近年来,以容器为代表的云原生失去了市场的高度认可,正逐渐成为新一代支流 IT 基础设施。但因为容器以及容器应用环境引发的平安危险与安全事件一直爆出,容器的平安问题也随之浮出水面。
8 月 6 日,腾讯平安和青藤云平安独特举办容器平安平台新品策略单干发布会, 基于腾讯平安提供的高效稳固的云服务为根底,以青藤的最新容器平安平台为依靠,打造青藤蜂巢·容器平安平台 ,助力企业客户无效解决平安上云问题。
腾讯平安与青藤新品策略单干公布典礼
容器平安成云平安重要抓手,保障平安需“软硬兼施”
从简略的利用容器化,到云原生利用的开发,容器技术成为了其最根底也是最外围的撑持技术。腾讯平安专家谢奕智在发布会上谈到,容器平安是云平安十分重要的一个组成部分,也是一个十分重要的抓手,次要体现为以下几个方面:
- 镜像平安,例如镜像中蕴含了恶意代码、镜像中的组件存在破绽、明文秘钥等;
- 资产治理,整个容器的资产可见性是 IT 人员比拟器重的;
- 配置管理,主动发现配置上的平安问题,能够晋升研发效率;
- 满足合规要求;
- 运行时的威逼防护,包含入侵检测、病毒逃逸和木马;
- 网络隔离,尤其是在东西向流量剧增状况下确保其安全性;
- 风险管理。
将来在硬件上须要为整个容器提供可信计算的环境,而在软件方面,更多地要关注利用。
联结打造青藤蜂巢,为容器提供全生命周期平安防护
因为容器技术的宽泛应用,平安须要进一步左移,在镜像构建晚期阶段就发现问题,尽早地定位平安问题,以解决攻击面和潜在的运行问题。
腾讯平安联结青藤云平安打造的青藤蜂巢,提供全生命周期的一站式解决方案 ,实现了平安预测、进攻、检测和响应的平安闭环。青藤蜂巢次要提供容器资产盘点、镜像平安、运行时平安、合规基线等性能。
青藤蜂巢全生命周期的一站式解决方案
- 具体的业务级别的资产盘点,一方面让平安人员能够去清晰地理解本人的爱护对象,另一方面能够在产生了一些入侵行为,或者是发现一些危险的时候,能够通过资产盘点做进一步的剖析和溯源。
- 容器平安外面十分重要的一点是,镜像平安。在 CI/CD 环节,镜像仓库外面,应用的镜像进行深度的扫描。
- 运行环境的平安,包含了 K8S 的平安、宿主机节点的平安问题。
- 入侵检测会实时检测容器内的入侵行为,比方 Webshell 等。容器外面的拜访关系,尽可能的梳理客户业务关系,提供细粒度的隔离策略,帮忙客户更好地进行内网环境的隔离。
- 合规基线,基于 K8S 等基线的要求,做了容器以及 K8S 在应用过程中须要遵循的配置平安问题。
- 容器审计,会记录容器外面所有的行为,在产生了入侵行为的时候,能够通过这样的审计记录很好地去溯源,看黑客进入到容器外面当前又产生了什么事件。
目前青藤蜂巢反对两种装置部署形式,一种是操作系统上装置主机 Agent,这种形式能够一个 Agent 同时笼罩主机平安以及容器平安的问题。第二种形式是符合云原生的平安架构,提供了容器化的 Agent,劣势次要是在于能够集成到 K8S 里,通过集中管理更好地部署在容器环境中。
在云原生环境下,必须要将容器平安视为云平安的一部分,通过容器平安增强云平安态势,有助于从本源上解决云原生平安问题。将来,腾讯平安将与青藤云平安深刻联手,独特打造最佳的容器平安一站式解决方案,保护客户容器平安以及云平安,推动构建云原生平安新生态。