多维度全面防护
NeuVector 从多维度在运行时实时保护容器安全。功能包括网络应用级别的容器自动隔离,根据容器行为自 学习容器安全策略,检测容器内部异常进程,异常文件系统读写以及容器内部的权限越级等恶意行为。
NeuVector 还内置了主动防护功能来防止各种流行的网络攻击
,比如 SlowLoris DDoS,SQL Injection,DNS attack,SSH Heartbleed,Reverse shell 等。NeuVector 也同时通过监控容器主机的异常行为来达到全面容器生 产环境的防护。多矢量多角度的安全保护同时提供了大量的事件数据,从而能展现全面的攻击链信息。
在安全响应和管理方面,NeuVector 能够实时报警,阻断恶意行为,隔离容器或者服务,切断网络会话,自 动抓取网络会话和数据包用于安全分析以及证据提取。NeuVector 支持标准的 SIEM系统集成,支持 Webhook 以 及 Syslog,支持 REST API以及 CLI。
NeuVector 在 Docker/Kubernetes 平台之上提供高级安全功能来保障容器从开发、测试、运维到部署、升级、 生产的全流程安全。
StackRox
StackRox 利用分布式架构通过应用程序生命周期进行数据收集与分析,从而检测并阻止恶意攻击者,最终 解决容器化云原生应用程序的保护需求。StackRox 通过独特的分布式传感器组合以及集中式
分析与机器学习技 术提供持续检测能力,以便帮助用户立足容器速度与规模提供情境与关联信息。Adversarial Intent Model(AIM)是 StackRox 提出的产品设计思路。随着现代信息技术
的快速发展,传统的扫描、 补丁、阻止、监控、完成这一系列独立操作的安全手段似乎不能完全适用。StackRox 提出了从攻击者角度来制 定相应的防御策略,结合容器整体运行环境,以及攻击的五个周期环节,提出了多维度的威胁检测模型 AIM。
其公司产品分为 StackRox Prevent(预防检测)、StackRox Detect & Respon
d(监控和响应)。#### StackRox Prevent(预防检测)
该产品是一个基于多个维度,监控和分析容器在自动化部署时的安全性
和合规性的产品。通过构建容器安全 状况上下文配置文件,检测其是否使用了合适的控制以及配置措施,进而从初始阶段减小攻击面。StackRox Prevent 核心功能包括:
- Dashboard:展示整个容器集群、事件、镜像、安全配置、告警等全面的状况;
- 安全策略管理:创建、修改安全检测策略,在新漏洞公布后,重新评估更新安全策略;
- 合规检测:利用 CIS Benchmarks 对 Docker、Swarm、Kubernetes 进行基线扫描,确定当前环境配置 与安全基线之间的差距;
- 产品集成:能够与容器相关的平台或工具进行友好的集成。
STACKROX PREVENT API/UI
CONTAINER
BENCH APP APP STACKROX STACKROX STACKROX
PREVENT PREVENT PREVENT
SENSOR SENSOR SENSOR
CONTAINER BENCH CONTAINER APP CONTAINER APP BENCH APP APP
ONE PER HOST 
APP APP WHEN SCANNING
KUBERNETES CLUSTER DOCKER CLUSTER OPENSHIFT CLUSTER
图 5.17 展示了 StackRox Prevent 的部署使用逻辑图,主要分为感知器和处理器两个组成部分,每个组成 部分以容器方式部署在容器平台或编排平台。
其中感知器(Sensor Container)分布式部署在各个容器集群中,负责检测的执行,处理器(API/UI Container)是一个逻辑上的集中控制,通过 API与各个分布式部署的感知器进行控制和结果等信息的交互,并且 通过 UI展示给用户。
产品特点主要包括:
- 通过镜像漏洞、容器配置、主机和网络配置等丰富的环境数据,进行风险评估预测;
- 依据检测结果,快速生成综合分析报告,对风险进行量化和基准评估;
- 提供标准配置基线,同时支持自定义安全策略;
- 多种平台(DevOps、Orchestration、PaaS 等)和工具的适配支持 StackRox Prevent 目前已经完成了跟以下平台和工具的适配:
| 容器平台 | Docker Enterprise Edition, Google Kubernetes Engine (GKE), RedHat OpenShift |
|---|---|
| IaaS | Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Bluemix, Microsoft Azure, OpenStack, Oracle Cloud, virtual machines (KVM, Hyper-V, VMware, Xen), bare metal |
| 镜像仓库 | Docker Hub, Docker Trusted Registry (DTR), Tenable, Quay |
| 漏扫工具 | Docker Security Scanning, Tenable, Quay, CoreOS Clair |
| 身份管理 | Auth0 |
| 工作流 | Jira, Slack, e-mail |
