近年來,以容器為代表的雲原生得到了市場的高度認可,正逐步成為新一代主流IT基礎設施。但由於容器以及容器應用環境引發的安全風險與安全事件不斷爆出,容器的安全問題也隨之浮出水面。
8月6日,騰訊安全和青藤雲安全共同舉辦容器安全平臺新品戰略合作釋出會,基於騰訊安全提供的高效穩定的雲服務為基礎,以青藤的最新容器安全平臺為依託,打造青藤蜂巢·容器安全平臺,助力企業客戶有效解決安全上雲問題。
騰訊安全與青藤新品戰略合作釋出儀式
容器安全成雲安全重要抓手,保障安全需“軟硬兼施”
從簡單的應用容器化,到雲原生應用的開發,容器技術成為了其最基礎也是最核心的支撐技術。騰訊安全專家謝奕智在釋出會上談到,容器安全是雲安全非常重要的一個組成部分,也是一個非常重要的抓手,主要表現為以下幾個方面:
- 映象安全,例如映象中包含了惡意程式碼、映象中的元件存在漏洞、明文秘鑰等;
- 資產管理,整個容器的資產可見性是IT人員比較重視的;
- 配置管理,自動發現配置上的安全問題,可以提升研發效率;
- 滿足合規要求;
- 執行時的威脅防護,包括入侵檢測、病毒逃逸和木馬;
- 網路隔離,尤其是在東西向流量劇增情況下確保其安全性;
- 風險管理。
未來在硬體上需要為整個容器提供可信計算的環境,而在軟體方面,更多地要關注應用。
聯合打造青藤蜂巢,為容器提供全生命週期安全防護
由於容器技術的廣泛使用,安全需要進一步左移,在映象構建早期階段就發現問題,儘早地定位安全問題,以解決攻擊面和潛在的執行問題。
騰訊安全聯合青藤雲安全打造的青藤蜂巢,提供全生命週期的一站式解決方案,實現了安全預測、防禦、檢測和響應的安全閉環。青藤蜂巢主要提供容器資產清點、映象安全、執行時安全、合規基線等功能。
青藤蜂巢全生命週期的一站式解決方案
- 詳細的業務級別的資產清點,一方面讓安全人員可以去清晰地瞭解自己的保護物件,另一方面可以在發生了一些入侵行為,或者是發現一些風險的時候,可以透過資產清點做進一步的分析和溯源。
- 容器安全裡面非常重要的一點是,映象安全。在CI/CD環節,映象倉庫裡面,使用的映象進行深度的掃描。
- 執行環境的安全,包括了K8S的安全、宿主機節點的安全問題。
- 入侵檢測會實時檢測容器內的入侵行為,比如Webshell等。容器裡面的訪問關係,儘可能的梳理客戶業務關係,提供細粒度的隔離策略,幫助客戶更好地進行內網環境的隔離。
- 合規基線,基於K8S等基線的要求,做了容器以及K8S在使用過程中需要遵循的配置安全問題。
- 容器審計,會記錄容器裡面所有的行為,在發生了入侵行為的時候,可以透過這樣的審計記錄很好地去溯源,看駭客進入到容器裡面以後又發生了什麼事情。
目前青藤蜂巢支援兩種安裝部署方式,一種是作業系統上安裝主機Agent,這種方式可以一個Agent同時覆蓋主機安全以及容器安全的問題。第二種方式是契合雲原生的安全架構,提供了容器化的Agent,優勢主要是在於可以整合到K8S裡,透過集中管理更好地部署在容器環境中。
在雲原生環境下,必須要將容器安全視為雲安全的一部分,透過容器安全加強雲安全態勢,有助於從根源上解決雲原生安全問題。未來,騰訊安全將與青藤雲安全深入聯手,共同打造最佳的容器安全一站式解決方案,維護客戶容器安全以及雲安全,推動構建雲原生安全新生態。