登录
完善云原生安全能力,解锁降本增效通关密码
2021.11.30
3532
青藤云安全
一、案例背景:
在企业数字化转型逐步深入的过程中,云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力。云原生技术架构充分利用了云计算弹性、敏捷性和资源池,成为企业降本增效的通关密码。
某省移动通信有限责任公司隶属中国移动通信集团公司,是中国移动有限公司的全资子公司。自2014年开始,该公司就陆续开展了在云化、容器化、微服务化等领域的探索,一直走在云原生应用的前列。新技术采用后,更加适应用户的新需求,大大提高了工作效率。同时,该公司正在以前所未有的速度构建和交付应用程序,实现动态扩容和缩容,资源占用量更少,应用加载更快,实现大规模应用的集中管理。
二、案例概述:
在云原生发展的道路上,通信行业传统的安全实践、策略和工具,远远不能承受云原生方法的扩展性和复杂性。新的云原生技术架构带来了新的安全风险,比如容器风险、网络风险、微服务风险等。具体挑战如下:
三、安全技术应用情况:
青藤作为该通信企业网络安全防护体系建设的重要合作伙伴,通过结合客户现状及需求,利用青藤自主研发的云原生安全平台——青藤蜂巢,助力解决云原生安全带来的新挑战。具体功能实现如下:
通过对运行的哪些应用、中间件以及数据库的进行清点,发现其安装路径,版本信息和配置情况,形成清晰的应用资产台账,帮助用户更好地去落地应用的治理。
除了上述卡点之外,青藤蜂巢还通过“准入”和“准出”对用户的镜像进行精准的安全管控。在静态检测过程中,凡是不合格镜像都“不准入”测试仓库,而在动态检测过程中,需对生产仓库和节点的镜像进行持续的安全检查,凡是不合格镜像都“不准出”生产仓库进行部署运行。
首先,青藤蜂巢能对容器内的文件、代码、脚本等进行已知特征的检测。以Webshell检测为例,青藤雷火引擎不依赖正则匹配,根据AI推理发现Webshell中存在的可疑内容。即便是在实战化对抗环境下,Webshell检测率高达99.54%。
其次,青藤蜂巢基于对恶意⾏为模式的定义,可对容器及编排⼯具内的⿊客攻击⾏为进⾏实时检测。例如,通过比对攻击链路上的关键攻击路径,针对黑客的每一步探测,系统均会进行持续性的检测。
最后,由于容器不可变基础设施的属性,其运行时行为模式相对固定。青藤蜂巢,通过对其进程行为、网络行为、文件行为进行监控和学习,建立稳定的容器模型。只要对异常偏离的行为的进行分析,就能发现未知的入侵威胁,包括0day等高级攻击。
四、客户反馈效果:
通过帮助客户构建以自适应安全为核心的安全基础设施,青藤蜂巢在构建、分发和运行的全生命周期内,有效保护了该公司容器和云原生应用的安全。通过实现对容器活动的全面可见性,让用户能够实时检测和预防可疑活动和攻击,弥补传统安全技术的不足,提升用户安全能力。
在企业数字化转型逐步深入的过程中,云原生以其高效稳定、快速响应的特点极大地释放了云计算效能,成为企业数字业务应用创新的原动力。云原生技术架构充分利用了云计算弹性、敏捷性和资源池,成为企业降本增效的通关密码。
某省移动通信有限责任公司隶属中国移动通信集团公司,是中国移动有限公司的全资子公司。自2014年开始,该公司就陆续开展了在云化、容器化、微服务化等领域的探索,一直走在云原生应用的前列。新技术采用后,更加适应用户的新需求,大大提高了工作效率。同时,该公司正在以前所未有的速度构建和交付应用程序,实现动态扩容和缩容,资源占用量更少,应用加载更快,实现大规模应用的集中管理。
二、案例概述:
