8月6日下午14:00,青藤與騰訊安全隆重舉辦了容器安全平臺新品戰略合作發布會,青藤蜂巢·容器安全平臺正式亮相。
青藤與騰訊安全新品戰略合作發布儀式
青藤蜂巢符合自主創新要求
在本次發布會的致辭中,原全國安標委研究員崔書昆老師表示,青藤蜂巢·容器安全平臺的發布符合國家在自主創新方面的要求和戰略思想,符合當今形勢的要求。青藤蜂巢的新品發布會意義重大。他希望,在自主創新的旗幟下,會有更多的信息安全產品、等保產品、容器安全產品能夠蓬勃發展起來。
原全國安標委研究員崔書昆致辭
數世咨詢創始人李少鵬在網絡安全行業從業十多年,本次發布會特別邀請他擔任主持。會上,李少鵬老師表示,雖然容器技術極大地促進了開發和應用,但這種方便也帶來了相應的風險。對于容器安全,他也分享了自己的精彩觀點。
數世咨詢創始人李少鵬
容器安全現狀及未來發展趨勢
騰訊云安全專家謝奕智在演講中談到,容器安全就是云安全非常重要的一個組成部分,是一個非常重要的抓手,主要表現為以下幾個方面:
鏡像安全,例如鏡像中包含了惡意代碼、鏡像中的組件存在漏洞、明文秘鑰等。
資產管理,整個容器的資產可見性是IT人員比較重視的。
配置管理,自動發現配置上的安全問題,可以提升研發效率。
滿足合規要求。
運行時的威脅防護,包括入侵檢測、病毒逃逸和木馬。
網絡隔離,尤其是在東西向流量劇增情況下確保其安全性。
風險管理。
最后,謝奕智表示,未來在硬件上需要為整個容器提供可信計算的環境,而在軟件方面,更多地要關注應用。
騰訊云安全專家謝奕智
青藤蜂巢,為容器提供全生命周期安全防護
由于容器技術的廣泛使用,安全需要進一步左移,在鏡像構建早期階段就發現問題,盡早地定位安全問題,以解決攻擊面和潛在的運行問題。
青藤蜂巢平臺的產品負責人李漫在演講中談到,為解決容器安全問題,需要對容器的運行時進行持續的監控分析,及時發現異常的風險和入侵行為,同時對于一些異常行為能夠進行迅速的隔離防護,比如發現容器中的各種Webshell、敏感訪問等問題。
青藤蜂巢產品負責人李漫
青藤蜂巢提供的是全生命周期的一站式解決方案,實現了安全預測、防御、檢測和響應的安全閉環。青藤蜂巢主要提供容器資產清點、鏡像安全、運行時安全、合規基線等功能。
青藤蜂巢全生命周期的一站式解決方案
詳細的業務級別的資產清點,一方面讓安全人員可以去清晰地了解自己的保護對象,另一方面可以在發生了一些入侵行為,或者是發現一些風險的時候,可以通過資產清點做進一步的分析和溯源。
容器安全里面非常重要的一點是,鏡像安全。在CI/CD環節,鏡像倉庫里面,使用的鏡像進行深度的掃描。
運行環境的安全,包括了K8S的安全、宿主機節點的安全問題。
入侵檢測會實時檢測容器內的入侵行為,比如Webshell等。容器里面的訪問關系,盡可能的梳理客戶業務關系,提供細粒度的隔離策略,幫助客戶更好地進行內網環境的隔離。
合規基線,基于K8S等基線的要求,做了容器以及K8S在使用過程中需要遵循的配置安全問題。
容器審計,會記錄容器里面所有的行為,在發生了入侵行為的時候,可以通過這樣的審計記錄很好地去溯源,看黑客進入到容器里面以后又發生了什么事情。
目前青藤蜂巢支持兩種安裝部署方式,一種是操作系統上安裝主機Agent,這種方式可以一個Agent同時覆蓋主機安全以及容器安全的問題。第二種方式是契合云原生的安全架構,提供了容器化的Agent,優勢主要是在于可以集成到K8S里面,通過集中管理更好地部署在容器環境里面。
青藤蜂巢,為客戶守護容器安全
在發布會最后階段,來自水滴公司的基礎架構部負責人、資深架構師張帆和來自吉利集團的基礎架構部CTO鄭金偉也發表了精彩演講。
由于業務的快速發展,目前,水滴公司的云原生已規模化落地,并采用容器這種更輕量級的虛擬化技術。在部署了青藤蜂巢·容器安全產品后,水滴公司的容器安全狀況得到了極大改善:實現了更加細粒度的資產清點;解決了Docker 補丁管理難的問題;通過對內在指標的持續監控和分析,實現了更加高效的入侵檢測;還能夠緊跟監管政策,不斷更新等級保護、CIS 標準對應的基線,實現一鍵自動化檢測。
吉利公司目前也在大規模實現業務上云,借鑒了“大中臺、小前臺”的經驗,通過服務化共享實現高效、降本及可持續業務發展, “前臺”領域應用、“中臺”共享能力、“后臺”基礎支撐。容器平臺是其基礎架構的核心引擎,但鑒于容器鏡像、不安全配置、鏡像漏洞等問題,吉利集團部署了青藤蜂巢,幫助吉利實現了統一融合的安全架構。同時,鑒于青藤蜂巢性能消耗低,Agent穩定性高達99.99%,青藤成為吉利可靠的安全伙伴。
