德迅蜂巢（容器安全）全面出击

随着云盘算的发展，以容器和微服务为代表的云原生技术，受到了人们的广泛关注，德迅云安全德迅蜂巢（容器安全）是企业容器运行时和容器编排的主要选择。然而，在应用容器过程中，大多数企业都碰到过不同程度的安全问题，如何保障容器安全，已成为企业最关心的问题。
应用容器带来新挑战
容器应用之前，云中应用系统多数运行于虚拟机上，但虚拟机仍会有额外的资源浪费和维护本钱，并且其启动速率较慢。容器技术因具有占用资源少、部署速率快和便于迁徙等特点，开始受到企业青睐。在典范的云原生环境中，通常包括主机、镜像、容器、容器编排平台、网络和微服务等对象，但由于目前多数企业利用容器技术部署业务应用，故下面将重点分析与容器相关的安全挑战。
容器安全防护就是运用流程来设置一些安全工具和政策以确保容器内的统统都依照提前的规划来运作，包含基础架构、软件供应链、运行时环境以及期间中各个环节的所有防护。
在这样的概念下，容器安全防护是一个持续不断的过程，而且应该整合到您的开发流程中，并通过自动化的方式来减少手动工作，并延伸到基础架构的维护与运营。这意味着，您不但必须保护建构流程的容器镜像，还要保护运行时期的主机、平台与应用程序层。将防护融入不断循环的软件生命周期持续性交付，能协助您低落企业风险，减少日益扩大的受攻击面所潜藏的弊端。

相关词汇

这些是企业在满足容器需求时会用到的一些词汇：Docker®、Kubernetes®、AmazonWeb Services™ (AWS) 以及 Microsoft®。
保护 Docker

• 在您开始投入容器安全防护之前，您应先认识一下容器领域的主要厂商。Docker是容器化市场的向导厂商，它提供了一套建构、管理与保护应用程序的容器平台。从传统的应用程序到最新的微服务，Docker都能满足客户的部署需求。犹如其他任何容器平台一样，您务必确保您已设置恰当的防护。
  

保护 Kubernetes

• Kubernetes也是一个必须认识的重要名词。Kubernetes 提供了一种通过可携带、可延伸的开放原始代码平台来处理容器化工作负载与服务的方式。只管 Kubernetes内设了一些安全功能，但您仍需要一套专门的安全解决方案来维护您的安全，由于近来针对 Kubernetes 集群的攻击越来越多。
  

Amazon Web Services (AWS)与容器防护

• 接下来我们要认识的是AWS，AWS 深知企业对容器的需求，以及容器的好处就是能让开发职员更快、更一致地推出应用程序。这正是为何 AWS 提供 Amazon ElasticContainer Service (Amazon ECS) 这项可扩充的高效能容器协调服务来支援 Docker容器，您不需自行管理虚拟机器与容器环境，轻轻松松就能在 AWS上执行并扩充容器化应用程序。不外，犹如任何其他主流厂商一样，要妥善发挥该服务的效益，安全是不可或缺的条件。
  

保护 Microsoft Azure 容器

• 末了要先容的是Microsoft® Azure™ Container Instances (ACI)，这套解决方案可让开发职员在 Microsoft® Azure™Public Cloud 上部署容器而不需自行执行或管理底层的基础架构。您只需通过 Microsoft® Azure™服务入口就能启动一个新的容器，Microsoft 会自动配置底层的运算资源并视需要加以扩充。Azure Container Instances可提供绝佳的速率与机动优势，但却需要妥善防护才气彻底发挥其完备效益。
  

德迅蜂巢（容器安全）

德迅蜂巢·云原生安全平台由德迅自主研发，可以或许很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全猜测、防御、检测和相应的安全闭环。
（1）德迅蜂巢·云原生安全平台的核心架构理念：

• 在开发阶段（Dev），遵照“安全左移”原则，做到上线即安全
  
• 在运行阶段（Ops），遵照“持续监控&相应”原则，做到完全自适应
  

（2）实现功能

德迅蜂巢主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全本领。

一、资产清点：
德迅蜂巢可以清晰地盘点工作负载自己的相关信息，此外，还可以或许实现不同工作负载之间的关系可视化，资助运维和安全职员梳理业务及其复杂的关系，补充安全与业务的鸿沟。

