如果云更安全 为什么还是被入侵？

很多资深的安全专业人士都知道，许多甚至是大多数正在运行的容器具有高危或严重漏洞。令人更为不解的是，这些漏洞很多都已经有了可用的补丁，因此可以(但尚未)修复。但云不应该是更安全吗？

坏习惯在云上延续

把本地的信息系统迁移到云端，并不可意味着原来的工作环境或流程瞬间就得变得高效易用，安全更是如此。事实上，安全往往是人们最不想解决的问题，因为它往往会拖慢或影响业务。

以多因素身份验证(MFA)为例。太多的人都知道，或者至少听说过，信息系统的安全访问应该实施MFA。安全公司Falcon的Sysdig数据显示，48%的机构没有对root权限的账户启用MFA。此外，27%的机构使用root帐户做管理任务，这明显违反了所有的安全基准的建议。

身份和访问管理(IAM)是最关键的云安全控制之一，我们应该围绕它开发新的、云原生的流程。云团队应该创建适用于特定任务的IAM角色，禁止额外的权限，以及对使用人进行角色培训。不管怎样，启用MFA吧！

不完整的安全左移

复杂的流程转换需要时间，而且通常要分阶段进行。数据显示，48%的镜像首次漏洞扫描是在CI/CD管道中或容器注册表中进行，也就是说，在部署运行之前。

这个数据意味着许多企业已经开始“安全左移”。但另一方面，意味着更多的企业(52%)是在镜像运行时才做第一次扫描，耽误了潜在关键漏洞的发现。

部分原因是我们仍然倾向于推迟安全评估以节省时间。另一种可能的解释是，工作负载的一个子集并未包括在“左移”任务中。具体来说，许多不包含组织创建的自定义代码的第三方应用程序，都属于这一类。

这两种情况，虽然 左移”都在发生，但并不完全。最先进的团队正在使用他们的CI/CD管道测试所有工作负载的安全性，包括基础设施组件，如主机、集群、容器等的部署清单。

风险也应该左移

当我们谈论对风险的接受时，通常会认为这是最后的手段。“在这一点上我无能为力，所以我将其记录下来，然后一切交给上帝。”

然而，越早发现风险来源，就越有能力为其制定有效的缓解措施。我们可能最终仍会运行有着关键高危漏洞的容器，但如果我们积极考虑与这些漏洞相关的风险，并实施控制措施来降低风险，安全态势可能就不会那么糟糕。

当大家越来越担心软件供应链的安全性时，有必要考虑一下，那些第三方组件中有多少运行时漏洞，即使这些三方组件我们的软件可能都没有使用。

在软件交付过程的早期，识别易受攻击的依赖关系可以节省大量时间，并极大的降低风险暴露。我们无法修复所有的漏洞，但许多漏洞可以通过额外的安全控制进行管理。至少，应该记录在案，以便于查看。

容器安全能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。核心架构理念在于：

在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全

在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应

主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力。

一、资产清点

可以清晰地盘点工作负载本身的相关信息，此外，还能够实现不同工作负载之间的关系可视化，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。

1.细粒度梳理关键资产

2.业务应用自动识别

3.资产实时上报

4.与风险和入侵全面关联

二、镜像扫描

镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.覆盖容器全生命周期

2.全方位检测

3.镜像合规检查

4.X86、ARM 架构镜像全栈适配

三、微隔离

微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。

1.业务视角展示网络拓扑关系

2.云原生场景的隔离策略

3.适配多种网络架构

4.告警模式业务0影响

四、入侵检测

通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意行为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

1.威胁建模适配容器环境

2.持续地监控和分析

3.威胁告警快速响应处置

4.提供多种异常处理方式

五、合规基线

构建基于CIS Benchmark的最佳安全操作实践检查，帮助企业实施和完善容器合规规范，可实现一键自动化检测，并提供可视化基线检查结果和代码级修复建议。

1.CIS标准

2.一键自动化检测

3.基线定制开发

4.代码级修复建议