完善云原生安全能力,解锁降本增效通关密码
  • 2021.11.30
  • 1179
  • 青藤云安全
一、案例背景:
在企业数字化转型逐步深入的过程中,云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力。云原生技术架构充分利用了云计算弹性、敏捷性和资源池,成为企业降本增效的通关密码。

某省移动通信有限责任公司隶属中国移动通信集团公司,是中国移动有限公司的全资子公司。自2014年开始,该公司就陆续开展了在云化、容器化、微服务化等领域的探索,一直走在云原生应用的前列。新技术采用后,更加适应用户的新需求,大大提高了工作效率。同时,该公司正在以前所未有的速度构建和交付应用程序,实现动态扩容和缩容,资源占用量更少,应用加载更快,实现大规模应用的集中管理。


二、案例概述:
在云原生发展的道路上,通信行业传统的安全实践、策略和工具,远远不能承受云原生方法的扩展性和复杂性。新的云原生技术架构带来了新的安全风险,比如容器风险、网络风险、微服务风险等。具体挑战如下:
  1. 其一,传统的管理方式难以对虚拟网络进行有效监控管理,也难以达到防护全部主机服务器的要求,造成无法及时发现来自内部、外部的安全隐患。
  2. 其二,以往系统漏洞检测一般采用网络扫描,通过问题IP定位到具体主机和应用系统。在应用容器化部署以后,由于容器资源的动态变化,增加了安全威胁检测、监控和保护的难度。
  3. 其三,传统软件架构下,应用之间通过物理机或虚拟机进行隔离,可以将安全事件的影响限制在可控的范围内。在容器环境下,多个服务实例共享操作系统,一个存在漏洞服务被攻陷,可能会导致运行在同主机上其他服务受到影响。

三、安全技术应用情况:
青藤作为该通信企业网络安全防护体系建设的重要合作伙伴,通过结合客户现状及需求,利用青藤自主研发的云原生安全平台——青藤蜂巢,助力解决云原生安全带来的新挑战。具体功能实现如下:
 
  1. 访问关系可视化
青藤蜂巢贴合用户的kubernetes集群环境,帮助用户构建出集群下的工作负载信息,自动化的识别出工作负载之间的网络连接关系,并以可视化的方式呈现出来。此外还帮助用户在检测到业务风险、遭受入侵事件时快速定位影响范围和向上溯源。
 
  1. 资产清点:
帮助用户清楚地梳理业务中有多少个集群,集群中有多少命名空间和控制器,运行了多少容器,是由什么镜像运行起来的,容器具体跑了哪些进程,监听了哪些端⼝。遇到入侵事件的时候,能够很清晰的知道失陷位置,以及可能覆盖的影响范围。
通过对运行的哪些应用、中间件以及数据库的进行清点,发现其安装路径,版本信息和配置情况,形成清晰的应用资产台账,帮助用户更好地去落地应用的治理。

 
  1. 镜像安全
青藤蜂巢具有强大的镜像检查能力,已经覆盖到开发、测试等多个环节中,可帮助用户快速发现镜像中存在的漏洞、病毒木马、webshell等镜像风险。在开发环节,可帮助用户确保构建的镜像是符合安全规定的。在测试环节,需要确保镜像运行起来后是安全的,发现那些在静态的时候无法发现的安全问题。
除了上述卡点之外,青藤蜂巢还通过“准入”和“准出”对用户的镜像进行精准的安全管控。在静态检测过程中,凡是不合格镜像都“不准入”测试仓库,而在动态检测过程中,需对生产仓库和节点的镜像进行持续的安全检查,凡是不合格镜像都“不准出”生产仓库进行部署运行。

  1. 入侵检测
面对众多的容器运行时入侵行为,青藤蜂巢采⽤多锚点的分析⽅法,实时检测容器中的已知威胁、恶意⾏为、异常事件。
首先,青藤蜂巢能对容器内的文件、代码、脚本等进行已知特征的检测。以Webshell检测为例,青藤雷火引擎不依赖正则匹配,根据AI推理发现Webshell中存在的可疑内容。即便是在实战化对抗环境下,Webshell检测率高达99.54%。
其次,青藤蜂巢基于对恶意⾏为模式的定义,可对容器及编排⼯具内的⿊客攻击⾏为进⾏实时检测。例如,通过比对攻击链路上的关键攻击路径,针对黑客的每一步探测,系统均会进行持续性的检测。
最后,由于容器不可变基础设施的属性,其运行时行为模式相对固定。青藤蜂巢,通过对其进程行为、网络行为、文件行为进行监控和学习,建立稳定的容器模型。只要对异常偏离的行为的进行分析,就能发现未知的入侵威胁,包括0day等高级攻击。

 
  1. 运行时安全
通过持续关注各大社区最新风险,主动、持续地发现集群中存在的风险,发现容器运行环境 (docker/k8s/harbor/节点…)的脆弱点,提供风险处理的修复建议,帮助用户快速确定问题并解决威胁。
 
  1. 微服务安全
单体应⽤拆分成多个微服务导致端口数量暴增,攻击面大幅增加,连锁攻破风险较高。因此,我们选择在安全测试阶段,对微服务进⾏漏洞扫描,发现微服务漏洞、修复漏洞、阻止风险传播。
 
  1. 微隔离
容器业务依赖关系复杂,未知威胁可能在容器之间像病毒一样感染蔓延,因此容器中需要细粒度的隔离控制。青藤蜂巢的微隔离策略,能够自适应容器多变的环境。通过对访问关系的梳理和学习,提供自适应的、自迁移的、自维护的网络隔离策略。一旦发现失陷容器的情况将采取一键隔离。除此之外,青藤蜂巢还能基于对业务访问关系的学习,针对异常工作负载流量提供“仅告警”业务模式,避免因隔离错误而对实际业务造成影响。

四、客户反馈效果:
通过帮助客户构建以自适应安全为核心的安全基础设施,青藤蜂巢在构建、分发和运行的全生命周期内,有效保护了该公司容器和云原生应用的安全。通过实现对容器活动的全面可见性,让用户能够实时检测和预防可疑活动和攻击,弥补传统安全技术的不足,提升用户安全能力。
  1. 通过深度安全检测平台,帮助用户安全人员清晰了解容器资产、准确定位风险漏洞,有效提高工作效率,同时也提升了安全人员的综合管理能力和技术能力。
  2. 用户通过青藤蜂巢的威胁监测能力,聚焦在系统层的威胁监测,关注系统层的入侵行为及影响,较网络层威胁监测具有更高的准确性和有效性。
  3. 用户通过青藤蜂巢有效提升了开源组件资产的识别和漏洞检测能力,通过系统层信息采集和分析,能够快速地完成资产和漏洞的核查,很好地解决了网络扫描器资产探测不全、误报漏报及耗时长的问题,效果非常明显。相较于传统扫描工具的流程,用户过去需要用将近1小时的漏洞扫描已经缩减到6分钟,效率提升10倍。
本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