重磅|安全狗·云工作負(fù)載安全系列產(chǎn)品全新版本發(fā)布

一、安全狗一體化云工作負(fù)載安全產(chǎn)品新版發(fā)布

1、云工作負(fù)載的定義

對工作負(fù)載的定義，安全狗CEO陳奮這樣解釋到：“云工作負(fù)載是信息化系統(tǒng)和和核心業(yè)務(wù)數(shù)據(jù)的承載體，隨著信息化技術(shù)不斷的演進(jìn)，云工作負(fù)載已經(jīng)從傳統(tǒng)的物理機、虛擬機，拓展到現(xiàn)在云環(huán)境下泛指的計算節(jié)點，比如：公有云主機、私有云計算節(jié)點、Docker容器、無服務(wù)器、微服務(wù)等”。

2、云工作負(fù)載的安全挑戰(zhàn)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、微服務(wù)、容器等新技術(shù)的嘗試和應(yīng)用，基礎(chǔ)設(shè)施架構(gòu)呈現(xiàn)出更加“混合化”的趨勢，虛擬化、微服務(wù)、容器等工作負(fù)載成為了新的業(yè)務(wù)載體。在基礎(chǔ)設(shè)施不斷變化的背景下，傳統(tǒng)的邊界安全防護(hù)就很難起到預(yù)期效果。攻擊者能輕易地通過網(wǎng)絡(luò)攻擊獲取用戶工作負(fù)載權(quán)限，繼而針對工作負(fù)載的網(wǎng)絡(luò)環(huán)境進(jìn)行橫向滲透。而在這種環(huán)境下不論在內(nèi)網(wǎng)或者在云上，都很難找到一個類似“網(wǎng)關(guān)的位置”部署傳統(tǒng)的安全設(shè)備進(jìn)行全面的安全監(jiān)測與防護(hù)，由此也就延伸出了一系列針對工作負(fù)載新邊界的安全問題。

隨著常態(tài)化、實戰(zhàn)化的攻防演練的展開與深入，通過總結(jié)攻防演練期間出現(xiàn)的隱患類型，可以發(fā)現(xiàn)，其中內(nèi)網(wǎng)隱患最高占據(jù)47%，互聯(lián)網(wǎng)隱患占據(jù)26%，生產(chǎn)網(wǎng)隱患占據(jù)19%，辦公網(wǎng)隱患占據(jù)8%。根據(jù)這些數(shù)據(jù)的統(tǒng)計我們不難發(fā)現(xiàn)，對于企業(yè)而言內(nèi)網(wǎng)已經(jīng)成為攻防對抗的新戰(zhàn)場，而工作負(fù)載作為內(nèi)網(wǎng)承載業(yè)務(wù)系統(tǒng)的載體更是攻擊者的下手目標(biāo)。

3、安全狗一體化云工作負(fù)載安全產(chǎn)品介紹

安全狗自2013年發(fā)布主機安全產(chǎn)品，采用主機Agent+云管理平臺的模式保護(hù)主機服務(wù)器安全，此做法正好與Gartner提出的CWPP理念不謀而合。作為國內(nèi)第一批引入CWPP理念的云安全廠商之一，并且在端點安全領(lǐng)域深耕多年，安全狗成為國內(nèi)第一批推出云作負(fù)載安全解決方案供應(yīng)商，同時也是目前國內(nèi)覆蓋工作負(fù)載安裝數(shù)量最大的CWPP廠商之一。

近期安全狗發(fā)布了一體化云工作負(fù)載安全系列產(chǎn)品新版本，全面適配混合云、云原生等新型架構(gòu)，其以云原生為中心思想，基于宿主機統(tǒng)一輕量化Agent實現(xiàn)主機漏洞檢測和補丁修復(fù)、主機入侵檢測及安全防護(hù)，解決云原生環(huán)境下容器生命周期的安全檢測及防護(hù)，以及對虛機之間、容器之間的網(wǎng)絡(luò)流量采集和網(wǎng)絡(luò)微隔離控制，通過統(tǒng)一輕量Agent，構(gòu)建主機安全、容器安全、網(wǎng)絡(luò)微隔離和補丁管理的安全產(chǎn)品體系，即，安全狗新一代工作負(fù)載安全產(chǎn)品體系，包含：云眼、云甲、云隙和云網(wǎng)產(chǎn)品。

圖1

如圖“縱向”主機和容器安全解決了工作負(fù)載的安全防護(hù)和監(jiān)測需求，“橫向”的補丁管理和自適應(yīng)微隔離解決了安全運營的問題，“縱橫交錯”解決防護(hù)監(jiān)測和持續(xù)安全運營兩個維度的問題，安全管理和運維管理相輔相成。

