云计算的深入发展和IT技术架构变革,IT系统云化已成为必然选择,容器技术因占用资源少、部署速度快和便于迁移,广受政企单位青睐,然而在容器技术得到广泛应用的同时,容器安全问题引起用户的强烈关注,成为用户应用的最大担忧。
凭借在容器安全以及云原生安全领域的多年研究、实践运营经验,启明星辰集团于近日重磅发布容器安全管理平台,助力用户实现云原生安全落地,这也是集团在云原生安全领域一次具有里程碑意义的重大突破。
七大功能齐发,容器全生命周期安全防护
产品架构
在全生命周期防护、安全左移等设计原则的指导下,启明星辰集团容器安全管理平台在构建阶段对镜像进行安全扫描;在分发阶段对进行防篡改,阻止不安全的镜像运行;在容器运行时对异常行为进行检测与防护,对容器网络进行微隔离,对节点和微服务安全进行扫描与防护;在全流程中对容器和基线进行合规检查,从全局视角对资产、网络和安全情况进行可视化展示。
针对用户容器安全的痛点问题,启明星辰容器安全管理平台从镜像、容器、集群、物理环境等方面着手,通过容器资产发现、安全可视化、无缝嵌入DevOps流程等方式,可以为用户提供资产管理、镜像安全、集群合规、运行时安全、容器微隔离、微服务治理和CI/CD集成等七大功能,实现对容器全生命周期的全局化、自动化安全管控。
症状一:容器的多样化、网络的复杂化导致资产梳理变得困难。
解决方案:【资产管理】自动梳理资产实现风险可视管理
梳理内容主要包括容器的梳理、容器网络的梳理、容器标签的梳理、编排平台的梳理、镜像资产的梳理、镜像仓库的梳理、微服务的梳理等,并且需要根据业务和环境的变化而自动变化,关联安全风险,提供实时资产结果。
症状二:容器基础镜像来源复杂,镜像漏洞可能引发严重的安全风险。
解决方案:【镜像安全】扫描镜像风险阻断危险镜像运行
能够对镜像中的恶意软件、木马、病毒等各项安全风险进行安全检测,提供检测报告,并帮助用户修补漏洞。同时阻止高危镜像进行运行并在镜像传输过程中进行防篡改,避免引发严重的安全风险。
症状三:容器集群环境配置复杂,易暴露攻击面。
解决方案:【集群合规】保障容器和集群引擎的安全合规
根据CIS标准及自定义标准,对容器和集群中各组件进行安全配置扫描,包括docker引擎、控制平面组件、etcd、控制平台配置、节点配置、策略等,帮助用户进行合规配置。
症状四:组件爆发式增长为应用防护能力提出更高要求。
解决方案:【运行时安全】监测隔离容器运行时异常行为
容器运行时的防护提供容器的实时入侵检测,发现并阻断异常行为,包括容器逃逸,反弹shell,敏感文件访问,暴力破解等。并支持自定义运行时安全策略与威胁情报联动,保障容器安全运行。
症状五:容器业务依赖关系十分复杂,未知威胁可能蔓延,需要细粒度的管控。
解决方案:【容器微隔离】细粒度网络隔离防止威胁扩散
提供基于容器或业务的多维网络隔离能力,包括对容器、服务、pod、lable的隔离等,
提供可视化网络拓扑,并且提供自适应、自迁移、自维护的网络隔离策略以便于对容器的网络环境进行细粒度的管控。
症状六:单体应用拆分导致端口数量暴增,攻击面大幅增,连锁攻破风险高。
解决方案:【微服务安全】发现微服务漏洞阻止风险传播
包括微服务的梳理与自动发现,对微服务API进行安全扫描,发现微服务风险,提供检测报告,并帮助用户修补风险。同时对微服务进行网络隔离,防止连锁攻破,保障微服务安全。
症状七:云原生场景的CI/CD过程能够自动完成持续的集成和持续的部署,因此在容器安全技术中对CI/CD过程的集成十分关键。
解决方案:【CI/CD集成】无缝融合DevOps实现安全左移
对如Jenkins、Bamboo等CI/CD工具进行集成,对编译出的镜像自动进行镜像漏洞扫描,并提供镜像扫描报告,配合CI/CD工具实现基于镜像安全基线的合规审计和告警,并提供修改建议。
云原生架构给安全防护带来了前所未有的挑战,容器安全作为云原生安全的技术底座,对云原生安全起到了重要的支撑作用。启明星辰集团容器安全管理平台可适用于容器云、PaaS平台安全防护容器云、PaaS平台行业标准合规以及多租户、多集群、多仓库容器安全等丰富应用场景,全力保障容器在构建、部署和运行整个生命周期的安全。
未来,启明星辰容器安全管理平台将结合前期发布的云安全管理平台、云负载安全防护平台、一体化安全资源池、SaaS化服务,云内虚拟化安全能力等系列云安全解决方案,逐步形成启明星辰完备的云安全防护体系,助力用户安全的实现云原生转型,并实现云边界、租户边界、域边界、虚拟机边界到容器边界的整体纵深防御体系,为用户提供完整的、细粒度的、智能的云安全解决方案,让用户安全上云,安心上云。