长亭牧云首创集群准入控制方案,专治K8s安全治理难题
2023-8-11 18:36:11 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

云化浪潮涌动

安全事件随之由单点变为动态多点

容器作为云原生的技术底座

提供灵活性和可移植性的同时

也让监控和故障排除变得非常复杂

面对一个个孤立的小黑盒

传统防护手段已不能满足云场景下的安全需求

无论是准入、检测,还是响应

每个流程都出现了安全缺口

云上安全角逐进入白热化

就准入而言

市面上要么打着集群的幌子却只支持镜像准入

要么面对刚需无从下手

牧云(CloudWalker)云原生安全平台

基于自身先进的研发能力

提供集群准入控制、入侵检测、隔离响应功能

实现集群视角下的安全闭环

最大程度为集群保驾护航

集群中

跨多个主机自动操作数百个甚至上千个“黑盒”

需要一个编排和管理工具

而以K8s为代表的编排系统

符合标准化的结构

基于此

牧云(CloudWalker)云原生安全平台

通过独创的基于编排系统的集群准入控制方案

一招帮你走好云原生安全第一步

达到集群视角下的完美闭环效果

那么,作为首个基于编排系统实现准入控制的安全产品,牧云(CloudWalker)的自信从何而来呢?

01
足够包容,不同容器运行时启动的容器

支持准入不同容器运行时启动的容器。所有容器运行时类型,无论是 docker、containerd、cri-o......长亭牧云基于编排系统的准入控制方案,通通支持!

02
充分支持,兼容多种业务场景

支持准入非工作负载形式的资源。不仅仅是Pod,ConfigMap、Secret、Service、Ingress等等,只有你业务不需要的,没有我们不支持准入控制的,绝不仅仅局限于容器层面!

03
绝对自由,零侵入部署

不需要修改机器上任何配置,一个集群仅需安装一次,可忽略不计的业务侵入性!

 04
强大自信,不惧对比的防绕过

超强安全对抗性,即使攻击者已经控制某台机器,也无法逃开牧云准入控制的审判。

牧云(CloudWalker)云原生安全平台准入控制架构图

而对于K8s来说
最常见的入侵来源是
供应链风险、内部威胁与恶意入侵者
牧云(CloudWalker)的准入控制方案
以上述常见入侵来源为出发点
以编排系统为中心
以OPA(云原生环境下的策略引擎)做技术支撑
提供入侵对抗一条龙服务
进而实现集群视角下的安全闭环!
01
收敛供应链风险面
供应链风险是指
攻击者可能利用构成系统任何风险的元素
包括帮助提供最终产品的
产品组件、服务或人员
供应链的潜在威胁
会在多个层面上影响K8s

对供应链的攻击向量也是多种多样的

并且很难缓解
牧云(CloudWalker)基于K8s架构
支持策略制定镜像规则
非信任、非认可镜像将无法进入集群环境
并基于策略,生成告警,阻断事件

02
兜底内部风险

威胁行为者可以利用漏洞

组织机构内部的个人被赋予特权

可能会给K8S集群造成威胁

K8s通过定义 Secret 来传递凭证
然而对于 Secret 本身
K8s并不会对相关的凭证强度进行校验或拦截
牧云(CloudWalker)准入控制器
保障该维度风险
针对挂载了敏感目录的 Pod
如 /proc, /etc 等可能造成攻击者逃逸的目录
通过牧云(CloudWalker)准入控制
实现资源创建的阻断

03
铲除恶意威胁行为者

攻击者经常利用漏洞

从外网获得访问权限

K8s架构暴露了几个API

黑客有可能利用这些API进行恶意利用

针对kubernetes cronjob
牧云(CloudWalker)精准检测执行内容
如包含恶意命令,例如反弹shell等
则对其实施准入控制
防止被写入持久化后门

但除此之外
牧云(CloudWalker)通过预扫描模式
准入控制Ingress
对于存在漏洞风险
如SQL注入、反序列化等严重漏洞的Ingress
实施准入阻断!
其实搞定这些关键点
集群就已经被控制的差不多啦!
然而,类似 “凡是包含fastjson漏洞的资源
都不允许被创建” 这样的规则形式
过于理想化
以ChatGpt为代表的大模型虽然风头正劲
但对于安全这种需要精确运营的场景
依然分身乏术
因此对于该口令
真正的强者是将其变成被计算机所理解的规则!
牧云(CloudWalker)则通过引入
OPA(云原生环境下的策略引擎)
在此基础上进行二次封装
提供安全相关的自定义能力
让所有的准入规则
都可以结构化为一个rego文件
最终通过启用此规则
可以实时拦截
所有包含fastjson反序列化漏洞的镜像启动!

事已至此,结论显而易见
牧云(CloudWalker)
具备无可比拟的先进性
结合多年来丰富的攻防经验以及安全能力
牧云(CloudWalker)将动态准入控制功能
快速应用于业务场景
旨在通过产品
为客户提供最大化的价值
作为第一个基于编排系统实现准入控制的安全产品
牧云(CloudWalker)的能力远不止此
我们的目标是星辰大海
欢迎对该能力感兴趣的各位与我们展开积极交流
合抱之木,生于毫木
期待众人的力量,让云变得更安全


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651385235&idx=1&sn=2537750c0454af45ef530bcafaf6fe53&chksm=8d399c1bba4e150da53e2095fef9fc10f4fffae4951d5c8a34e04b8a960b863f89bbcf49c34f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh