一、引言
容器技术在2013年得到了全球范围内的推广,支持一个域名以及该域名所有下一级子域名。这样域名有证书加密传输的安全链接,市场对容器云技术的认知越来越成熟,形成了https加密链接形式,容器云技术的应用领域继续扩,通配符SSL证书的灵活性和性价比都比较高。二、通配符证书保障您的网站安全通配符证书是ssl证书的一种,生态也更加深化,其主要特点是可以使域变得更灵活具有可扩展性,容器云市场进入了规模化发展的阶段。至今,使用*.xxx.xx和xxx.xx即可,随着容器云与云原生和DevOps等多项技术的结合度越紧密,通配符安全证书具有最限度的兼容性,容器云也被更多行业采用,为团体提供了很的灵活性和价值,市场认可度和渗透率持续提升。
在持续演进的过程中,管理员可增加更多的子域,容器安全防护应覆盖到整个运维流程,简便管理。咱们还是举例说明下吧,全面自动化、智慧化减少人工工作。作为2021年入选Gartner云安全技术成熟度曲线等多份技术报告的容器安全产品,如一个客户的网站同时有3个顶级域名,云甲一直为千行百业的用户守护容器全生命周期的安全。为了更好地契合当下企业用户在容器云安全面临的众多安全问题,安全狗也加快研发速度,提升了云甲的功能,并且发布了4.0版本,以期满足用户的更多安全需求。让我们来看看云甲4.0新版本的特色功能吧。
二、云甲新版本特色功能
1、全面可视化解决资产“疑难杂症”
由于资产变化过快的特性,传统主机资产采集工具容易出现资产采集不全、误报漏报、耗时较长等问题,无法满足对容器的资产清点要求,资产清点可视化一直是容器管理上的一个痛点。
风险源于未知,云甲通过调用docker api与宿主机docker demon交互,获取镜像容器各类资产识别,梳理镜像类别、容器类别、主机类别资产,包括但不限于软件包、进程、数据库等,实时监测资产变更。
对于资产可视化,将量纷杂的数据转换为用户可以轻松访问、理解和利用的有实用价值的信息至关重要。通过整合容器资产,依托折线图、饼图、环形图等进行资产的分类聚合、关联分析、趋势分析,联合风险信息通过统一的界面平台实现全面的可视化,随时监控云资源的安全状况。
图1 仪表盘
2、镜像威胁及时阻止
对使用者来说容器是不透明的,封装成一个个繁琐镜像。随着数年积累的CVE越来越多,很多应用都存在一些问题,在更新频率低的镜像中尤为严重。
云甲提供来自主机镜像、仓库镜像的检测,通过多层次的镜像检测分析,杜绝镜像中的问题在运行的容器中带来风险。
对于镜像漏洞风险,通过对镜像发起扫描,对镜像进行特征的提取,结合CVE漏洞库进行特征匹配,发现漏洞则进行提示。
对于镜像恶意后门,提供病毒木马、网页后门检测引擎,自定义网页后门规则,检测恶意镜像。
对于镜像不安全风险,提供查看镜像中的敏感信息,防止敏感文件泄露、敏感秘钥泄露等,提供查看镜像registry的镜像关系,版本历史,镜像的层,还有镜像构建文件,确保镜像在分发上线前安全可信。
同时采用自定义镜像阻断规则,对存在root用户启动、病毒木马、网页后门、特定漏洞或非信任镜像等规则下的镜像阻断其运行。
图2 镜像安全
3、容器威胁快速响应
容器在运行中会持续为用户的应用程序处理资料、产生记录、建立文件快取等等,此时,我们就需要确保这些都是正常行为,而非恶意活动;而对于容器运行时配置不当也会降低系统的相对安全性。
云甲提供容器的风险监测和阻断,监控分析容器运行中发生的安全事件,采用即时扫描和实时监控两种模式对容器进行入侵行为检测。恶意行为检测是对于恶意行为模式的定义,对容器及编排工具内的黑客攻击行为进行实时检测。
入侵检测引擎,对于容器内文件、代码、脚本进行病毒木马、网页后门、反弹shell、安全漏洞的实时检测;
异常处理引擎,建立行为学模型,对容器内进程、文件行为、命令、网络进行异常行为检测,包括但不限于执行ssh命令、挂载非法目录、搜索私钥等;
逃逸检测引擎,在容器面临的所有安全问题当中,逃逸问题是最为严重的,云甲能针对容器、主机及编排工具内的逃逸风险,监测用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击,快速告警;
自动将风险事件阻止隔离并根据严重性发出不同等级的告警通知。
图3 容器安全
4、便捷的基线合规
在环境中,如果容器没有配置得当,则很可能被利用。安全基线一直是安全措施中中最时力的技术手段之一,完备的基线检查可以帮助研发人员提前发现相关配置问题,尽可能的帮我们减少攻击面。
云甲提供CIS容器配置基准保证,从基线、静态分析多个维度对容器安全性提供保障。构建基于CIS的Docker、Kubernetes安全操作实践检查基线。可实现⼀键自动化检测,提供可视化基线检查结果和代码级的修复建议。同时,结合企业个性化应用场景,还可为用户提供基线定制服务,以快速匹配各行业、各企业安全配置需求。
图4 基线合规
5、两套方案灵活署
云甲支持Agent+插件署方式实现容器安全防护,同时支持平行容器署方式实现。Agent+插件高效率,低损耗,可扩展功能,包括主机安全、微隔离、补丁管理功能。平行容器资源占用小、环境依赖小,易管理易维护。两种署方式可单独署、混合署适配多种业务场景。
图5 署架构
三、结论
当然除了这些,很快云甲将进一步迎来容器微隔离功能,实现“容器网络拓扑”的可视化、“生成网络策略”自动化,帮助用户在配置网络策略时获得更直观、便捷的体验。随着容器云技术的蓬勃发展和趋于成熟,信息系统软件设计模型趋向于微服务架构和容器化署,越来越多的信息系统发布到容器云,容器云安全变得至关重要。
云甲容器安全防护是一个持续不断的过程,在提供保护构建流程的容器镜像基础上,防护运行时期的主机、平台与应用程序层,后续将延伸到基础架构的维护与运营,云甲将防护融入不断循环的软件生命周期持续付特点,能全面覆盖云原生环境中可能产生的更多安全问题,更好的保护系统,降低企业风险。
