云計算的深入發(fā)展和IT技術(shù)架構(gòu)變革，IT系統(tǒng)云化已成為必然選擇，容器技術(shù)因占用資源少、部署速度快和便于遷移，廣受政企單位青睞，然而在容器技術(shù)得到廣泛應(yīng)用的同時，容器安全問題引起用戶的強烈關(guān)注，成為用戶應(yīng)用的最大擔(dān)憂。

　　憑借在容器安全以及云原生安全領(lǐng)域的多年研究、實踐運營經(jīng)驗，啟明星辰集團于近日重磅發(fā)布容器安全管理平臺，助力用戶實現(xiàn)云原生安全落地，這也是集團在云原生安全領(lǐng)域一次具有里程碑意義的重大突破。

　　七大功能齊發(fā)，容器全生命周期安全防護

　　產(chǎn)品架構(gòu)

　　在全生命周期防護、安全左移等設(shè)計原則的指導(dǎo)下，啟明星辰集團容器安全管理平臺在構(gòu)建階段對鏡像進行安全掃描;在分發(fā)階段對進行防篡改，阻止不安全的鏡像運行;在容器運行時對異常行為進行檢測與防護，對容器網(wǎng)絡(luò)進行微隔離，對節(jié)點和微服務(wù)安全進行掃描與防護;在全流程中對容器和基線進行合規(guī)檢查，從全局視角對資產(chǎn)、網(wǎng)絡(luò)和安全情況進行可視化展示。

　　針對用戶容器安全的痛點問題，啟明星辰容器安全管理平臺從鏡像、容器、集群、物理環(huán)境等方面著手，通過容器資產(chǎn)發(fā)現(xiàn)、安全可視化、無縫嵌入DevOps流程等方式，可以為用戶提供資產(chǎn)管理、鏡像安全、集群合規(guī)、運行時安全、容器微隔離、微服務(wù)治理和CI/CD集成等七大功能，實現(xiàn)對容器全生命周期的全局化、自動化安全管控。

　　癥狀一：容器的多樣化、網(wǎng)絡(luò)的復(fù)雜化導(dǎo)致資產(chǎn)梳理變得困難。

　　解決方案：【資產(chǎn)管理】自動梳理資產(chǎn)實現(xiàn)風(fēng)險可視管理

　　梳理內(nèi)容主要包括容器的梳理、容器網(wǎng)絡(luò)的梳理、容器標(biāo)簽的梳理、編排平臺的梳理、鏡像資產(chǎn)的梳理、鏡像倉庫的梳理、微服務(wù)的梳理等，并且需要根據(jù)業(yè)務(wù)和環(huán)境的變化而自動變化，關(guān)聯(lián)安全風(fēng)險，提供實時資產(chǎn)結(jié)果。

　　癥狀二：容器基礎(chǔ)鏡像來源復(fù)雜，鏡像漏洞可能引發(fā)嚴(yán)重的安全風(fēng)險。

　　解決方案：【鏡像安全】掃描鏡像風(fēng)險阻斷危險鏡像運行

　　能夠?qū)︾R像中的惡意軟件、木馬、病毒等各項安全風(fēng)險進行安全檢測，提供檢測報告，并幫助用戶修補漏洞。同時阻止高危鏡像進行運行并在鏡像傳輸過程中進行防篡改，避免引發(fā)嚴(yán)重的安全風(fēng)險。

　　癥狀三：容器集群環(huán)境配置復(fù)雜，易暴露攻擊面。

　　解決方案：【集群合規(guī)】保障容器和集群引擎的安全合規(guī)

　　根據(jù)CIS標(biāo)準(zhǔn)及自定義標(biāo)準(zhǔn)，對容器和集群中各組件進行安全配置掃描，包括docker引擎、控制平面組件、etcd、控制平臺配置、節(jié)點配置、策略等，幫助用戶進行合規(guī)配置。

　　癥狀四：組件爆發(fā)式增長為應(yīng)用防護能力提出更高要求。

　　解決方案：【運行時安全】監(jiān)測隔離容器運行時異常行為

　　容器運行時的防護提供容器的實時入侵檢測，發(fā)現(xiàn)并阻斷異常行為，包括容器逃逸，反彈shell，敏感文件訪問，暴力破解等。并支持自定義運行時安全策略與威脅情報聯(lián)動，保障容器安全運行。

　　癥狀五：容器業(yè)務(wù)依賴關(guān)系十分復(fù)雜，未知威脅可能蔓延，需要細(xì)粒度的管控。

　　解決方案：【容器微隔離】細(xì)粒度網(wǎng)絡(luò)隔離防止威脅擴散

　　提供基于容器或業(yè)務(wù)的多維網(wǎng)絡(luò)隔離能力，包括對容器、服務(wù)、pod、lable的隔離等，

　　提供可視化網(wǎng)絡(luò)拓?fù)?，并且提供自適應(yīng)、自遷移、自維護的網(wǎng)絡(luò)隔離策略以便于對容器的網(wǎng)絡(luò)環(huán)境進行細(xì)粒度的管控。

　　癥狀六：單體應(yīng)用拆分導(dǎo)致端口數(shù)量暴增，攻擊面大幅增，連鎖攻破風(fēng)險高。

　　解決方案：【微服務(wù)安全】發(fā)現(xiàn)微服務(wù)漏洞阻止風(fēng)險傳播

　　包括微服務(wù)的梳理與自動發(fā)現(xiàn)，對微服務(wù)API進行安全掃描，發(fā)現(xiàn)微服務(wù)風(fēng)險，提供檢測報告，并幫助用戶修補風(fēng)險。同時對微服務(wù)進行網(wǎng)絡(luò)隔離，防止連鎖攻破，保障微服務(wù)安全。

　　癥狀七：云原生場景的CI/CD過程能夠自動完成持續(xù)的集成和持續(xù)的部署，因此在容器安全技術(shù)中對CI/CD過程的集成十分關(guān)鍵。

　　解決方案：【CI/CD集成】無縫融合DevOps實現(xiàn)安全左移

　　對如Jenkins、Bamboo等CI/CD工具進行集成，對編譯出的鏡像自動進行鏡像漏洞掃描，并提供鏡像掃描報告，配合CI/CD工具實現(xiàn)基于鏡像安全基線的合規(guī)審計和告警，并提供修改建議。

　　云原生架構(gòu)給安全防護帶來了前所未有的挑戰(zhàn)，容器安全作為云原生安全的技術(shù)底座，對云原生安全起到了重要的支撐作用。啟明星辰集團容器安全管理平臺可適用于容器云、PaaS平臺安全防護容器云、PaaS平臺行業(yè)標(biāo)準(zhǔn)合規(guī)以及多租戶、多集群、多倉庫容器安全等豐富應(yīng)用場景，全力保障容器在構(gòu)建、部署和運行整個生命周期的安全。

　　未來，啟明星辰容器安全管理平臺將結(jié)合前期發(fā)布的云安全管理平臺、云負(fù)載安全防護平臺、一體化安全資源池、SaaS化服務(wù)，云內(nèi)虛擬化安全能力等系列云安全解決方案，逐步形成啟明星辰完備的云安全防護體系，助力用戶安全的實現(xiàn)云原生轉(zhuǎn)型，并實現(xiàn)云邊界、租戶邊界、域邊界、虛擬機邊界到容器邊界的整體縱深防御體系，為用戶提供完整的、細(xì)粒度的、智能的云安全解決方案，讓用戶安全上云，安心上云。