一、安全狗一体化云工作负载安全产品新版发布
01、云工作负载的定义
对工作负载的定义,安全狗CEO陈奋这样解释到:
“云工作负载是信息化系统和和核心业务数据的承载体,随着信息化技术不断的演进,云工作负载已经从传统的物理机、虚拟机,拓展到现在云环境下泛指的计算节点,比如:公有云主机、私有云计算节点、Docker容器、无服务器、微服务等”。
02、云工作负载的安全挑战
随着互联网技术的发展,云计算、大数据、物联网、微服务、容器等新技术的尝试和应用,基础设施架构呈现出更加“混合化”的趋势,虚拟化、微服务、容器等工作负载成为了新的业务载体。在基础设施不断变化的背景下,传统的边界安全防护就很难起到预期效果。攻击者能轻易地通过网络攻击获取用户工作负载权限,继而针对工作负载的网络环境进行横向渗透。而在这种环境下不论在内网或者在云上,都很难找到一个类似“网关的位置”部署传统的安全设备进行全面的安全监测与防护,由此也就延伸出了一系列针对工作负载新边界的安全问题。
随着常态化、实战化的攻防演练的展开与深入,通过总结攻防演练期间出现的隐患类型,可以发现,其中内网隐患最高占据47%,互联网隐患占据26%,生产网隐患占据19%,办公网隐患占据8%。根据这些数据的统计我们不难发现,对于企业而言内网已经成为攻防对抗的新战场,而工作负载作为内网承载业务系统的载体更是攻击者的下手目标。
03、安全狗一体化云工作负载安全产品介绍
安全狗自2013年发布主机安全产品,采用主机Agent+云管理平台的模式保护主机服务器安全,此做法正好与Gartner提出的CWPP理念不谋而和。作为国内第一批引入CWPP理念的云安全厂商之一,并且在端点安全领域深耕多年,安全狗成为国内第一批推出云作负载安全解决方案供应商,同时也是目前国内覆盖工作负载安装数量最大的CWPP厂商之一。
近期安全狗发布了一体化云工作负载安全系列产品新版本,全面适配混合云、云原生等新型架构,其以云原生为中心思想,基于宿主机统一轻量化Agent实现主机漏洞检测和补丁修复、主机入侵检测及安全防护,解决云原生环境下容器生命周期的安全检测及防护,以及对虚机之间、容器之间的网络流量采集和网络微隔离控制,通过统一轻量Agent,构建主机安全、容器安全、网络微隔离和补丁管理的安全产品体系,即,安全狗新一代工作负载安全产品体系,包含:云眼、云甲、云隙和云网产品。
图1
如图“纵向”主机和容器安全解决了工作负载的安全防护和监测需求,“横向”的补丁管理和自适应微隔离解决了安全运营的问题,“纵横交错”解决防护监测和持续安全运营两个维度的问题,安全管理和运维管理相辅相成。
二、安全狗一体化云工作负载安全产品亮点功能
01、统一云工作负载轻量化Agent
安全狗融合安全及运维管理需求,推出了创新的开放式“N合一”架构,统一了主机安全、容器安全、微隔离、漏洞补丁等多个安全及运维管理场景,实现了Agent的融合。通过云眼、云甲、云隙、云网四款产品共同使用同一个Agent基座,功能以插件方式扩展,无需重复部署多个Agent。
插件化架构是实现Agent统一的基础和前提。插件化的Agent轻量、稳定低消耗,功能易扩展。整体上分为两部分:Agent底座和插件。Agent底座是提供基础环境,包括:进程调度、资源限速管控、内存管理和异常管理功能,确保插件能运行在Agent提供的环境上。插件是指能够在Agent底座上运行并实现云工作负载安全保护功能的脚本文件,插件包括资产采集插件、漏洞检测插件、入侵检测插件、基线检查插件、通用任务插件、网络流量采集和容器安全检测插件等。
图2
Agent底座实现了功能的最小集合,大大减轻Agent对于主机性能的影响,其平均CPU消耗小于1%,峰值可以自定义小于5%。同时具备自适应降级和自适应自杀机制,减少Agent对业务的影响,确保业务优化原则。
02、全面兼容适配信创平台,共建信创生态圈
信创产业作为“新基建”的重要内容正在飞速发展,与此同时信创平台的网络安全性问题也不容忽视。安全狗作为国内领先的云安全解决方案提供商,坚持自主研发和国产化路线,积极推动产品与信创平台兼容适配。