| 92 |
StackRox Detect & Respond(监控和响应)
StackRox Detect & Respond 通过与容器或云平台的集成,为本地应用程序提供内置安全性,可化容器攻 击面,展示恶意活动,通过一种新的检测和响应方式阻止攻击。
StackRox Detect & Respond 核心功能包括:
- 攻击可化:通过部署的感知器,持续监控数百万个信号,发现每个容器在运行时存在的异常活动,并 且迅速从威胁来源对其进行处理;
- 攻击链分析:通过机器学习,确定攻击者如何获取访问控制权限、如何透过业务环境,最终实施攻击, 并对其根本原因进行深入分析;
- 威胁阻断:通过自动化阻断、隔离、限制威胁范围等方式,降低威胁造成的影响;
CONTAINER ORCHESTRATORS PLATFORMS 
PORTAL SIEM
APP APP STACKROX 
DATA PIPELINE CONTAINER ENGING 
OPERATING SYSTEM
SERVER
DIRECTOR(API SERVER)
CUSTOMER ENVIRONMENT
(on-premises or cloud)
ML DB
StackRox Detect & Respond 将全新的安全架构和持续监控、机器学习相结合,保护容器环境免受新的威胁 攻击,产品可以通过基于容器的微服务方式部署在任何基础设施之上。
图 5.18 展示了其逻辑图,总体上还是分为了两部分,在架构上和 Prevent 基本一致。在用户容器集群中, 通过部署 StackRox 实现数据采集、运行监控等,逻辑上集中的控制器(Director)通过收集到的数据,采用机器 学习的方式进行分析判断,并做出处理决策。至于机器学习方式是如何实现的、以及其准确度,暂时还没有看到 详细的说明。
95
产品特点主要包括:
- 深度的威胁可视化
资产可视化:发现集群中所有的容器,并且依据服务和应用对其进行分组分类,为威胁检测提供完整资产视图; 威胁可视化:低噪音的持续监控文件系统、网络、进程、以及容器事件相关内容,构成海量威胁监测点; 业务可视化:通过监控所有容器之间的通信行为,为异常监测和判断提供有效数据来源; - 自适应的检测与响应
广泛的监测范围:目前提供了 foothold、privilege escalation、persistence、lateral movement、objectives 五个维度的监测;
自动化机器学习:根据容器活动情况的变化,完全自动化的实现学习; 自动化编排响应:通过阻断未授权指令、终止系统调用、隔离等方式,对发现的威胁进行自动化的响应处理; 策略可定制:StackRox 提供通用的预配置模板,当然用户也可以根据自身的业务工作流,定制化自己的防
护策略;
告警上下文:能够提供详细的安全事件上下文信息,以便更准确的进行威胁响应的决策; - 快速部署、管理简单
StackRox Detect & Respond 可以直接部署在用户现有的工具链或编排系统上,和其它的容器进行统一的管 理和编排。StackRox 提供 Web 界面、命令行、API 等操作方式。目前,其已经实现了以下平台和工具的适配:
| 容器平台 | Amazon Elastic Container Service for Kubernetes (EKS), Azure Container Service (AKS), Docker Enterprise Edition, Google Kubernetes Engine (GKE), IBM Bluemix Container Service, Mesosphere DC/OS, Red Hat OpenShift |
|---|---|
| 操作系统 | CentOS, Debian, Red Hat Enterprise Linux (RHEL), Ubuntu |
| IaaS | Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Bluemix, Microsoft Azure, OpenStack, Oracle Cloud, virtual machines (KVM, Hyper-V, VMware, Xen), bare metal |
| 镜像仓库 | Amazon EC2 Container Registry (ECR), Artifactory, Azure Container Registry (ACR), Docker Hub, Docker Trusted Registry (DTR), Google Container Registry (GCR) |
| 身份管理 | SAML 2.0-compliant identity providers including Google, Okta, Ping Identity |
| 事件告警 | PagerDuty, Slack |
本文从容器安全风险入手,分别从软件脆弱性、安全威胁、应用安全威胁等方面,系统 的介绍了容器以及容器应用中所面临的安全问题。针对这些安全问题,从主机安全、镜像安全、 网络安全、应用安全等多个角度,提出了相应的检测与防护建议。最后,从开源社区和厂商 两个层面,简要介绍了当前对于容器安全的一些解决方案。
248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
