在云原生的环境下
守护容器安全,就好比守护一架飞机远航
除了对基础行李、乘客的检查
还需要确保飞行器、航线等的安全
程序不停,监测不断!
在这些难题面前
很多传统安全厂商
要么防护手段因循守旧,顾头不顾尾
要么是侵入式部署,“体型”太重,容器扛不动
威胁没防住,系统先歇菜了
换句话说,旅游旺季客流量大
靠盲目增加安保人员来提高安全性
那安保人员的冗余只能带来交通滞后
传统安全厂商在向云原生防护靠拢时
只考虑到了在运行时进行容器防护
然而在左移开发阶段
开发人员便会引入
dockerfile、yaml等编排文件和镜像等资产对象
新引入的对象会产生新的威胁风险
这便是传统防护模式无法覆盖的左移阶段
其实把♾️️拉平,无非包含四个阶段:
Dev:安全开发阶段、安全测试阶段
Ops:安全管理阶段、安全运营阶段
下药一定要对症
云原生的问题要用云原生的法子来解决
具备云原生基因的牧云(CloudWalker)在此时杀出重围
牧云(CloudWalker)云原生安全平台的
重要产品能力贯穿DevOps始终
首推双模探针技术
实现云原生安全的全生命周期管理!
看得更全 盘得更细
不仅可以知道当前业务使用了哪些镜像
还可以顺藤摸瓜
理清镜像-容器-Pod-集群关联链路
对于“哪些资产需要安全保护”
客户能够通过牧云(CloudWalker)
做到“心里跟明镜儿似的”
轻松扫描 稳准狠
说白了就是一条研发测试流程
优秀的人(是的,是我)会在这个流程上设置卡点
通过“准入+准出”机制来控制风险
告别一切混水摸鱼的行为
对于安全部门来说
往往需要花费大量的时间去推动业务部门进行配置
付出大量时间心力不说,还难以保证效果
而长亭牧云(CloudWalker)镜像扫描的最大特点是:
旁路模式下的探针不需要部署在业务服务器上。真正意义上做到了零侵入和零干扰,在保证及时捕捉安全风险的同时保证业务稳定性。基于远程扫描模式,无需单独配置宿主机/node探针,即可覆盖90%前置安全风险。
云原生对象粒度丰富,牧云(CloudWalker)在提供旁路安全扫描的同时,提供了高扩展性,分布式扫描高效灵活,保证各类业务场景覆盖率达到99%;此外牧云(CloudWalker)提供多种场景下的编排文件、制品扫描,覆盖镜像漏洞检测、敏感信息检测、RBAC检测等多种风险。
自动监听流水线中的镜像构建并进行安全扫描,全局策略保证资产无遗漏,自定义参数策略可满足不同业务场景的需求。
环境持续监测
业务上线后,安全环境变得捉摸不透
该场景下,更强调对容器环境的
持续监测和应急响应处理的自适应能力
而这方面
得益于双模探针的运行模式自然不在话下
持续监控分析容器运行状态,提供多锚点的检测能力,能够实时、准确地感知入侵事件并可视化攻击链路,发现失陷容器可立即进行暂停、移除等响应操作。
针对容器逃逸,这类会直接影响到承载容器的底层基础设施保密性、完整性、可用性的问题,长亭牧云(CloudWalker)支持检测各类可疑行为:
在真实的业务场景中,网络的访问是错综复杂的,长亭牧云(CloudWalker)支持网络流量可视化功能,通过 K8s api server+ ebpf 等组合拳实现服务发现等功能,自动发现进程、容器、POD、主机之间的网络连接并采用雷达拓扑图展示。
基于网络拓扑图的流量访问关系,结合自身业务需求设置隔离策略,同时可以对已识别的有风险的流量设置隔离策略,阻断这个恶意流量访问。
集群行为千千万,风险行为占一半。
对于集群内攻击者横向渗透,创建特权 Pod 等风险行为,牧云(CloudWalker)支持快速检测。覆盖集群所有行为并对API Server日志进行安全审计,通过对每一次请求的行为进行审计,从而达到加固集群的目的。
精准绞杀问题配置
不仅一键即可完成检测,同时支持快速复测,提供详细的检查项修复建议,支持自定义检查项内容,保障持续性基线扫描
通过一系列操作
牧云(CloudWalker)完美实现了云原生安全
这么一套防护系统
你还怕不能适应云原生吗?
此外,在部署云原生安保战队的实战中,
牧云(CloudWalker)可适用于多种云原生场景
也就是说
不论是公有云、容器云、私有云...
都能部署咱牧云(CloudWalker)!
云原生、国产化时代
我们见证着一批又一批兴起的新概念
一边不遗余力的跟上时代的脚步
一边暗自担心是否会被淘汰
不要急不要慌更不要焦虑
如同机场安保人员守护飞行安全
在不可测而云波诡谲的云环境中
牧云(CloudWalker)只想
还各位一片碧空如洗
祝各位“旅途”愉快啊!