容器安全防护平台产品概述
以容器为代表的云原生技术是新一代云计算的热点,其硬件资源的高利用性、业务应用的快速上线、优秀的故障自恢复能力极大地满足了企业业务快速变化的需要。与此同时,容器安全问题也日益成为业务运行及数据安全的主要隐患,主要表现在以下方面:
镜像在构建、仓库存储、部署等阶段均易受到不同程度的攻击威胁,不安全的镜像一旦启用,会造成大量应用失陷。
容器运行过程中不合理的运行配置和未修复的漏洞极易造成系统被非法入侵、容器逃逸、数据泄密等严重安全事件。
容器网络中,由于流量封装、IP快速变化以及微服务化带来的应用数量指数级增长,导致传统的边界防御产品无法解决容器场景下的4/7层网络应用安全问题。
容器引擎、编排组件、主机操作系统是所有容器运行的底座,其安全基础配置项多达上百种。此外,容器环境本身的API访问控制能力薄弱,极易造成安全短板,同时平台也缺乏对K8S异常事件的分析监测能力。
安全建设和云基础设施关系紧密,导致传统的安全职责需要重新考虑,不再能简单定义为谁主管、谁建设、谁负责。在DevOps模式下流程全自动化,安全由谁发起,安全如何自动化管控,均给企业安全管理带来了极大的挑战。
火山引擎容器安全防护平台,为企事业单位的DevOps全生命周期和容器环境全栈提供安全防护。容器安全防护平台深度融合云原生特性,将安全能力左移到构建阶段,利用数据驱动安全的创新技术路线,主动持续开展风险分析,并通过独有的近源端控制实现安全防护,构建高效的云原生安全防护体系。产品覆盖的业务场景包括:镜像软件供应链安全、容器运行时工作负载安全、容器平台环境基础设施安全、容器网络应用安全保障。
能力概述
资产清点
支持主流CI、镜像仓库,自动持续上报镜像、容器、应用、Web、主机、K8S等资产信息。
镜像安全
检测每一镜像层隐藏的漏洞、敏感信息、木马病毒、Webshell等风险,自动溯源风险来源,智能评估风险修复优先级。
镜像控制
将安全能力左移到构建阶段,严格执行镜像构建、镜像启动的准入、准出管控,为企业安全策略的贯彻执行提供抓手。
容器入侵检测
通过行为建模、关联分析、威胁溯源技术,实时监测高级威胁、敏感行为、基线偏离事件,自动感知失陷容器并快速响应。
网络可视化
自适应容器多变的环境,可视化网络访问拓扑关系以及网络风险事件,支持一键创建自适应、自迁移的网络隔离策略。
网络微隔离
采用独有的近源端设计,网络控制高效兼容Calico、OVS、 MacVlan、Flannel等各种云原生网络方案。
Web应用防火墙
支持集告警、攻击行为拦截为一体的7层容器级WAF,可防护暴力破解、WebShell、SQL注入攻击、远程控制等典型的Web应用攻击。
合规基线
基于CIS Benchmark最佳安全实践,可实现对镜像、容器、主机一键自动化检测,并提供可视化基线检查报告。
基础设施安全
覆盖各类新技术栈以及云原生基础设施,持续检测容器引擎、编排系统、镜像仓库、操作系统的脆弱性风险。