安全文章

小佑科技发布容器安全产品-“镜界”容器安全防护平台

2020-02-05 北京小佑科技有限公司

0.jpg

    PaaS服务作为云计算3大服务之一,在2017年收入同比增幅为50.2%,是增长最快的云计算服务,而容器技术是推动PaaS增长的主要原因。根据Garterner预测,在2022年,有超过70%上的企业及组织将全面使用容器技术,同时容器技术推动了DevOps的发展,正在成为云计算的核心关键技术。

    然而,随着容器生态的壮大和应用普及后,带来的安全问题也较为突出,近半年来频繁出现了针对容器相关的安全漏洞及事件,从2018年12月爆出Kubernetes的CVE-2018-1002105,到今年2月的容器runc逃逸漏洞CVE-2019-5736,再到最近的Docker Hub数据泄露事件,说明容器的安全形势不容乐观。 而出现的这三类安全问题,正好击中了容器安全中需要重点关照的控制点,容器逃逸、仓库及镜像安全、编排及集群环境安全。

    北京小佑科技是国内较早关注容器的公司,针对容器安全的问题,自研了国内第一款容器全生命周期原生防护的安全产品-镜界™容器安全防护平台镜界针对容器的Build-Ship-Run全流程防护,同时可和DevOps流程无缝集成。

    镜界容器安全防护平台主要有如下几大功能:

    o   容器资产管理

    o   镜像深度扫描

    o   容器运行监控与控制

    o   微服务及API安全

    o   容器及集群的合规审计

1.jpg


容器资产管理


    集中对容器相关资产进行管理,包括镜像、容器、主机、镜像仓库和微服务的进行统一展示,同时对资产风险监控,实时反映资产以及其安全状态的变化。

2.jpg


镜像深度扫描


    对容器镜像进行深度的安全扫描,发现镜像中存在的病毒程序、木马程序、WEBSHELL、开源框架漏洞、密码证书文件,并对镜像的历史进行智能的关联追溯分析,漏洞包含10万以上的CVE库、兼容CNNVD库。同时对镜像扫描结果进行二次分析,为用户提供有价值的修复加固建议,兼容clair等开源镜像漏洞检测规则,支持和CI/CD工具无缝集成,支持Harbor、Registry v1/v2等开源镜像仓库。

3.jpg


容器运行监控与控制


    镜界可对容器运行的网络连接进行安全分析,使容器网络连接可视化,自动学习异常的网络连接,可分析容器之间、POD之间、进程之间的网络连接;同时可对容器内的入侵行为进行监控,可对容器逃逸、敏感文件拷贝等行为进行监控告警,还可对有漏洞的镜像禁止运行。

4.jpg


微服务安全


    得益于镜界原生容器安全防护的优势,可对Kubernetes内的服务进行自动发现,并对发现的服务进行自动化的安全检测,检测内容覆盖所有应用漏洞,同时支持手动安全检测。

5.jpg


合规审计


    根据CIS的最佳实践,对容器的配置进行安全基线扫描,镜界支持对Docker和Kubernetes的CIS审计,并实时监控修复结果。

6.jpg


应用场景及安装部署


    镜界容器防护平台支持在DevOps过程中的每一个阶段进行安全检测和控制,在Dev阶段,通过和构建平台如jenkins的集成,检测出镜像的安全漏洞,并指导修复,以API方式和构建平台无缝集成;在Ops阶段,镜界同样以平行安全容器旁路方式对Docker容器及Kubernets集群进行安全监控,无需刻意调整现有DevOps工作流程,是实现容器DevSecOps的最佳方式。

7.jpg

    镜界支持和推荐使用Kubernetes集群部署,部署安装方便快捷,对环境要求宽松,运行维护方便,且可利用Kubernetes自身的优点实现高可用和无限扩展。

8.jpg


产品特点及优势


    镜界容器安全防护平台产品是专门为容器及其集群设计的安全防护产品,从安全、使用和部署方面有如下优势:


  • 可全面防护容器平台,保证容器从镜像生成、存储到容器运行的全生命周期防护。

  • 结合了团队的容器安全经验和攻防经验,为用户能提有价值的安全解决案。

  • 全旁路模式部署安装,安装部署方便

  • Kubernetes兼容,保证其高可用性


    

    更多产品细节可访问: www.dosec.cn, 也可关注小佑科技官方公众号

9.jpg