近年来,以容器为代表的云原生得到了市场的高度认可,正逐步成为新一代主流IT基础设施。但由于容器以及容器应用环境引发的安全风险与安全事件不断爆出,容器的安全问题也随之浮出水面。
8月6日,腾讯安全和青藤云安全共同举办容器安全平台新品战略合作发布会,基于腾讯安全提供的高效稳定的云服务为基础,以青藤的最新容器安全平台为依托,打造青藤蜂巢·容器安全平台,助力企业客户有效解决安全上云问题。
(青藤与腾讯安全新品战略合作发布仪式)
容器安全成云安全重要抓手 , 保障安全需“软硬兼施”
从简单的应用容器化,到云原生应用的开发,容器技术成为了其最基础也是最核心的支撑技术。腾讯云安全专家谢奕智在发布会上谈到,容器安全是云安全非常重要的一个组成部分,也是一个非常重要的抓手,主要表现为以下几个方面:
镜像安全,例如镜像中包含了恶意代码、镜像中的组件存在漏洞、明文秘钥等;
资产管理,整个容器的资产可见性是IT人员比较重视的;
配置管理,自动发现配置上的安全问题,可以提升研发效率;
满足合规要求;
运行时的威胁防护,包括入侵检测、病毒逃逸和木马;
网络隔离,尤其是在东西向流量剧增情况下确保其安全性;
风险管理。
未来在硬件上需要为整个容器提供可信计算的环境,而在软件方面,更多地要关注应用。
联合打造青藤蜂巢 , 为容器提供全生命周期安全防护
由于容器技术的广泛使用,安全需要进一步左移,在镜像构建早期阶段就发现问题,尽早地定位安全问题,以解决攻击面和潜在的运行问题。
腾讯安全联合青藤云安全打造的青藤蜂巢,提供全生命周期的一站式解决方案,实现了安全预测、防御、检测和响应的安全闭环。青藤蜂巢主要提供容器资产清点、镜像安全、运行时安全、合规基线等功能。
(青藤蜂巢全生命周期的一站式解决方案)
详细的业务级别的资产清点,一方面让安全人员可以去清晰地了解自己的保护对象,另一方面可以在发生了一些入侵行为,或者是发现一些风险的时候,可以通过资产清点做进一步的分析和溯源。
容器安全里面非常重要的一点是,镜像安全。在CI/CD环节,镜像仓库里面,使用的镜像进行深度的扫描。
运行环境的安全,包括了K8S的安全、宿主机节点的安全问题。
入侵检测会实时检测容器内的入侵行为,比如Webshell等。容器里面的访问关系,尽可能的梳理客户业务关系,提供细粒度的隔离策略,帮助客户更好地进行内网环境的隔离。
合规基线,基于K8S等基线的要求,做了容器以及K8S在使用过程中需要遵循的配置安全问题。
容器审计,会记录容器里面所有的行为,在发生了入侵行为的时候,可以通过这样的审计记录很好地去溯源,看黑客进入到容器里面以后又发生了什么事情。
目前青藤蜂巢支持两种安装部署方式,一种是操作系统上安装主机Agent,这种方式可以一个Agent同时覆盖主机安全以及容器安全的问题。第二种方式是契合云原生的安全架构,提供了容器化的Agent,优势主要是在于可以集成到K8S,通过集中管理更好地部署在容器环境中。
在云原生环境下,必须要将容器安全视为云安全的一部分,通过容器安全加强云安全态势,有助于从根源上解决云原生安全问题。未来,腾讯安全将与青藤云安全深入联手,共同打造最佳的容器安全一站式解决方案,维护客户容器安全以及云安全,推动构建云原生安全新生态。
文章来源:网络