安全狗一体化云工作负载安全系列产品已实现对飞腾、兆芯、海光、鲲鹏等CPU以及银河麒麟、中标麒麟、中科红旗、普华、凝思、统信操作系统UOS等主流信创平台的全面兼容适配。经过严格测试,安全狗云工作负载安全产品整体运行稳定,功能、兼容性等各方面表现卓越,可以满足用户需求。
目前安全狗一体化云工作负载已在客户侧投入稳定运行,为信创生态网络安全保驾护航。
03、(云)主机安全产品:新增主机微蜜罐功能,与蜜罐集群联动
云眼云主机安全产品新增微蜜罐功能,通过在安装轻量化Agent的工作负载上投放欺骗诱捕的监听端口,当攻击者连接欺骗诱捕的监听端口时,立即关闭连接,记录连接信息并告警。
新版本还支持与蜜罐集群联动,将攻击者连接的监听端口的连接信息转移至蜜罐集群,即通常所说的高交互蜜罐。通过在业务环境中创建高仿真环境,真实的工作负载和欺骗诱捕节点共存,虚虚实实、真真假假,当攻击者进行扫描时,攻击者难以锁定真实目标。当监听端口被攻击时,攻击流量引入欺骗防护系统中,从而让攻击者掉入我们布下的陷阱中。在攻击者未察觉的情况下对攻击行为进行捕获和分析,了解攻击者所使用的工具与方法,采集攻击者的硬件指纹和录制攻击者的攻击行为。
图3
04、微隔离产品:“双管齐下”构建主机和容器自适应的微隔离
安全狗云隙微隔离产品基于CWPP技术架构,通过在工作负载上部署轻量化Agent采集网络流量,支持同时采集主机和容器的网络流量,可以精准识别主机与容器间的网络流量。云隙提供多级别的业务可视化能力,数据中心视图下可支持流量合并操作,按照业务组、业务角色合并流量线,有利于对业务关系进行梳理分析,使得业务分析更加灵活和简便,能更好的辅助策略规则的设计。
图4
安全策略配置支持自动策略生成,根据机器自学习业务流量,批量生成策略规则,支持增量、全量两种生成模式。云隙微隔离自动策略生成“五步法”将在后续文章中详细介绍。
通过可视化管理、策略管理,实现对数据中心、云环境的业务流量可视化管理,绘制可视化的业务拓扑,同时提供对主机和容器工作负载进行全方位的精细化隔离与防护策略管理,控制业务流量访问,全面降低东西向的横向穿透风险,阻止攻击者进入数据中心网络内部后的横向平移,降低攻击面。
图5
05、容器安全产品:覆盖容器全生命周期安全检测与防护
安全狗云甲容器安全产品通过部署在宿主机工作负载上的轻量Agent,采集镜像、容器、POD基础资产数据和容器进程、端口、数据等业务资产,协助用户在容器化转型过程中对资产进行清点。云甲可以对镜像构建过程中,发现镜像存在的系统漏洞、恶意代码、敏感文件泄露等镜像风险问题,确保镜像在分发上线前安全可信,同时用户可自定义镜像阻断规则,对存在病毒木马、webshell、特定系统漏洞或非信任镜像等规则下的镜像阻断其运行,从源头上杜绝漏洞和恶意代码引入。在容器运行时,云甲可以实时监控容器运行时入侵行为,包括容器逃逸、容器内恶意程序、异常文件操作行为、异常命令行为以及异常网络行为,及时发现容器内入侵攻击并快速响应,为企业云原生建设提供安全保障。
图6
除了轻量化Agent部署模式外,云甲还支持平行容器的部署方式,减小对环境依赖,易管理易维护。
三、安全狗一体化云工作负载安全产品经典案例
安全狗新一代一体化(云)工作负载安全系列产品已经在国内某大型互联网在线制造平台有实际部署案例。
图7
该案例中采用统一轻量化Agent部署在用户宿主机上,对主机静态和动态资产采集、漏洞风险检测和入侵威胁实时监测,保护宿主机安全。同时对容器全生命周期进行安全配置检测,对容器构建阶段的镜像文件的风险漏洞进行检测并自定义镜像准入控制,从源头上杜绝恶意代码引入,实时监控容器内入侵行为,及时发现容器内入侵攻击并快速响应。统一轻量化Agent运行稳定,在保护主机和容器安全的同时,对业务几乎无影响。
统一轻量化Agent采集到的主机和容器资产,以及主机和容器的攻击入侵事件推送至安全态势感知平台,为用户构建纵深立体的联动响应体系,有效覆盖主机侧、容器侧事件协同处置。
来源:freebuf.com 2021-07-23 10:22:42 by: 安全狗safedog
请登录后发表评论
注册