產(chǎn)品架構(gòu)
在全生命周期防護(hù)、安全左移等設(shè)計(jì)原則的指導(dǎo)下����,啟明星辰集團(tuán)容器安全管理平臺(tái)在構(gòu)建階段對(duì)鏡像進(jìn)行安全掃描;在分發(fā)階段對(duì)進(jìn)行防篡改�����,阻止不安全的鏡像運(yùn)行;在容器運(yùn)行時(shí)對(duì)異常行為進(jìn)行檢測(cè)與防護(hù)��,對(duì)容器網(wǎng)絡(luò)進(jìn)行微隔離,對(duì)節(jié)點(diǎn)和微服務(wù)安全進(jìn)行掃描與防護(hù);在全流程中對(duì)容器和基線進(jìn)行合規(guī)檢查��,從全局視角對(duì)資產(chǎn)��、網(wǎng)絡(luò)和安全情況進(jìn)行可視化展示���。
針對(duì)用戶容器安全的痛點(diǎn)問題,啟明星辰容器安全管理平臺(tái)從鏡像��、容器�����、集群����、物理環(huán)境等方面著手�,通過容器資產(chǎn)發(fā)現(xiàn)���、安全可視化、無縫嵌入DevOps流程等方式��,可以為用戶提供資產(chǎn)管理、鏡像安全���、集群合規(guī)��、運(yùn)行時(shí)安全��、容器微隔離�、微服務(wù)治理和CI/CD集成等七大功能,實(shí)現(xiàn)對(duì)容器全生命周期的全局化����、自動(dòng)化安全管控。
癥狀一:容器的多樣化、網(wǎng)絡(luò)的復(fù)雜化導(dǎo)致資產(chǎn)梳理變得困難����。
解決方案:【資產(chǎn)管理】自動(dòng)梳理資產(chǎn)實(shí)現(xiàn)風(fēng)險(xiǎn)可視管理
梳理內(nèi)容主要包括容器的梳理�����、容器網(wǎng)絡(luò)的梳理��、容器標(biāo)簽的梳理���、編排平臺(tái)的梳理����、鏡像資產(chǎn)的梳理�����、鏡像倉庫的梳理����、微服務(wù)的梳理等���,并且需要根據(jù)業(yè)務(wù)和環(huán)境的變化而自動(dòng)變化����,關(guān)聯(lián)安全風(fēng)險(xiǎn)���,提供實(shí)時(shí)資產(chǎn)結(jié)果���。
癥狀二:容器基礎(chǔ)鏡像來源復(fù)雜��,鏡像漏洞可能引發(fā)嚴(yán)重的安全風(fēng)險(xiǎn)��。
解決方案:【鏡像安全】掃描鏡像風(fēng)險(xiǎn)阻斷危險(xiǎn)鏡像運(yùn)行
能夠?qū)︾R像中的惡意軟件�����、木馬����、病毒等各項(xiàng)安全風(fēng)險(xiǎn)進(jìn)行安全檢測(cè),提供檢測(cè)報(bào)告����,并幫助用戶修補(bǔ)漏洞。同時(shí)阻止高危鏡像進(jìn)行運(yùn)行并在鏡像傳輸過程中進(jìn)行防篡改�,避免引發(fā)嚴(yán)重的安全風(fēng)險(xiǎn)��。
癥狀三:容器集群環(huán)境配置復(fù)雜�����,易暴露攻擊面�。
解決方案:【集群合規(guī)】保障容器和集群引擎的安全合規(guī)
根據(jù)CIS標(biāo)準(zhǔn)及自定義標(biāo)準(zhǔn),對(duì)容器和集群中各組件進(jìn)行安全配置掃描���,包括docker引擎���、控制平面組件、etcd����、控制平臺(tái)配置、節(jié)點(diǎn)配置��、策略等,幫助用戶進(jìn)行合規(guī)配置。
癥狀四:組件爆發(fā)式增長(zhǎng)為應(yīng)用防護(hù)能力提出更高要求����。
解決方案:【運(yùn)行時(shí)安全】監(jiān)測(cè)隔離容器運(yùn)行時(shí)異常行為
