一、安全狗一體化云工作負載安全產品新版發布
1、云工作負載的定義
對工作負載的定義,安全狗CEO陳奮這樣解釋到:“云工作負載是信息化系統和和核心業務數據的承載體,隨著信息化技術不斷的演進,云工作負載已經從傳統的物理機、虛擬機,拓展到現在云環境下泛指的計算節點,比如:公有云主機、私有云計算節點、Docker容器、無服務器、微服務等”。
2、云工作負載的安全挑戰
隨著互聯網技術的發展,云計算、大數據、物聯網、微服務、容器等新技術的嘗試和應用,基礎設施架構呈現出更加“混合化”的趨勢,虛擬化、微服務、容器等工作負載成為了新的業務載體。在基礎設施不斷變化的背景下,傳統的邊界安全防護就很難起到預期效果。攻擊者能輕易地通過網絡攻擊獲取用戶工作負載權限,繼而針對工作負載的網絡環境進行橫向滲透。而在這種環境下不論在內網或者在云上,都很難找到一個類似“網關的位置”部署傳統的安全設備進行全面的安全監測與防護,由此也就延伸出了一系列針對工作負載新邊界的安全問題。
隨著常態化、實戰化的攻防演練的展開與深入,通過總結攻防演練期間出現的隱患類型,可以發現,其中內網隱患最高占據47%,互聯網隱患占據26%,生產網隱患占據19%,辦公網隱患占據8%。根據這些數據的統計我們不難發現,對于企業而言內網已經成為攻防對抗的新戰場,而工作負載作為內網承載業務系統的載體更是攻擊者的下手目標。
3、安全狗一體化云工作負載安全產品介紹
安全狗自2013年發布主機安全產品,采用主機Agent+云管理平臺的模式保護主機服務器安全,此做法正好與Gartner提出的CWPP理念不謀而合。作為國內第一批引入CWPP理念的云安全廠商之一,并且在端點安全領域深耕多年,安全狗成為國內第一批推出云作負載安全解決方案供應商,同時也是目前國內覆蓋工作負載安裝數量最大的CWPP廠商之一。
近期安全狗發布了一體化云工作負載安全系列產品新版本,全面適配混合云、云原生等新型架構,其以云原生為中心思想,基于宿主機統一輕量化Agent實現主機漏洞檢測和補丁修復、主機入侵檢測及安全防護,解決云原生環境下容器生命周期的安全檢測及防護,以及對虛機之間、容器之間的網絡流量采集和網絡微隔離控制,通過統一輕量Agent,構建主機安全、容器安全、網絡微隔離和補丁管理的安全產品體系,即,安全狗新一代工作負載安全產品體系,包含:云眼、云甲、云隙和云網產品。
圖1
如圖“縱向”主機和容器安全解決了工作負載的安全防護和監測需求,“橫向”的補丁管理和自適應微隔離解決了安全運營的問題,“縱橫交錯”解決防護監測和持續安全運營兩個維度的問題,安全管理和運維管理相輔相成。
二、安全狗·一體化的云工作負載安全產品亮點功能
1、統一云工作負載輕量化Agent
安全狗融合安全及運維管理需求,推出了創新的開放式“N合一”架構,統一了主機安全、容器安全、微隔離、漏洞補丁等多個安全及運維管理場景,實現了Agent的融合。通過云眼、云甲、云隙、云網四款產品共同使用同一個Agent基座,功能以插件方式擴展,無需重復部署多個Agent。
插件化架構是實現Agent統一的基礎和前提。插件化的Agent輕量、穩定低消耗,功能易擴展。整體上分為兩部分:Agent底座和插件。Agent底座是提供基礎環境,包括:進程調度、資源限速管控、內存管理和異常管理功能,確保插件能運行在Agent提供的環境上。插件是指能夠在Agent底座上運行并實現云工作負載安全保護功能的腳本文件,插件包括資產采集插件、漏洞檢測插件、入侵檢測插件、基線檢查插件、通用任務插件、網絡流量采集和容器安全檢測插件等。
圖2
Agent底座實現了功能的最小集合,大大減輕Agent對于主機性能的影響,其平均CPU消耗小于1%,峰值可以自定義小于5%。同時具備自適應降級和自適應自殺機制,減少Agent對業務的影響,確保業務優化原則。
2、全面兼容適配信創平臺,共建信創生態圈
信創產業作為“新基建”的重要內容正在飛速發展,與此同時信創平臺的網絡安全性問題也不容忽視。安全狗作為國內領先的云安全解決方案提供商,堅持自主研發和國產化路線,積極推動產品與信創平臺兼容適配。