在云原生发展的道路上,通信行业传统的安全实践、策略和工具,远远不能承受云原生方法的扩展性和复杂性。新的云原生技术架构带来了新的安全风险,比如容器风险、网络风险、微服务风险等。具体挑战如下:
- 其一,传统的管理方式难以对虚拟网络进行有效监控管理,也难以达到防护全部主机服务器的要求,造成无法及时发现来自内部、外部的安全隐患。
- 其二,以往系统漏洞检测一般采用网络扫描,通过问题IP定位到具体主机和应用系统。在应用容器化部署以后,由于容器资源的动态变化,增加了安全威胁检测、监控和保护的难度。
- 其三,传统软件架构下,应用之间通过物理机或虚拟机进行隔离,可以将安全事件的影响限制在可控的范围内。在容器环境下,多个服务实例共享操作系统,一个存在漏洞服务被攻陷,可能会导致运行在同主机上其他服务受到影响。
三、安全技术应用情况:
青藤作为该通信企业网络安全防护体系建设的重要合作伙伴,通过结合客户现状及需求,利用青藤自主研发的云原生安全平台——青藤蜂巢,助力解决云原生安全带来的新挑战。具体功能实现如下:
- 访问关系可视化
- 资产清点:
通过对运行的哪些应用、中间件以及数据库的进行清点,发现其安装路径,版本信息和配置情况,形成清晰的应用资产台账,帮助用户更好地去落地应用的治理。
- 镜像安全
除了上述卡点之外,青藤蜂巢还通过“准入”和“准出”对用户的镜像进行精准的安全管控。在静态检测过程中,凡是不合格镜像都“不准入”测试仓库,而在动态检测过程中,需对生产仓库和节点的镜像进行持续的安全检查,凡是不合格镜像都“不准出”生产仓库进行部署运行。
- 入侵检测
首先,青藤蜂巢能对容器内的文件、代码、脚本等进行已知特征的检测。以Webshell检测为例,青藤雷火引擎不依赖正则匹配,根据AI推理发现Webshell中存在的可疑内容。即便是在实战化对抗环境下,Webshell检测率高达99.54%。
其次,青藤蜂巢基于对恶意⾏为模式的定义,可对容器及编排⼯具内的⿊客攻击⾏为进⾏实时检测。例如,通过比对攻击链路上的关键攻击路径,针对黑客的每一步探测,系统均会进行持续性的检测。
最后,由于容器不可变基础设施的属性,其运行时行为模式相对固定。青藤蜂巢,通过对其进程行为、网络行为、文件行为进行监控和学习,建立稳定的容器模型。只要对异常偏离的行为的进行分析,就能发现未知的入侵威胁,包括0day等高级攻击。
- 运行时安全
- 微服务安全
- 微隔离
四、客户反馈效果:
通过帮助客户构建以自适应安全为核心的安全基础设施,青藤蜂巢在构建、分发和运行的全生命周期内,有效保护了该公司容器和云原生应用的安全。通过实现对容器活动的全面可见性,让用户能够实时检测和预防可疑活动和攻击,弥补传统安全技术的不足,提升用户安全能力。
- 通过深度安全检测平台,帮助用户安全人员清晰了解容器资产、准确定位风险漏洞,有效提高工作效率,同时也提升了安全人员的综合管理能力和技术能力。
- 用户通过青藤蜂巢的威胁监测能力,聚焦在系统层的威胁监测,关注系统层的入侵行为及影响,较网络层威胁监测具有更高的准确性和有效性。
- 用户通过青藤蜂巢有效提升了开源组件资产的识别和漏洞检测能力,通过系统层信息采集和分析,能够快速地完成资产和漏洞的核查,很好地解决了网络扫描器资产探测不全、误报漏报及耗时长的问题,效果非常明显。相较于传统扫描工具的流程,用户过去需要用将近1小时的漏洞扫描已经缩减到6分钟,效率提升10倍。
上一篇:基于商用密码的零信任安全应用案例
下一篇:碳泽玉衡漏洞管理系统
会员
活动
研究
教育认证
评估认证
关于我们
联系我们
微信号:csagcr
手机:19925407556
邮箱:info@c-csa.cn
手机:19925407556
邮箱:info@c-csa.cn