德迅蜂巢帮您解决企业云上安全，防护恶意网络攻击，提供容器安全

 伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。随着企业逐渐转向云端部署和容器化应用，云原生安全也成为企业所需要考虑的安全问题。

而在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。 

一.为什么容器安全很重要

随着世界各地的组织向容器化基础设施过渡，越来越多的关键工作负载在容器中运行，使它们成为攻击者的主要目标。受损的容器可能会威胁到业务连续性、客户数据丢失或被盗的风险，并可能使公司面临合规风险。

容器安全的一个基本问题是容器所基于的图像。每个容器都是从镜像创建的，镜像中的任何文件或软件组件都由从它创建的所有容器继承。如果图像包含软件漏洞或恶意文件，攻击者将能够破坏生成的容器。这使得使用来自可信来源的经过审查的图像变得至关重要，并在开发生命周期的所有阶段扫描图像以确保它们安全且未被篡改。

二.容器安全挑战

以下是主要的容器安全挑战：

1.容器特权——容器应该以非特权模式运行，不能访问其隔离环境之外的资源。然而，实际上，容器可以使用比所需更多的权限进行部署，从而使整个环境面临安全风险。

2.不安全的镜像——容器镜像是构建容器的基础。图像使您能够重用图像组件，而不是不断地从头开始构建新的容器。但是，镜像及其依赖项可能存在漏洞，当您使用不安全的镜像构建容器时，会给环境带来安全风险。

3.无限通信——容器必须进行通信才能实现其目标。您可以通过允许容器仅与最少数量的容器通信来最小化攻击面。但是，生产环境包含许多微服务和临时容器，因此很难实施遵守最小权限原则的网络或防火墙规则。

4.运行流氓或恶意进程的容器——容器在庞大环境中的平均寿命可能为数小时或数分钟，因此难以有效监控环境。容器的快速流失使得几乎不可能手动监控在任何给定时间运行的容器进程。它不提供识别恶意或不必要进程所需的可见性。

5.开源代码——开源代码会给环境带来安全威胁。例如，开源组件可能包含具有已知漏洞的依赖项，从而使组织面临威胁。

6.合规性——开发环境非常快速且不断发展。因此，实施合规性检查变得困难。因此，您无法准确评估合规状态并确保您遵守所有相关要求。

7.缺乏标准化——遗留安全标准包括组织难以将其应用于容器的过时方法。因此，许多人使用多种安全标准和越来越多的工具。然而，这些标准和工具增加了复杂性而不是提供安全覆盖。

8.缺乏专业知识——缺乏熟练的专家和容器工具的陡峭学习曲线可能导致容器环境配置不当。

 

三.德迅蜂巢（容器安全）有什么作用

德迅蜂巢原生安全平台由德迅云安全自主研发，能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

德迅蜂巢·云原生安全平台的核心架构理念：

在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全

在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应

德迅蜂巢主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力。

产品功能的提现

一.资产清点：德迅蜂巢可以清晰地盘点工作负载本身的相关信息，此外，还能够实现不同工作负载之间的关系可视化，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。

1.容器资产种类全面盘点：支持容器、镜像、Registry、主机、POD等容器资产快速清点，为用户提供容器内资产的分类视图，实现容器资产的全面可视化。

2.容器资产内容深度识别：对每类资产进行深入分析，获取资产相关的高价值安全数据，帮助用户从安全角度细粒度观察资产运行状况。

3.自动化、持续性容器资产清点：自动化、持续性容器资产清点

二.镜像扫描：德迅蜂巢的镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

1.持续的镜像补丁检测能力：持续更新漏洞数据库，并与集群中的容器镜像进行匹配。一旦发现任何新镜像补丁信息，用户将收到通知，而不必定期重新扫描。

2.全面的补丁数据呈现：深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

3.灵活快速的检索方式：客户可根据需求灵活显示列表数据，定义表格显示。系统提供基于安全场景的筛选方式，如支持按 CVE 编号进行检索等，帮助用户迅速定位镜像和其安全补丁信息。

三.微隔离：德迅蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。

1.提供业务视角的网络拓扑关系：基于实际业务的⼯作负载可视化展示容器间的访问⾏为，清晰展示网络拓扑关系，方便运维和安全人员理解。

2.覆盖各种云原生场景的隔离策略：

集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。

集群间网络隔离
可设置基于集群与非容器集群，集群与外部网络之间的隔离策略。

纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

3.提供“告警”模式，让用户放心设置策略：提供“告警”模式，让用户放心设置策略

4.全面适配云原生的网络环境：全面适配云原生的网络环境

四.入侵检测：德迅蜂巢通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

1.基于已知威胁进行检测：德迅蜂巢通过监控容器内的进程创建、文件变化等行为，获取行为特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell等攻击行为。

2.基于恶意行为进行检测：以ATT&CK框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立IOC模型进行分析，能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

3.基于异常行为进行检测：通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁。

五.基于异常行为进行检测：通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁。

1.一键任务化检测，基线检查结果可视化呈现：用户可快捷创建基线扫描任务，根据检测需要，自行选择需要扫描的容器和基线，基线检查结果可视化呈现。

2.基于Docker基线多维检查：根据CIS Benchmark最佳实践方案，从运行时容器、镜像、主机三个维度，对各类容器配置问题进行检查

3.基于Kubernetes基线多节点检查：根据CIS Benchmark的规范，定时对k8s的master节点、worker节点进行基线检查。扫描完成后，即可查看每个扫描详情以及扫描结果

容器技术为开发和部署提供了更大的灵活性和效率，容器安全问题也需要得到充分重视。通过采取适当的安全实践，使用受信任的镜像，定期更新和监控容器，以及使用容器安全工具，企业可以最大限度地保护其容器免受攻击和漏洞的影响。在容器化的时代，确保应用安全性的重要性不言而喻。