二、安全狗·一體化的云工作負(fù)載安全產(chǎn)品亮點功能

1、統(tǒng)一云工作負(fù)載輕量化Agent

安全狗融合安全及運維管理需求，推出了創(chuàng)新的開放式“N合一”架構(gòu)，統(tǒng)一了主機安全、容器安全、微隔離、漏洞補丁等多個安全及運維管理場景，實現(xiàn)了Agent的融合。通過云眼、云甲、云隙、云網(wǎng)四款產(chǎn)品共同使用同一個Agent基座，功能以插件方式擴展，無需重復(fù)部署多個Agent。

插件化架構(gòu)是實現(xiàn)Agent統(tǒng)一的基礎(chǔ)和前提。插件化的Agent輕量、穩(wěn)定低消耗，功能易擴展。整體上分為兩部分：Agent底座和插件。Agent底座是提供基礎(chǔ)環(huán)境，包括：進(jìn)程調(diào)度、資源限速管控、內(nèi)存管理和異常管理功能，確保插件能運行在Agent提供的環(huán)境上。插件是指能夠在Agent底座上運行并實現(xiàn)云工作負(fù)載安全保護(hù)功能的腳本文件，插件包括資產(chǎn)采集插件、漏洞檢測插件、入侵檢測插件、基線檢查插件、通用任務(wù)插件、網(wǎng)絡(luò)流量采集和容器安全檢測插件等。

圖2

Agent底座實現(xiàn)了功能的最小集合，大大減輕Agent對于主機性能的影響，其平均CPU消耗小于1%，峰值可以自定義小于5%。同時具備自適應(yīng)降級和自適應(yīng)自殺機制，減少Agent對業(yè)務(wù)的影響，確保業(yè)務(wù)優(yōu)化原則。

2、全面兼容適配信創(chuàng)平臺，共建信創(chuàng)生態(tài)圈

信創(chuàng)產(chǎn)業(yè)作為“新基建”的重要內(nèi)容正在飛速發(fā)展，與此同時信創(chuàng)平臺的網(wǎng)絡(luò)安全性問題也不容忽視。安全狗作為國內(nèi)領(lǐng)先的云安全解決方案提供商，堅持自主研發(fā)和國產(chǎn)化路線，積極推動產(chǎn)品與信創(chuàng)平臺兼容適配。

安全狗一體化云工作負(fù)載安全系列產(chǎn)品已實現(xiàn)對飛騰、兆芯、海光、鯤鵬等CPU以及銀河麒麟、中標(biāo)麒麟、中科紅旗、普華、凝思、統(tǒng)信操作系統(tǒng)UOS等主流信創(chuàng)平臺的全面兼容適配。經(jīng)過嚴(yán)格測試，安全狗云工作負(fù)載安全產(chǎn)品整體運行穩(wěn)定，功能、兼容性等各方面表現(xiàn)卓越，可以滿足用戶需求。

目前安全狗一體化云工作負(fù)載已在客戶側(cè)投入穩(wěn)定運行，為信創(chuàng)生態(tài)網(wǎng)絡(luò)安全保駕護(hù)航。

3、(云)主機安全產(chǎn)品：新增主機微蜜罐功能，并能跟蜜罐集群聯(lián)動

云眼云主機安全產(chǎn)品新增微蜜罐功能，通過在安裝輕量化Agent的工作負(fù)載上投放欺騙誘捕的監(jiān)聽端口，當(dāng)攻擊者連接欺騙誘捕的監(jiān)聽端口時，立即關(guān)閉連接，記錄連接信息并告警。

新版本還支持與蜜罐集群聯(lián)動，將攻擊者連接的監(jiān)聽端口的連接信息轉(zhuǎn)移至蜜罐集群，即通常所說的高交互蜜罐。通過在業(yè)務(wù)環(huán)境中創(chuàng)建高仿真環(huán)境，真實的工作負(fù)載和欺騙誘捕節(jié)點共存，虛虛實實、真真假假，當(dāng)攻擊者進(jìn)行掃描時，攻擊者難以鎖定真實目標(biāo)。當(dāng)監(jiān)聽端口被攻擊時，攻擊流量引入欺騙防護(hù)系統(tǒng)中，從而讓攻擊者掉入我們布下的陷阱中。在攻擊者未察覺的情況下對攻擊行為進(jìn)行捕獲和分析，了解攻擊者所使用的工具與方法，采集攻擊者的硬件指紋和錄制攻擊者的攻擊行為。

圖3

4、微隔離產(chǎn)品：“雙管齊下”構(gòu)建主機和容器自適應(yīng)的微隔離

安全狗云隙微隔離產(chǎn)品基于CWPP技術(shù)架構(gòu)