容器運(yùn)行時(shí)的防護(hù)提供容器的實(shí)時(shí)入侵檢測(cè)����,發(fā)現(xiàn)并阻斷異常行為����,包括容器逃逸,反彈shell�����,敏感文件訪問,暴力破解等�。并支持自定義運(yùn)行時(shí)安全策略與威脅情報(bào)聯(lián)動(dòng),保障容器安全運(yùn)行��。
癥狀五:容器業(yè)務(wù)依賴關(guān)系十分復(fù)雜,未知威脅可能蔓延,需要細(xì)粒度的管控。
解決方案:【容器微隔離】細(xì)粒度網(wǎng)絡(luò)隔離防止威脅擴(kuò)散
提供基于容器或業(yè)務(wù)的多維網(wǎng)絡(luò)隔離能力���,包括對(duì)容器���、服務(wù)、pod��、lable的隔離等,
提供可視化網(wǎng)絡(luò)拓?fù)?����,并且提供自適應(yīng)�����、自遷移�����、自維護(hù)的網(wǎng)絡(luò)隔離策略以便于對(duì)容器的網(wǎng)絡(luò)環(huán)境進(jìn)行細(xì)粒度的管控�����。
癥狀六:?jiǎn)误w應(yīng)用拆分導(dǎo)致端口數(shù)量暴增��,攻擊面大幅增���,連鎖攻破風(fēng)險(xiǎn)高���。
解決方案:【微服務(wù)安全】發(fā)現(xiàn)微服務(wù)漏洞阻止風(fēng)險(xiǎn)傳播
包括微服務(wù)的梳理與自動(dòng)發(fā)現(xiàn)�����,對(duì)微服務(wù)API進(jìn)行安全掃描�,發(fā)現(xiàn)微服務(wù)風(fēng)險(xiǎn)����,提供檢測(cè)報(bào)告�,并幫助用戶修補(bǔ)風(fēng)險(xiǎn)。同時(shí)對(duì)微服務(wù)進(jìn)行網(wǎng)絡(luò)隔離�����,防止連鎖攻破,保障微服務(wù)安全���。
癥狀七:云原生場(chǎng)景的CI/CD過程能夠自動(dòng)完成持續(xù)的集成和持續(xù)的部署���,因此在容器安全技術(shù)中對(duì)CI/CD過程的集成十分關(guān)鍵�����。
解決方案:【CI/CD集成】無縫融合DevOps實(shí)現(xiàn)安全左移
對(duì)如Jenkins�、Bamboo等CI/CD工具進(jìn)行集成���,對(duì)編譯出的鏡像自動(dòng)進(jìn)行鏡像漏洞掃描,并提供鏡像掃描報(bào)告��,配合CI/CD工具實(shí)現(xiàn)基于鏡像安全基線的合規(guī)審計(jì)和告警�,并提供修改建議。
云原生架構(gòu)給安全防護(hù)帶來了前所未有的挑戰(zhàn)���,容器安全作為云原生安全的技術(shù)底座�,對(duì)云原生安全起到了重要的支撐作用。啟明星辰集團(tuán)容器安全管理平臺(tái)可適用于容器云�����、PaaS平臺(tái)安全防護(hù)容器云����、PaaS平臺(tái)行業(yè)標(biāo)準(zhǔn)合規(guī)以及多租戶、多集群����、多倉庫容器安全等豐富應(yīng)用場(chǎng)景���,全力保障容器在構(gòu)建、部署和運(yùn)行整個(gè)生命周期的安全。
未來����,啟明星辰容器安全管理平臺(tái)將結(jié)合前期發(fā)布的云安全管理平臺(tái)、云負(fù)載安全防護(hù)平臺(tái)���、一體化安全資源池�、SaaS化服務(wù)�,云內(nèi)虛擬化安全能力等系列云安全解決方案,逐步形成啟明星辰完備的云安全防護(hù)體系,助力用戶安全的實(shí)現(xiàn)云原生轉(zhuǎn)型,并實(shí)現(xiàn)云邊界、租戶邊界����、域邊界、虛擬機(jī)邊界到容器邊界的整體縱深防御體系����,為用戶提供完整的、細(xì)粒度的���、智能的云安全解決方案�,讓用戶安全上云,安心上云����。
