2023年了，云原生安全怎么做？

在云原生的环境下

守护容器安全，就好比守护一架飞机远航

除了对基础行李、乘客的检查

还需要确保飞行器、航线等的安全

程序不停，监测不断！

在这些难题面前

很多传统安全厂商

要么防护手段因循守旧，顾头不顾尾

要么是侵入式部署，“体型”太重，容器扛不动

威胁没防住，系统先歇菜了

换句话说，旅游旺季客流量大

靠盲目增加安保人员来提高安全性

那安保人员的冗余只能带来交通滞后

传统安全厂商在向云原生防护靠拢时

只考虑到了在运行时进行容器防护

然而在左移开发阶段

开发人员便会引入

dockerfile、yaml等编排文件和镜像等资产对象

新引入的对象会产生新的威胁风险

这便是传统防护模式无法覆盖的左移阶段

其实把♾️️拉平，无非包含四个阶段：

Dev：安全开发阶段、安全测试阶段

Ops：安全管理阶段、安全运营阶段

下药一定要对症

云原生的问题要用云原生的法子来解决

具备云原生基因的牧云（CloudWalker）在此时杀出重围

牧云（CloudWalker）云原生安全平台的

重要产品能力贯穿DevOps始终

首推双模探针技术

实现云原生安全的全生命周期管理！

上看：颗粒级的资产清点

看得更全 盘得更细

不仅可以知道当前业务使用了哪些镜像

还可以顺藤摸瓜

理清镜像-容器-Pod-集群关联链路

对于“哪些资产需要安全保护”

客户能够通过牧云（CloudWalker）

做到“心里跟明镜儿似的”

左看：高效率的镜像扫描

轻松扫描 稳准狠

说白了就是一条研发测试流程

优秀的人（是的，是我）会在这个流程上设置卡点

通过“准入+准出”机制来控制风险

告别一切混水摸鱼的行为

对于安全部门来说

往往需要花费大量的时间去推动业务部门进行配置

付出大量时间心力不说，还难以保证效果

而长亭牧云（CloudWalker）镜像扫描的最大特点是：

1、扫得轻松：远程扫描，扫描过程零侵入

旁路模式下的探针不需要部署在业务服务器上。真正意义上做到了零侵入和零干扰，在保证及时捕捉安全风险的同时保证业务稳定性。基于远程扫描模式，无需单独配置宿主机/node探针，即可覆盖90%前置安全风险。

2、扫得狠：分布式扫描，多种风险快速扫

云原生对象粒度丰富，牧云（CloudWalker）在提供旁路安全扫描的同时，提供了高扩展性，分布式扫描高效灵活，保证各类业务场景覆盖率达到99%；此外牧云（CloudWalker）提供多种场景下的编排文件、制品扫描，覆盖镜像漏洞检测、敏感信息检测、RBAC检测等多种风险。

3、扫得全：CI/CD扫描，自定义参数，全局策略

自动监听流水线中的镜像构建并进行安全扫描，全局策略保证资产无遗漏，自定义参数策略可满足不同业务场景的需求。

右看：自适应的持续响应

环境持续监测

业务上线后，安全环境变得捉摸不透

该场景下，更强调对容器环境的

持续监测和应急响应处理的自适应能力

而这方面

得益于双模探针的运行模式自然不在话下

入侵检测：不仅能准确感知，还提供响应手段

持续监控分析容器运行状态，提供多锚点的检测能力，能够实时、准确地感知入侵事件并可视化攻击链路，发现失陷容器可立即进行暂停、移除等响应操作。

容器逃逸：快速发现、快速分析、快速响应

针对容器逃逸，这类会直接影响到承载容器的底层基础设施保密性、完整性、可用性的问题，长亭牧云（CloudWalker）支持检测各类可疑行为：

1. privileged特权模式运行容器引起的逃逸
2. 危险挂载导致的容器逃逸
3. 内核漏洞导致的容器逃逸

网络可视化：卡点拦截、无处可逃的恶意流量

在真实的业务场景中，网络的访问是错综复杂的，长亭牧云（CloudWalker）支持网络流量可视化功能，通过 K8s api server+ ebpf 等组合拳实现服务发现等功能，自动发现进程、容器、POD、主机之间的网络连接并采用雷达拓扑图展示。

基于网络拓扑图的流量访问关系，结合自身业务需求设置隔离策略，同时可以对已识别的有风险的流量设置隔离策略，阻断这个恶意流量访问。

日志审计：自定义审计规则，哪里想审，审哪里

集群行为千千万，风险行为占一半。

对于集群内攻击者横向渗透，创建特权 Pod 等风险行为，牧云（CloudWalker）支持快速检测。覆盖集群所有行为并对API Server日志进行安全审计，通过对每一次请求的行为进行审计，从而达到加固集群的目的。

下看：精准合规基线检测

精准绞杀问题配置

不仅一键即可完成检测，同时支持快速复测，提供详细的检查项修复建议，支持自定义检查项内容，保障持续性基线扫描

通过一系列操作

牧云（CloudWalker）完美实现了云原生安全

这么一套防护系统

你还怕不能适应云原生吗？

此外，在部署云原生安保战队的实战中，

牧云（CloudWalker）可适用于多种云原生场景

也就是说

不论是公有云、容器云、私有云...

都能部署咱牧云（CloudWalker）！

云原生、国产化时代

我们见证着一批又一批兴起的新概念

一边不遗余力的跟上时代的脚步

一边暗自担心是否会被淘汰

不要急不要慌更不要焦虑

如同机场安保人员守护飞行安全

在不可测而云波诡谲的云环境中

牧云（CloudWalker）只想

还各位一片碧空如洗

祝各位“旅途”愉快啊！