容器技术在2013年得到了全球范围内的推广,市场对容器云技术的认知越来越成熟,容器云技术的应用领域继续扩大,生态建设也更加深化,容器云市场进入了大规模化发展的阶段。至今,随着容器云与云原生和DevOps等多项技术的结合度越紧密,容器云也被更多行业采用,市场认可度和渗透率持续提升。
作为一个持续演进的过程,容器安全防护应覆盖到整个开发运维流程,全面自动化、智慧化减少人工工作。作为2021年入选Gartner云安全技术成熟度曲线等多份技术报告的容器安全产品,云甲通过覆盖构建中的镜像容器、运行时的容器主机,能为容器提供整个生命周期的安全防护,有效帮助企业降低业务风险。
为了更好地契合当下企业用户在容器云安全面临的众多安全问题,安全狗也加快研发速度,提升了云甲的功能,并且发布了4.0版本,以期满足用户的更多安全需求。让我们来看看云甲4.0新版本的特色功能吧。
由于资产变化过快的特性,传统主机资产采集工具容易出现资产采集不全、误报漏报、耗时较长等问题,无法满足对容器的资产清点要求,资产清点可视化一直是容器管理上的一个痛点。
风险源于未知,云甲通过调用docker api与宿主机docker demon交互,获取镜像容器各类资产识别,梳理镜像类别、容器类别、主机类别资产,包括但不限于软件包、进程、数据库等,实时监测资产变更。
对于资产可视化,将大量纷杂的数据转换为用户可以轻松访问、理解和利用的有实用价值的信息至关重要。通过整合容器资产,依托折线图、饼图、环形图等进行资产的分类聚合、关联分析、趋势分析,联合风险信息通过统一的界面平台实现全面的可视化,随时监控云资源的安全状况。
图1 仪表盘
对使用者来说容器是不透明的,封装成一个个繁琐镜像。随着数年积累的CVE越来越多,很多应用都存在一些问题,在更新频率低的镜像中尤为严重。
云甲提供来自主机镜像、仓库镜像的检测,通过多层次的镜像检测分析,杜绝镜像中的问题在运行的容器中带来风险。
· 对于镜像漏洞风险,通过对镜像发起扫描,对镜像进行特征的提取,结合CVE漏洞库进行特征匹配,发现漏洞则进行提示。
· 对于镜像恶意后门,提供病毒木马、网页后门检测引擎,自定义网页后门规则,检测恶意镜像。
· 对于镜像不安全风险,提供查看镜像中的敏感信息,防止敏感文件泄露、敏感秘钥泄露等,提供查看镜像registry的镜像关系,版本历史,镜像的层,还有镜像构建文件,确保镜像在分发上线前安全可信。
· 同时采用自定义镜像阻断规则,对存在root用户启动、病毒木马、网页后门、特定漏洞或非信任镜像等规则下的镜像阻断其运行。
图2 镜像安全
容器在运行中会持续为用户的应用程序处理资料、产生记录、建立文件快取等等,此时,我们就需要确保这些都是正常行为,而非恶意活动;而对于容器运行时配置不当也会降低系统的相对安全性。
云甲提供容器的风险监测和阻断,监控分析容器运行中发生的安全事件,采用即时扫描和实时监控两种模式对容器进行入侵行为检测。恶意行为检测是对于恶意行为模式的定义,对容器及编排工具内的黑客攻击行为进行实时检测。
· 入侵检测引擎,对于容器内文件、代码、脚本进行病毒木马、网页后门、反弹shell、安全漏洞的实时检测;
· 异常处理引擎,建立行为学习模型,对容器内进程、文件行为、命令、网络进行异常行为检测,包括但不限于执行ssh命令、挂载非法目录、搜索私钥等;
· 逃逸检测引擎,在容器面临的所有安全问题当中,逃逸问题是最为严重的,云甲能针对容器、主机及编排工具内的逃逸风险,监测用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击,快速告警跟踪;
· 自动将风险事件阻止隔离并根据严重性发出不同等级的告警通知。
图3 容器安全
在开发环境中,如果容器没有配置得当,则很可能被利用。安全基线一直是安全措施中最省时省力的技术手段之一,完备的基线检查可以帮助研发人员提前发现相关配置问题,尽可能的帮我们减少攻击面。
云甲提供CIS容器配置基准保证,从基线、静态分析多个维度对容器安全性提供保障。构建基于CIS的Docker、Kubernetes安全操作实践检查基线。可实现一键自动化检测,提供可视化基线检查结果和代码级的修复建议。同时,结合企业个性化应用场景,还可为用户提供基线定制开发服务,以快速匹配各行业、各企业安全配置需求。
图4 基线合规
5两套方案灵活部署
云甲支持Agent+插件部署方式实现容器安全防护,同时支持平行容器部署方式实现。Agent+插件高效率,低损耗,可扩展功能,包括主机安全、微隔离、补丁管理功能。平行容器资源占用小、环境依赖小,易管理易维护。两种部署方式可单独部署、混合部署适配多种业务场景。
图5 部署架构
当然除了这些,很快云甲将进一步迎来容器微隔离功能,实现“容器网络拓扑”的可视化、“生成网络策略”自动化,帮助用户在配置网络策略时获得更直观、便捷的体验。随着容器云技术的蓬勃发展和趋于成熟,信息系统软件设计模型趋向于微服务架构和容器化部署,越来越多的信息系统发布到容器云,容器云安全变得至关重要。云甲容器安全防护是一个持续不断的过程,不仅可覆盖开发流程,并可通过自动化的方式减少人工手动工作,在提供保护构建流程的容器镜像基础上,云甲能防护运行时期的主机、平台与应用程序层,结合后续将延伸到基础架构的维护与运营,云甲将防护融入不断循环的软件生命周期持续性交付特点,能全面覆盖云原生环境中可能产生的更多安全问题,更好的保护系统,降低企业风险。
如若转载,请注明原文地址