，通過在工作負(fù)載上部署輕量化Agent采集網(wǎng)絡(luò)流量，支持同時采集主機和容器的網(wǎng)絡(luò)流量，可以精準(zhǔn)識別主機與容器間的網(wǎng)絡(luò)流量。云隙提供多級別的業(yè)務(wù)可視化能力，數(shù)據(jù)中心視圖下可支持流量合并操作，按照業(yè)務(wù)組、業(yè)務(wù)角色合并流量線，有利于對業(yè)務(wù)關(guān)系進(jìn)行梳理分析，使得業(yè)務(wù)分析更加靈活和簡便，能更好的輔助策略規(guī)則的設(shè)計。

圖4

云隙微隔離自動策略生成“五步法”將在后續(xù)文章中詳細(xì)介紹。

安全策略配置支持自動策略生成，根據(jù)機器自學(xué)習(xí)業(yè)務(wù)流量，批量生成策略規(guī)則，支持增量、全量兩種生成模式。

通過可視化管理、策略管理，實現(xiàn)對數(shù)據(jù)中心、云環(huán)境的業(yè)務(wù)流量可視化管理，繪制可視化的業(yè)務(wù)拓?fù)洌瑫r提供對主機和容器工作負(fù)載進(jìn)行全方位的精細(xì)化隔離與防護(hù)策略管理，控制業(yè)務(wù)流量訪問，全面降低東西向的橫向穿透風(fēng)險，阻止攻擊者進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移,降低攻擊面。

圖5

5、容器安全產(chǎn)品：覆蓋容器全生命周期安全檢測與防護(hù)

安全狗云甲容器安全產(chǎn)品通過部署在宿主機工作負(fù)載上的輕量Agent

，采集鏡像、容器、POD基礎(chǔ)資產(chǎn)數(shù)據(jù)和容器進(jìn)程、端口、數(shù)據(jù)等業(yè)務(wù)資產(chǎn)，協(xié)助用戶在容器化轉(zhuǎn)型過程中對資產(chǎn)進(jìn)行清點。云甲可以對鏡像構(gòu)建過程中，發(fā)現(xiàn)鏡像存在的系統(tǒng)漏洞、惡意代碼、敏感文件泄露等鏡像風(fēng)險問題，確保鏡像在分發(fā)上線前安全可信，同時用戶可自定義鏡像阻斷規(guī)則，對存在病毒木馬、webshell、特定系統(tǒng)漏洞或非信任鏡像等規(guī)則下的鏡像阻斷其運行，從源頭上杜絕漏洞和惡意代碼引入。在容器運行時，云甲可以實時監(jiān)控容器運行時入侵行為，包括容器逃逸、容器內(nèi)惡意程序、異常文件操作行為、異常命令行為以及異常網(wǎng)絡(luò)行為，及時發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應(yīng)，為企業(yè)云原生建設(shè)提供安全保障。

圖6

云甲還支持平行容器的部署方式，減小對環(huán)境依賴，易管理易維護(hù)。

除了輕量化Agent部署模式外，

三、安全狗一體化(云)工作負(fù)載安全產(chǎn)品典型案例

安全狗新一代一體化(云)工作負(fù)載安全系列產(chǎn)品已經(jīng)在國內(nèi)某大型互聯(lián)網(wǎng)在線制造平臺有實際部署案例。

圖7

統(tǒng)一輕量化Agent運行穩(wěn)定，在保護(hù)主機和容器安全的同時，對業(yè)務(wù)幾乎無影響。

該案例中采用統(tǒng)一輕量化Agent部署在用戶宿主機上，對主機靜態(tài)和動態(tài)資產(chǎn)采集、漏洞風(fēng)險檢測和入侵威脅實時監(jiān)測，保護(hù)宿主機安全。同時對容器全生命周期進(jìn)行安全配置檢測，對容器構(gòu)建階段的鏡像文件的風(fēng)險漏洞進(jìn)行檢測并自定義鏡像準(zhǔn)入控制，從源頭上杜絕惡意代碼引入，實時監(jiān)控容器內(nèi)入侵行為，及時發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應(yīng)。

統(tǒng)一輕量化Agent采集到的主機和容器資產(chǎn)，以及主機和容器的攻擊入侵事件推送至安全態(tài)勢感知平臺，為用戶構(gòu)建縱深立體的聯(lián)動響應(yīng)體系，有效覆蓋主機側(cè)、容器側(cè)事件協(xié)同處置。

來源：IT時代網(wǎng)

IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關(guān)文章

重磅|安全狗·云工作負(fù)載安全系列產(chǎn)品全新版本發(fā)布

?“云舟”共濟 安全狗合作伙伴再拓展

安全狗宣布兩款單機版服務(wù)器安全軟件永久免費

安全狗新產(chǎn)品發(fā)布會：9月來廈門“憑云鼓浪·論道安全”!