云原生安全方案介绍

方案介绍

　　安全狗云原生应用安全解决方案(CNAPP, Cloud-Native Application Protection Platform)采用主机安全Agent和安全容器相结合的技术，既落地了“安全左移”的概念，又能对云原生容器做全面保护，同时能灵活地跟容器编排体系相结合，是云原生应用安全最佳实践。

　　在整个云原生容器的安全生命周期中，安全狗的云原生应用安全解决方案采用自动检测、自动分析、自动处理的方式来防御整个容器生命周期中所遇到的安全威胁、做好云原生网络安全隔离。在防护技术上使用智能检测、机器学习与威胁预测等先进的方法来确保容器化基础设施及容器内应用安全。

 

　　1、在制品安全中，能有效覆盖软件成分分析等代码安全;交互式应用安全检测(IAST);动态应用安全检测(DAST)等镜像安全。

　　2、在云基础设施安全中，能有效覆盖基础设施即代码(IAC)安全;Kubernetes安全态势管理(KSPM)以及云安全态势管理(CSPM)。

　　3、在运行时安全中，能有效覆盖WEB安全防护、API安全防护、应用拒绝攻击保护等WEB应用和APP保护(WAAP);网络微隔离;云上工作负载保护(CWPP)。

方案优势

　　解决问题

　　打造DevSecOps阶段的安全左移

　　建立全境像阶段的检查系统

　　建立多维度容器运行时检测

　　打造风险、流量联动的网络集群安全

方案特点

　　全面可视化

　　威胁快速检测与响应

　　快速推动合规

　　联动防御

　　关键技术创新

　　全面细粒度自动化资产管理能力强

　　细粒度精准资产采集补全安全分析所需要素数据，同时解决无法支持0～1Day排查、软件供应链风险评估、容器安全事件与资产漏洞和资产行为的关联溯源等问题。

　　满足金融级环境高稳定、低消耗的苛刻要求

　　通过金融级“N合1”轻代理与安全组件自身资源管控算法，在一些内核版本不支持Cgroup和单纯的CPU资源控制的应用场景中能够对进程CPU资源占用率实现有效控制，用户可根据自身业务需求设置主机安全Agent的资源控制策略，有效提高了CPU资源利用率，保障关键业务能分配到足够资源。基于该算法，客户端Agent安在几乎涵盖所有传统安全防护功能的同时，预期做到单核CPU <5%，峰值<8%。

　　云原生场景恶意软件和新型高级威胁检测能力强

　　通过使用人工智能技术检测未知、混淆、加密的webshell，在保持低误报的同时具有高准确率且具备对识别结果的解释性;使用机器学习技术对系统命令日志进行审计，发现高危命令和其他可疑命令操作;使用云原生运行时自保护技术检测内存马等新型威胁;对多源数据进行分析，检测容器逃逸攻击，实现全面云原生高级威胁检测。总体上，此方案产品对MITRE ATT&CK战术威胁的覆盖率预期达到92%以上，其中，对webshell的检测的准确率和召回率预期达到98%以上，恶意命令检测误报率预期低于5%。

　　云原生场景恶意软件和新型高级威胁检测能力强

　　已实现对飞腾、兆芯、海光、鲲鹏等CPU以及银河麒麟、中标麒麟、统信操作系统UOS等信创平台的全面兼容适配，有效推动信创生态网络安全的发展。

　　优势

　　实现对云原生容器全生命周期安全的全覆盖

　　通过提供基础设施安全、镜像构建分发安全、运行时安全、应用安全以及网络安全管理，实现云原生容器全生命周期安全管理。通过支持多集群的管理和业务可视化，web平台和Agent的全容器化最大兼容云原生特性，助力企业达到云原生容器安全标准。

　　实现企业级云原生流量访问控制

　　满足银行、电力、国家关键云基础设施运营者核心业务应用的安全隔离和访问控制要求、合规监管要求，并与国产信创环境兼容。通过提供性能好、稳定性强的企业级云原生流量访问控制技术，为行业关键信息基础设施核心业务系统云原生化改造升级提供良好的安全环境。

　　实现对新型高级攻击威胁的有效防护

　　提高了对应用层面有漏洞攻击及内存Web后门攻击;容器层面有容器逃逸攻击;主机层面有命令执行等后渗透攻击，以及很多0 day漏洞利用威胁等云原生工作负载新型高级攻击威胁的应对能力，弥补了传统检测技术防护能力低的缺陷。

　　实现对异构多芯国产化支持

　　完成与飞腾、兆芯、海光、鲲鹏等CPU以及银河麒麟、中标麒麟、统信操作系统UOS等信创平台、主流专用国产系统的兼容性认证，全面拥抱异构多芯，支持我国自主研发国产化发展。