• 细粒度梳理关键资产
  
• 业务应用自动辨认
  
• 资产实时上报
  
• 与风险和入侵全面关联
  

容器资产种类全面盘点
支持容器、镜像、Registry、主机、POD等容器资产快速清点，为用户提供容器内资产的分类视图，实现容器资产的全面可视化。

容器资产内容深度辨认
对每类资产举行深入分析，获取资产相关的高价值安全数据，资助用户从安全角度细粒度观察资产运行状况。

自动化、持续性容器资产清点
系统资产数据持续更新，每日及时地、自动化上报资产数据。基于汗青清点的数据，每次只清点新启动的进程信息，极大低落对服务器性能的耗损。

二、镜像扫描：
德迅蜂巢的镜像查抄本领已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的弊端、病毒木马、Webshell等镜像风险。

• 覆盖容器全生命周期
  
• 全方位检测
  
• 镜像合规查抄
  
• X86、ARM 架构镜像全栈适配
  

持续的镜像补丁检测本领
持续更新弊端数据库，并与集群中的容器镜像举行匹配。一旦发现任何新镜像补丁信息，用户将收到关照，而不必定期重新扫描。

全面的补丁数据呈现
深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，综合思量系统的业务影响、资产及补丁的重要程度、修复影响环境，智能提供最贴合业务的补丁修复建议。

机动快速的检索方式
可根据需求机动显示列表数据，定义表格显示。系统提供基于安全场景的筛选方式，如支持按 CVE 编号举行检索等，资助用户迅速定位镜像和其安全补丁信息。

三、微隔离
德迅蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁徙、自维护的网络隔离策略，资助用户快速、安全地落地容器微隔离本领。

• 业务视角展示网络拓扑关系
  
• 云原生场景的隔离策略
  
• 适配多种网络架构
  
• 告警模式业务0影响
  

提供业务视角的网络拓扑关系
基于现实业务的⼯作负载可视化展示容器间的访问⾏为，清晰展示网络拓扑关系，方便运维和安全职员理解。

覆盖各种云原生场景的隔离策略
集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。
集群间网络隔离
可设置基于集群与非容器集群，集群与外部网络之间的隔离策略。
纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式，让用户放心设置策略
针对工作负载提供“仅告警”业务模式，不下发现实的隔离策略，而是模拟下发的环境，当发现偏离策略的活动则举行告警提示。通过此种模式，可制止因隔离错误而对业务造成影响。

全面适配云原生的网络环境
适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

四、入侵检测
德迅蜂巢通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全相应，把丧失降到最低。

• 威胁建模适配容器环境
  
• 持续地监控和分析
  
• 威胁告警快速相应处理
  
• 提供多种异常处理⽅式
  

基于已知威胁举行检测
德迅蜂巢通过监控容器内的进程创建、文件变革等活动，获取活动特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell等攻击活动。

基于恶意活动举行检测
以ATT&CK框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立IOC模型举行分析，能有效发现初始入侵时的远程弊端利用、无文件攻击活动、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等活动。

基于异常活动举行检测
通过容器进程活动、文件活动、网络活动的监控/学习，建立容器活动模型，分析异常偏离活动， 发现未知入侵威胁。

五、合规基线
德迅蜂巢构建基于CIS Benchmark的最佳安全操纵实践查抄，资助企业实施和完善容器合规规范，可实现一键自动化检测，并提供可视化基线查抄效果和代码级修复建议。

• CIS尺度
  
• 一键自动化检测
  
• 基线定制开发
  
• 代码级修复建议
  

一键任务化检测，基线查抄效果可视化呈现
用户可快捷创建基线扫描任务，根据检测需要，自行选择需要扫描的容器和基线，基线查抄效果可视化呈现。

基于Docker基线多维查抄
根据CIS Benchmark最佳实践方案，从运行时容器、镜像、主机三个维度，对各类容器配置问题举行查抄

基于Kubernetes基线多节点查抄
根据CIS Benchmark的规范，定时对k8s的master节点、worker节点举行基线查抄。扫描完成后，即可查看每个扫描详情以及扫描效果

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。