安全狗一體化云工作負載安全系列產品已實現對飛騰、兆芯、海光、鯤鵬等CPU以及銀河麒麟、中標麒麟、中科紅旗、普華、凝思、統信操作系統UOS等主流信創平臺的全面兼容適配。經過嚴格測試,安全狗云工作負載安全產品整體運行穩定,功能、兼容性等各方面表現卓越,可以滿足用戶需求。
目前安全狗一體化云工作負載已在客戶側投入穩定運行,為信創生態網絡安全保駕護航。
3、(云)主機安全產品:新增主機微蜜罐功能,并能跟蜜罐集群聯動
云眼云主機安全產品新增微蜜罐功能,通過在安裝輕量化Agent的工作負載上投放欺騙誘捕的監聽端口,當攻擊者連接欺騙誘捕的監聽端口時,立即關閉連接,記錄連接信息并告警。
新版本還支持與蜜罐集群聯動,將攻擊者連接的監聽端口的連接信息轉移至蜜罐集群,即通常所說的高交互蜜罐。通過在業務環境中創建高仿真環境,真實的工作負載和欺騙誘捕節點共存,虛虛實實、真真假假,當攻擊者進行掃描時,攻擊者難以鎖定真實目標。當監聽端口被攻擊時,攻擊流量引入欺騙防護系統中,從而讓攻擊者掉入我們布下的陷阱中。在攻擊者未察覺的情況下對攻擊行為進行捕獲和分析,了解攻擊者所使用的工具與方法,采集攻擊者的硬件指紋和錄制攻擊者的攻擊行為。
圖3
4、微隔離產品:“雙管齊下”構建主機和容器自適應的微隔離
安全狗云隙微隔離產品基于CWPP技術架構,通過在工作負載上部署輕量化Agent采集網絡流量,支持同時采集主機和容器的網絡流量,可以精準識別主機與容器間的網絡流量。云隙提供多級別的業務可視化能力,數據中心視圖下可支持流量合并操作,按照業務組、業務角色合并流量線,有利于對業務關系進行梳理分析,使得業務分析更加靈活和簡便,能更好的輔助策略規則的設計。
圖4
安全策略配置支持自動策略生成,根據機器自學習業務流量,批量生成策略規則,支持增量、全量兩種生成模式。云隙微隔離自動策略生成“五步法”將在后續文章中詳細介紹。
通過可視化管理、策略管理,實現對數據中心、云環境的業務流量可視化管理,繪制可視化的業務拓撲,同時提供對主機和容器工作負載進行全方位的精細化隔離與防護策略管理,控制業務流量訪問,全面降低東西向的橫向穿透風險,阻止攻擊者進入數據中心網絡內部后的橫向平移,降低攻擊面。
圖5
5、容器安全產品:覆蓋容器全生命周期安全檢測與防護
安全狗云甲容器安全產品通過部署在宿主機工作負載上的輕量Agent,采集鏡像、容器、POD基礎資產數據和容器進程、端口、數據等業務資產,協助用戶在容器化轉型過程中對資產進行清點。云甲可以對鏡像構建過程中,發現鏡像存在的系統漏洞、惡意代碼、敏感文件泄露等鏡像風險問題,確保鏡像在分發上線前安全可信,同時用戶可自定義鏡像阻斷規則,對存在病毒木馬、webshell、特定系統漏洞或非信任鏡像等規則下的鏡像阻斷其運行,從源頭上杜絕漏洞和惡意代碼引入。在容器運行時,云甲可以實時監控容器運行時入侵行為,包括容器逃逸、容器內惡意程序、異常文件操作行為、異常命令行為以及異常網絡行為,及時發現容器內入侵攻擊并快速響應,為企業云原生建設提供安全保障。
圖6
除了輕量化Agent部署模式外,云甲還支持平行容器的部署方式,減小對環境依賴,易管理易維護。
三、安全狗一體化(云)工作負載安全產品典型案例
安全狗新一代一體化(云)工作負載安全系列產品已經在國內某大型互聯網在線制造平臺有實際部署案例。
圖7
該案例中采用統一輕量化Agent部署在用戶宿主機上,對主機靜態和動態資產采集、漏洞風險檢測和入侵威脅實時監測,保護宿主機安全。同時對容器全生命周期進行安全配置檢測,對容器構建階段的鏡像文件的風險漏洞進行檢測并自定義鏡像準入控制,從源頭上杜絕惡意代碼引入,實時監控容器內入侵行為,及時發現容器內入侵攻擊并快速響應。統一輕量化Agent運行穩定,在保護主機和容器安全的同時,對業務幾乎無影響。
統一輕量化Agent采集到的主機和容器資產,以及主機和容器的攻擊入侵事件推送至安全態勢感知平臺,為用戶構建縱深立體的聯動響應體系,有效覆蓋主機側、容器側事件協同處置。
備注:
