一、案例背景：

某公司是一家互联网家具智能制造企业，通过云计算、大数据和AI人工智能等多项核心技术，以3D家居云设计系统、3D家居云制造系统、数控系统为核心，开发贯穿家居设计、营销、生产、管理全流程的软件系统，链接行业数字化生态全链路，为大家居产业提供前后端一体化解决方案。随着公司不断扩张，考虑到云原生高效稳定、快速响应的特点，已将80%的业务系统部署在阿里云上，以云主机和容器来承载业务。
 

在云环境下，该企业主要面临着两大安全需求：

• 容器安全

该企业公开可用的容器镜像数量逐步增长，目前容器总数超过8000、镜像总数超过35000，单月从存储库中拉起的镜像最高达到10000次，在使用容器的过程中，暴露出容器的安全风险，包括容器基础设施自身的安全风险，以及上层应用云原生化改造后新增的安全风险。
 

• 云主机安全

业务上云之后，安全边界变的模糊，传统安全防护机制已经不适合在云主机的环境中。并且网络流量从“南北”向流量转变为“东西”向流量，让内部流量不可视，云主机之间缺乏访问隔离，入侵威胁一旦进入一台云主机，就可以肆意蔓延到其他云主机等，造成严重信息安全问题。
 

二、案例概述：

面对云服务器主机的安全风险、容器的安全风险和上层应用云原生化改造后新产生的风险，该企业对市场上云原生安全产品进行考察，综合评估之后，最终选择了安全狗容器安全+主机安全+态势感知的一体化安全防护解决方案，用于保护其云服务器主机安全和容器安全。
 

我们的工程师们在用户现场经过分析和调查之后，提出了“在保护好宿主机安全的基础之上，更要确保镜像本身的安全，确保镜像在运行过程中不会被篡改”的思路，并以此为基础提出了以下主要解决方案

1.等保合规建设为了帮助用户落实等保2.0的相关要求，严格执行各项安全管理的制度，确保系统安全稳定运行，安全狗设计了的合规产品矩阵，以帮助用户单位顺利通过云等保测评。

通过采用主机入侵检测及安全管理系统安全，检测主机账号安全，设置不同账号对不同容器的访问权限，保证云服务器主机在构建、部署、运行时访问控制策略随其迁移；通过采用自适应微隔离系统解决对入侵防范的要求，制定可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

通过采用容器自适应安全管理系统，对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露
 

2.容器防篡改建设

在进行等级保护建设整改的过程中，镜像的安全需要重点建设，镜像的安全性直接影响容器安全，因为容器镜像在存储和使用的过程中，可能被篡改，如被植入恶意程序和修改内容，而一旦使用被恶意篡改的镜像创建容器后，将会影响容器和应用程序的安全。 因此，安全狗为用户提供用于容器镜像防篡改的机制，并通过控制手段来阻止无法通过完整性校验的镜像部署到容器集群中。通过与镜像构建的 CI/CD 流水线工具进行整合，实现镜像构建过程控制，从构建、测试、扫描到完整性检测全流程管控镜像安全。例如，为用户构建一个新的镜像，使用镜像签名与 CI/CD 流水线结合的机制进行镜像安全控制，流水线中每一个检测环节完成后均会基于镜像 Hash 值完成一次签名，最终在容器平台侧验证待部署镜像具备 CI/CD 流水线每一个环节的合法签名，容器平台才会基于该镜像进行容器启动；缺失任何环节的非法镜像或被篡改镜像均无法通过最终的验证环节，从而有效地保障了镜像的全流程控制与内容完整性。
 

3.容器可视化建设

对于传统的应用部署，无论是基于物理主机还是基于虚拟机，其操作系统上承载的应用相对固定。而在容器环境下，一台宿主机上可以快速部署和运行几十个甚至上百个容器，Kubernetes容器编排平台又提供良好的负载均衡、任务调度、容错管理机制，这样一来，一台宿主机上容器的部署密度和变化频率较传统环境有发生了巨大的变化。因此，需要可视化地发现和记录容器快速变化的行为，我们通过调用docker api与宿主机docker demon交互，获取镜像容器各类资产，梳理镜像类别、容器类别、主机类别资产，作为容器运行状态的数据支撑，将大量纷杂的数据转换为用户可以轻松访问、理解和利用的有实用价值的信息。并通过整合容器资产，依托折线图、饼图、环形图等将资产进行分类聚合、关联分析、趋势分析以及联合风险信息，通过统一的界面平台实现全面的可视化，从而实现实时发现和记录容器快速变化的行为。
 

4.容器微隔离建设

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

对容器进行微隔离，一方面针对业务角色，从业务视角更细粒度实现访问隔离；另一方面，针对业务之间的关系，在隔离的基础上，实现访问控制，从而降低入侵行为伴随东西向流量进行横向移动，以及检测数据泄露，实现“容器拓扑”的可视化、“网络策略”的自动化，来帮助用户在配置网络策略时快速的生效。
 

5.容器安全管理建设

建立容器安全管理平台，帮助梳理容器内部资产信息，包含镜像、镜像来源、容器、镜像仓库等资产信息，降低了人工采集资产的资源投入。镜像构建时就对镜像进行扫描，一旦检测到漏洞、错误配置、威胁等相关问题，立刻通过容器安全平台向管理员进行提示和处理。另外通过容器安全来检测和阻断容器运行时遇到的安全威胁，来保障容器的稳定运行。
 

6.宿主机安全建设

容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。
 

7.云主机安全建设

建立云主机风险监测和防护及外部业务系统监控为一体的安全防护体系，明确安全策略目标、工作流程和责任界面，建立“事前、事中、事后，检测、防护、响应”联动的安全服务体系。实现主动、可视、可防、可知、可管的安全管理，提升单位整体安全能力。
 

8.全网态势感知平台建设

全网态势感知平台是融合大数据分析技术、可视化技术、威胁情报技术于一体，为企业构建的新一代安全态势可视平台，通过集中所有资产安全状况，实时监控业务整体安全，让漏洞、威胁和攻击情况一目了然，保障所有资产的安全；通过网络设备基础信息数据和部署在重要信息系统、重要基础设施、重点网站的安全日志、入侵事件，实时监测安全风险，实时呈现告警事件的统计信息，建立纵深防御增强体系，对整体网络安全威胁态势进行分析和展示，提升安全决策的准确度和效率。
 

三、安全技术应用情况：

透过该互联网企业的云原生安全实践来看，云原生技术已经进入了快速发展期。云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在云原生应用的构建过程中，容器技术凭借其高效稳定、快速响应，成为云原生场景下的重要技术支撑。中国信息通信研究院《中国云原生用户调查报告 2020》指出2020 年 43.9%的国内用户已在生产环境中采纳容器技术，超过七成的国内用户已经或计划使用微服务架构进行业务开发部署等。可以说，容器的应用不仅仅是在互联网家居行业，更是在国内所有行业，包括政府、金融、通信、能源在内的众多领域的大型机构和企业，以及中小企业，均对其业务进行了不同程度的容器化。
 

安全是一个伴生技术，新技术必然会伴生新的安全问题，容器出现以后，容器安全问题自然随之而来，这使得我们对容器安全的认知和使用进入新的阶段，为了更好地应对容器建设过程中可能遇到的各类安全问题，安全狗打造了云原生安全防护体系，来为容器和云服务器主机的进行全方位防护。
 

通过安全狗一体化的安全防护解决方案，实现了对容器和宿主机的防护，并在此基础上进行可视化的安全管理，形成一个从外到内、从内到外纵深的安全防御体系。
 

本项目带给用户的价值如下：

全局可视：通过全网安全态势感知大屏，安全事情大屏、外部攻击大屏等从全局视角进行可视化展示，辅助安全管理，提供决策依据。

精准检测：从采集、检测、监测、防御、捕获等各种手段对云服务器主机和容器进行全方位的安全防护，各个模块进行联动，模块间数据联通，形成闭环系统。同时，避免了业务数据被入侵的可能性，极大的降低安全风险。

协同防御：安全感知系统通过与网络安全设备联动保障与网关间的协同防御，通过与容器安全管理系统、主机入侵监测及安全防护系统保障业务全生命周期的安全防护。

访问控制：支持细粒度的控制，阻断南北向和东西向攻击，根据实际需求，可以选择白名单模式或黑名单模式。

微隔离：针对东西向流量的隔离，提供基于业务流向的可视化，用于阻止攻击者进入网络内部后的东西向移动，能够有效阻止容器逃逸。
 

四、客户反馈效果：

应用安全狗云甲·云原生安全平台之后，该企业云原生安全建设迈出了关键的一步：凭借贯穿整个容器生命周期的安全防护，该互联网家居企业的容器和宿主机安全保护得到有效保障，实现了降低成本、提高效率、安全闭环管理的效果。