眾所周知,容器技術是以操作系統的C-Group以及Namespace的機制,來實現操作系統內核的共享,資源的虛擬化以及隔離。在DevOps和微服務領域都有廣泛的應用。隨著容器技術的不斷向前發展,容器以及容器運行時的安全性問題,已經成為亟待解決的問題。
為了系統性地來解決容器的安全問題,青藤開發了新一代的容器安全產品--蜂巢。青藤蜂巢•容器安全產品覆蓋了容器使用過程中的Build、Ship和Run三個階段,在功能性上有鏡像掃描、合規基線、以及入侵檢測三大核心功能。
青藤蜂巢•容器安全產品在技術實現上采用了Agent-Server的技術架構,Agent運行在容器的宿主機上,和Docker daemon跑在同一層的。Agent主要做了三件事情,第一是基礎信息的獲取,通過Docker Engine本身的API來獲取容器運行的狀態信息,第二是鏡像掃描能力,通過Agent能夠來掃描主機上鏡像的相關信息,第三是對容器的運行狀態進行相應的監控,通過對于容器進程進行相應的hook以及監控發現容器運行的相關信息。
![](http://www.guanglexin.cn/uploadfile/2019/0506/20190506034017962.jpg)
青藤蜂巢•容器安全產品架構
這套架構總共有三個優勢,第一個是在安全功能上,除了覆蓋容器的功能以外,同時覆蓋了主機的安全功能;第二是Agent運行的效率,青藤的Agent在四年中,已經在超過10萬臺主機上進行驗證過,CPU的消耗一直是小于5%,并且運行的穩定性能達到99%以上;第三塊是容器和主機安全產品,是一套超融合架構,也就是說能夠在同一套架構里面解決兩類的問題,這都是青藤蜂巢•容器安全產品的架構優勢所在。
對于容器安全的發展前景,青藤云安全創始人兼CEO張福認為目前在中國,越來越多的人想要把現有業務從物理的環境上換到云上,或從云上換成容器的形態,這個遷移的過程和流程需要一定的時間,所以現在容器安全應該算是早期市場。但張福相信未來,容器安全領域有很好的前景。
在過去的經驗中,大多數攻擊是發生在網絡側,應用側,但其實黑客的攻擊目標往往是服務器,因為服務器上是一切資產的核心。當服務器被入侵了,攻擊者到底在這個服務器上做了哪些事情,后續該如何進行回溯?這個問題一直困擾了大家很多年,為此青藤云安全研發出了青藤星池•大數據安全平臺。
青藤星池•大數據安全平臺可用來記錄攻擊者在服務器上的行為,以便后續去進行回溯、還原以及取證。目前,青藤星池•大數據安全平臺已支持操作審計日志、網絡連接日志、系統登陸日志、賬號變更日志、進程啟動日志、DNS解析行為日志六種日志的記錄。
不僅如此,青藤星池•大數據安全平臺已經可以做到基于機器學習的智能化自動分析。打個比方,每一個程序員或者是運維人員,他們輸入命令是有個人習慣的,當記錄下每一條命令的敲擊時間和頻率,并進行大數據的機器學習,便可以做行為預測和統一分析。當操作人員換人了,或者說是一個黑客進來了,即便用相同的IP地址、主機名字,但他的鍵盤敲擊習慣與上一個人不同的。通過青藤星池•大數據安全平臺,可以做到清晰地預測和感知。
張福表示,通過現有主機安全的日志集中在一起,進行清晰預測和感知,甚至做出阻斷是未來安全分析的必備技能。
等保2.0即將推出,國內各大安全廠商爭相推出解決方案。青藤云安全COO程度分享,在等保2.0被提出來之后,通過調研與分析,青藤云安全發現在測評的過程有一些難點。對于測評機構來說,有三個大的痛點,第一是主機數量大,對測評機構來說測評的難度會增大;第二是虛擬機容器等新興的虛擬化場景對測評機構是不可見的;第三,因為測評機構需要重復地去做測評,在同一個云平臺下,有多個租戶,會做多租戶重復的測評,這將浪費許多工作量。而對于監管機構來說,同樣有類似的問題,首先是只能做一次性的監管,無法做持續的監管;第二是流量無法可視化。對于云租戶,云平臺,痛點也是很明確的,就是說無法實時了解合規的狀態,整個流量有些時候也是不可見的。第三,缺乏整改的一些手段。
![](http://www.guanglexin.cn/uploadfile/2019/0506/20190506034036420.jpg)
青藤云安全此次推出的的云等保2.0解決方案主要針對于安全計算環境部分。基于測評機構,監管機構,以及云租戶相應的痛點,青藤提供了CWPP(Cloud Workload Protection Platform)產品。CWPP產品為云安全而生,主要是通過云工作負載的全面監控,從而解決測評機構和監管機構的難點,以及云租戶、云平臺合規的訴求。這款產品基本覆蓋了通用要求中身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范,以及資源控制六個部分。通用計算會牽扯到虛擬機、虛擬設備、以及業務系統安全,這個產品幾乎解決了所有合規的問題。
青藤云安全以服務器安全為核心,采用自適應安全架構,將預測、防御、監控和響應能力融為一體,構建基于主機端的安全態勢感知平臺,為用戶提供持續的安全監控、分析和快速響應能力,幫助用戶在公有云、私有云、混合云、物理機、虛擬機等多樣化的業務環境下,實現安全的統一策略管理,有效預測風險,精準感知威脅,提升響應效率,全方位保護企業數字資產的安全與業務的高效開展。業務現已覆蓋金融、互聯網、政府等數十個領域,防護服務器超過百萬臺。