù)測(cè)和統(tǒng)一分析。當(dāng)操作人員換人了,或者說(shuō)是一個(gè)黑客進(jìn)來(lái)了,即便用相同的IP地址、主機(jī)名字,但他的鍵盤(pán)敲擊習(xí)慣與上一個(gè)人不同的。通過(guò)青藤星池•大數(shù)據(jù)安全平臺(tái),可以做到清晰地預(yù)測(cè)和感知。
張福表示,通過(guò)現(xiàn)有主機(jī)安全的日志集中在一起,進(jìn)行清晰預(yù)測(cè)和感知,甚至做出阻斷是未來(lái)安全分析的必備技能。
等保2.0即將推出,國(guó)內(nèi)各大安全廠商爭(zhēng)相推出解決方案。青藤云安全COO程度分享,在等保2.0被提出來(lái)之后,通過(guò)調(diào)研與分析,青藤云安全發(fā)現(xiàn)在測(cè)評(píng)的過(guò)程有一些難點(diǎn)。對(duì)于測(cè)評(píng)機(jī)構(gòu)來(lái)說(shuō),有三個(gè)大的痛點(diǎn),第一是主機(jī)數(shù)量大,對(duì)測(cè)評(píng)機(jī)構(gòu)來(lái)說(shuō)測(cè)評(píng)的難度會(huì)增大;第二是虛擬機(jī)容器等新興的虛擬化場(chǎng)景對(duì)測(cè)評(píng)機(jī)構(gòu)是不可見(jiàn)的;第三,因?yàn)闇y(cè)評(píng)機(jī)構(gòu)需要重復(fù)地去做測(cè)評(píng),在同一個(gè)云平臺(tái)下,有多個(gè)租戶(hù),會(huì)做多租戶(hù)重復(fù)的測(cè)評(píng),這將浪費(fèi)許多工作量。而對(duì)于監(jiān)管機(jī)構(gòu)來(lái)說(shuō),同樣有類(lèi)似的問(wèn)題,首先是只能做一次性的監(jiān)管,無(wú)法做持續(xù)的監(jiān)管;第二是流量無(wú)法可視化。對(duì)于云租戶(hù),云平臺(tái),痛點(diǎn)也是很明確的,就是說(shuō)無(wú)法實(shí)時(shí)了解合規(guī)的狀態(tài),整個(gè)流量有些時(shí)候也是不可見(jiàn)的。第三,缺乏整改的一些手段。
青藤云安全此次推出的的云等保2.0解決方案主要針對(duì)于安全計(jì)算環(huán)境部分。基于測(cè)評(píng)機(jī)構(gòu),監(jiān)管機(jī)構(gòu),以及云租戶(hù)相應(yīng)的痛點(diǎn),青藤提供了CWPP(Cloud Workload Protection Platform)產(chǎn)品。CWPP產(chǎn)品為云安全而生,主要是通過(guò)云工作負(fù)載的全面監(jiān)控,從而解決測(cè)評(píng)機(jī)構(gòu)和監(jiān)管機(jī)構(gòu)的難點(diǎn),以及云租戶(hù)、云平臺(tái)合規(guī)的訴求。這款產(chǎn)品基本覆蓋了通用要求中身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、惡意代碼防范,以及資源控制六個(gè)部分。通用計(jì)算會(huì)牽扯到虛擬機(jī)、虛擬設(shè)備、以及業(yè)務(wù)系統(tǒng)安全,這個(gè)產(chǎn)品幾乎解決了所有合規(guī)的問(wèn)題。
青藤云安全以服務(wù)器安全為核心,采用自適應(yīng)安全架構(gòu),將預(yù)測(cè)、防御、監(jiān)控和響應(yīng)能力融為一體,構(gòu)建基于主機(jī)端的安全態(tài)勢(shì)感知平臺(tái),為用戶(hù)提供持續(xù)的安全監(jiān)控、分析和快速響應(yīng)能力,幫助用戶(hù)在公有云、私有云、混合云、物理機(jī)、虛擬機(jī)等多樣化的業(yè)務(wù)環(huán)境下,實(shí)現(xiàn)安全的統(tǒng)一策略管理,有效預(yù)測(cè)風(fēng)險(xiǎn),精準(zhǔn)感知威脅,提升響應(yīng)效率,全方位保護(hù)企業(yè)數(shù)字資產(chǎn)的安全與業(yè)務(wù)的高效開(kāi)展。業(yè)務(wù)現(xiàn)已覆蓋金融、互聯(lián)網(wǎng)、政府等數(shù)十個(gè)領(lǐng)域,防護(hù)服務(wù)器超過(guò)百萬(wàn)臺(tái)。
