牧云容器安全六大核心能力,构建云原生实战防护体系

阅读量17973

发布时间 : 2022-07-07 10:00:15

 

从容器的自身架构和工作机制来看,容器遭受攻击主要有以下6个原因:

基于Gartner CNAPP的模型,容器安全需提供全生命周期的安全防护,覆盖构建、分发、运行不同的阶段。

长亭科技将CNAPP理念进行实践与落地,推出长亭牧云(CloudWalker)容器安全平台,可贴合攻防场景,助力防守方构建安全的云原生实战防护体系。

 

六大核心能力,构建云原生实战防护体系

01 安全能力原生化,无需重复安装Agent

DaemonSet是Kubernetes的一种控制器,能够确保在每一个Node上运行一个Pod副本,当有Node加入集群时,Pod副本也会随之新增,当有Node从集群移除时,这些Pod也会被回收。

牧云(CloudWalker)研发团队基于DaemonSet特性,将CWPP安全能力云原生化到每一个DaemonSet探针,以平行容器的形态部署于容器平台中,使其始终运行于每一个Node上。在新业务上线和扩容时,运维者无需重新安装Agent,便可敏捷、弹性地获取原生的安全能力,天然适配云原生场景。

安全能力原生化

牧云(CloudWalker)Agent Yaml样例

牧云(CloudWalker)Agent运行在每一个Node上

02 安全左移,为业务系统注入“免疫力”

容器镜像作为云原生应用的标准交付格式,包含了容器运行的基础文件。因此,镜像安全对于容器安全至关重要。

基于“安全左移”的治理原则,牧云(CloudWalker)分别在镜像构建和分发阶段进行镜像扫描和安全审计,提前发现已知漏洞、木马病毒、WebShell和敏感信息等,保障容器安全。

容器通过overlay存储驱动构建和管理镜像,每一个镜像层或者容器层都是一个目录;镜像层和容器层的内容存储在 aufs/diff/ 目录中;aufs/layers/ 中存储着镜像层的元数据,aufs/mnt/ 包含镜像或者容器层的挂载点,通过联合的方式进行组装。

基于以上特性,牧云(CloudWalker)在扫描镜像时,会采用分层扫描技术,分别扫描不同种类信息,如devicemapper、overlay2、aufs、btrfs、vfs,避免重复拷贝,提高扫描效率。

安全左移

分层扫描

03 构建,分发,运行,全生命周期防护

容器作为云原生“不可变的基础设施”的载体,其实例从镜像中快速构建,通过API快速销毁,具备生命周期短、业务复杂、网络复杂的特性,牧云(CloudWalker)容器安全平台覆盖了全生命周期安全:

在构建、分发阶段,平台通过与CI工具Jenkins等对接,提前发现镜像的安全问题,并阻止不合格镜像传输到镜像仓库;

在运行阶段,牧云(CloudWalker)帮助客户进行资产清点、运行前风险发现、运行时入侵检测。资产清点时平台自动构建资产图谱,实时更新主机、Kubernetes、容器等资产。

运行前,平台通过检查审计Capability、SeLinux、AppArmor、Seccomp,避免容器特权运行,及时发现风险;

运行时,平台及时发现入侵行为,包括容器逃逸、WebShell、反弹Shell、可疑审计,提高容器的安全性。

全生命周期防护

运行时入侵监测

04 全局可观测与感知,灵活应对复杂业务场景

根据最新报告显示,大约50%的容器镜像会在一周内被替换。容器生命周期极其短暂,且业务变化很快、系统复杂,可观测性成为重要属性。

企业需要构建完整的可观测模型,从指标(Metrics)、日志(Logging)和链路跟踪(Tracing)不同维度,观测系统内部的运行情况,实现故障诊断、根因分析和快速恢复。

牧云(CloudWalker)提供了全面可观测性服务,既包括系统日志、应用日志等日志管理,还包括各类运行指标、进程行为追踪、服务调用链追踪等。平台实时记录容器和主机上的行为事件,全生命周期安全审计,实现高效的追踪和溯源,具备如下优势:

采集全:覆盖System Call、文件系统、进程、各种网络活动、容器提权、命令空间和容器逃逸等
非侵入:非侵入透明采集,不需要更改内核与应用程序代码
轻量化:智能检测过滤聚合,大大减少事件采集开销
兼容广: 向下兼容低版本内核

全局可观测与感知

05 自动构建访问拓扑关系,可视化东西向流量

Kubernetes是容器运行的大脑,是云原生时代的操作系统,亦是攻击者入侵的第一步。

牧云(CloudWalker)支持对Kubernetes安全态势管理,自动化构建雷达拓扑,多维度可视化展示镜像、容器、Pod、Node、命名空间、Service的访问连接关系,漏洞详情、风险等级。

K8S安全态势管理

可视化容器访问连接关系

06 自学习微隔离,智能生成细粒度安全策略

云原生时代,业务东西向流量愈发庞杂,传统的防火墙或主机iptables的方式已无法满足海量流量及其高细粒度的需求,需要更智能、更精细的策略保障业务安全。

牧云(CloudWalker)提供自学习的微隔离能力,通过学习访问关系,将强耦合的容器进行归组,生成隔离策略。安全引擎通过增强原生访问控制CRD自动修复风险,智能学习容器进程、敏感文件、网络等工作负载行为,在应用、文件、网络外部的边界进行动态弹性防护。平台可执行多种不同来源的原生安全策略,支持多种Kubernetes网络插件,如Calico、Canal、Antrea、Cilium、Kube-router、Romana、Weave Net等。

微隔离自学习

牧云(CloudWalker)主机安全管理平台,在云原生时代应运而生,已成为首批通过中国信息通信研究院云(原生)安全产品和云SaaS安全服务平台测试的产品之一,7项类别、18项能力全项通过。其容器安全平台能够实现容器安全预测、防御、检测、响应的安全闭环,支持集成到复杂的云原生环境中,支持运行在公有云、私有云、混合云和IDC等不同的计算环境,精准发现安全隐患。

本文由长亭科技原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/276004

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
长亭科技
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66