12月29日,由B.P商業夥伴主辦的“雲端聚能 數智未來”——2020中國雲端計算生態峰會線上上舉辦,綠盟科技榮獲“2020中國雲端計算雲原生傑出企業”獎。
隨著企業上雲已到中場,雲上應用已經逐漸走向成熟,大量雲原生應用開始爆發——以Kubernates、容器、微服務、Serverless等為代表雲原生技術開始成為新的技術應用趨勢。雲的革命性意義不在於換一個方式部署業務系統,而在於深度改變應用的開發和部署模式——這是應用爆發帶來的深層次需求,掀起新的軟體革命。
前些年主流的主機虛擬化並不能完美解決“業務爆炸和老舊技術架構”的矛盾,結合大量企業的實際需求,迫切需要將業務系統從傳統單體應用架構向微服務架構轉型,這也加速了容器雲技術的應用。據云原生產業聯盟釋出的《雲原生髮展白皮書(2020)》中指出,到2022年將有75%的全球化企業將在生產中使用雲原生的容器化應用。
而未來雲原生將廣泛應用於大資料和邊緣計算場景中,而技術廣泛應用的背後,隱藏著新的安全風險,綠盟科技定位於雲原生安全保障服務商,又具備了那些技術實力和產品能力呢?
研究底蘊及攻防之道
綠盟科技星雲實驗室早在2018年就與NeuVector進行合作併發布《2018綠盟科技容器安全技術報告》(以下簡稱《報告》)。《報告》從容器安全風險入手,分別從軟體脆弱性、安全威脅、應用安全威脅等方面,系統的介紹了容器以及容器應用中所面臨的安全問題並提出了相應的檢測與防護建議,成為國內為數不多的系統性介紹容器技術、風險及解決思路的報告之一。
同時,面對容器技術帶來新的技術風險,傳統依賴特徵庫的檢測方式已經不能滿足容器動態業務變化的需求,需要結合容器安全攻防的角度來分析,模擬攻擊者還原攻擊線路和方式,才能更好的思考如何進行檢測和防禦。攻擊方面主要依託滲透測試的積累,對容器基礎設施環境、執行時容器、容器業務層面進行探測和資料收集,主要透過可利用的埠、漏洞進行進一步的攻擊,或者透過更為直接的攻擊方式,如拒絕服務等。防禦方面主要是針對攻擊行為進行檢測並利用安全裝置進行防護。
透過綜合攻防研究,綠盟科技已經形成了較為完整的容器執行時檢測體系,可以針對容器內部包括但不限於各種容器逃逸、反彈shell、敏感檔案訪問、許可權提升、普通漏洞利用、競態條件漏洞利用及其他未知威脅(異常檢測)的檢測能力;同時綠盟科技集合AI機器訓練學習+規則建立容器執行檢測引擎,將容器攻防的能力轉化為產品能力,更好更廣泛的提供給廣大客戶群體。
容器全生命週期安全解決思路
基於市場調查和容器攻防技術的積累,綠盟科技立足於雲原生安全研究,結合攻防安全能力,在新的安全風險背景下,砥礪前行,為客戶獻出雲原生下的安全保障思路即解決容器安全環境風險,需要構建完整的技術體系來覆蓋映象構建-映象傳輸/儲存-編排-容器執行全生命週期的檢測與防護場景。
綠盟科技採用容器環境中部署安全容器的技術方案,聚焦容器安全的三個維度,基礎設施安全、軟體供應鏈安全、執行時安全;透過將安全容器像普通容器一樣藉助容器編排技術與容器環境無縫的對接部署在相應的執行節點上,安全容器整合檢測、監測相關的安全能力並且獲取節點的管理許可權,同時透過容器管理平臺可以有效控制容器的效能消耗,由於其原生於映象,可以透過容器編排快速的進行擴容和交付。
綠盟容器安全管理系統NCSS-C
綠盟容器安全管理系統(NSFOCUS Cloud Security System-Container,簡稱NCSS-C)是基於DevSecOps理念,藉助容器編排技術,保障容器在構建、部署和執行整個生命週期安全的雲原生安全產品。NCSS-C從容器映象、容器編排環境、容器執行時幾個階段,透過檢測、掃描等手段發現風險進行告警。針對漏洞提供修復方案,並透過策略等手段阻斷風險映象啟動,為客戶提供安全穩定的容器執行環境。
同時與jekins打包工具的對接,將安全檢測能力深入到業務應用的開發階段;並利用容器微隔離技術,即滿足容器網路層面依據客戶業務容器的訪問控制隔離,同時又可以對風險容器進行隔離,避免安全風險的橫向洩漏。
NCSS-C核心功能包括容器環境的資源視覺化管理、映象風險管理、容器執行時安全管理、合規性檢測和微服務API風險管理等;具有非侵入式快速交付、AI機器學習引擎、安全自適應業務變化、雲端威脅情報資料等特性。
容器、映象、主機作為容器環境中核心的資源,需要建立全域性的視覺化管理,清晰的瞭解資源的風險、數量、關係的變化。
對來自公共倉庫和私有映象倉庫的映象檔案進行安全檢測,包括歷史命令、敏感資訊、映象漏洞、病毒木馬等。
對執行中的容器進行安全監測,發現惡意程式、入侵行為等,保障容器執行時安全穩定。
對容器編排環境進行合規性檢測,發現不安全的配置進行識別和加固。
對容器環境中的微服務進行自動發現,並且獲取微服務的API資訊,分析API發現存在的Web安全風險。
雲端計算進入下半場,綠盟科技蓄勢待發
雲原生應用更加適合雲的架構,隨著金融、 製造、 醫療以及政務等行業應用不斷遷移上雲,雲原生將極大的釋放雲的紅利,雲端計算下半場,雲原生將成為驅動業務增長的重要引擎。綠盟科技將以此為契機,不斷提升雲原生技術的安全保障體系,讓更多的客戶放心用雲,擁抱雲原生帶來的技術紅利。