搜索
搜索
imgboxbg

新闻中心

当前位置:
首页
/
/
护航“东数西算”,以数据为核心再造云安全体系(产品篇二)

护航“东数西算”,以数据为核心再造云安全体系(产品篇二)

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2022-12-27 16:37
  • 访问量:

【概要描述】云计算是“东数西算”工程算力网络体系的重要组成部分。在云计算应用和服务平台构建过程中,近年兴起的容器技术凭借其弹性敏捷的特性,成为了云技术等应用场景下的重要支撑技术。尽管容器技术备受追捧,并在互联网、金融、运营商等多个领域得到广泛应用,但其背后的安全问题不容忽视。

护航“东数西算”,以数据为核心再造云安全体系(产品篇二)

【概要描述】云计算是“东数西算”工程算力网络体系的重要组成部分。在云计算应用和服务平台构建过程中,近年兴起的容器技术凭借其弹性敏捷的特性,成为了云技术等应用场景下的重要支撑技术。尽管容器技术备受追捧,并在互联网、金融、运营商等多个领域得到广泛应用,但其背后的安全问题不容忽视。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2022-12-27 16:37
  • 访问量:
详情

云计算是“东数西算”工程算力网络体系的重要组成部分。在云计算应用和服务平台构建过程中,近年兴起的容器技术凭借其弹性敏捷的特性,成为了云技术等应用场景下的重要支撑技术。尽管容器技术备受追捧,并在互联网、金融、运营商等多个领域得到广泛应用,但其背后的安全问题不容忽视。

网御星云从容器的全生命周期,即构建、分发、运行三个阶段对容器以及容器运行环境的安全问题进行分析,并提出相应的解决方案。

安全风险

构建阶段安全风险

构建阶段是容器生命周期的第一个阶段,大多数企业在应用容器技术时,多以开源工具为主,从而增加了将漏洞引入业务应用的风险。一旦镜像包含过高的权限配置,一些不必要的包、库、组件等,将会增大容器的攻击面。此外,若基础镜像更新不及时,也会难以避免新漏洞带来的安全问题。

分发阶段安全风险

镜像及容器技术一个主要的特点就是方便移动和部署,云原生用户可以将第三方镜像轻松部署到自己的生产环境中。在镜像分发阶段,若未进行适当的访问控制和镜像校验,则有可能导致被篡改镜像或含有恶意程序的镜像在生产环境中部署运行,将会对用户业务造成难以预估的影响和损失。

运行阶段安全风险

运行阶段是容器安全最重要的阶段,容器的引入带来了新的入侵方式,同时也使得东西向流量的安全问题更加突出。容器与宿主机共享操作系统内核,若宿主机存在安全问题,则同样也会影响容器的安全运行。若容器运行时配置不当、危险挂载、含有相关程序漏洞,将会引起容器逃逸,不仅影响容器的安全运行,还将严重影响业务系统。

解决方案

针对上述容器安全问题,网御星云容器安全管理系统围绕容器构建、分发、运行三个阶段,采用安全左移理念,构建容器安全体系。

容器全生命周期安全防护体系架构图

构建阶段安全风险

容器持续性安全的第一步,是镜像构建的安全。网御星云容器安全管理系统通过CI/CD持续集成实现对构建镜像自动深度扫描,识别镜像中包含的漏洞、木马病毒、Webshell、风险软件、恶意软件、配置不当等安全风险问题,同时提供修复建议,并通过策略自动阻断风险镜像推送镜像仓库,实现安全风险源头解决,提升安全运营效率。

分发阶段安全风险

构建分发阶段主要为镜像的风险识别、传输、运行的过程管控,通过对镜像的过程管控减少容器运行风险。网御星云容器安全管理系统不仅提供面向镜像仓库的漏洞扫描和基线核查能力,同时还可以利用镜像沙箱、镜像扫描、镜像签名验签等技术手段,实现对镜像传输、来源、包含静动态安全威胁等风险管控,防止镜像被恶意篡改,阻止高风险和未知来源镜像运行。

运行阶段安全风险

运行时阶段安全包含运行环境安全、运行威胁检测和处置、网络微隔离及可视化呈现等能力,运行环境安全包括运行环境风险识别、加固。网御星云容器安全管理系统可提供面向 Docker、 Kubernetes 、主机、微服务的漏洞扫描和基线核查,不仅可以为 Docker、Kubernetes及主机提供基于CIS的容器安全最佳实践等文件进行合规审计,同时还提供内置 dockerfile 和 K8S yaml文件的基线模板,帮助用户检查出运行环境中的不当配置和脆弱性等安全风险问题。运行威胁检测和处置包含对容器内的入侵行为进行监控,对容器逃逸、木马病毒、Webshell、反弹shell、内存马、恶意行为、提权、未授权新建等入侵威胁进行监测、告警处置等能力。网络微隔离及可视化呈现包含提供容器之间、POD 之间、服务之间的网络连接微隔离和可视化能力,减少东西向网络暴露面。

容器技术具有占用资源小、快产快销、数量庞大等特点,因而容器资产类型种类繁多,且会根据业务和环境的变化而自动变化。网御星云容器安全管理系统还具备实时资产结果展示、资产关联分析、安全风险打分、日志审计等能力,可助力用户实时了解资产变化情况、运行状态、安全风险情况等信息,快速定位、溯源 kubernetes 和 Docker 运行过程中相关问题。

网御星云以安全左移理念构建容器全生命周期安全防护体系,实现容器从预测、防御、检测到响应的安全闭环,为“东数西算”工程提供强有力安全支撑。

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

北京网御星云信息技术有限公司   京ICP备05080314号-1