神州泰岳

产品介绍

容器安全防护系统(Ultra-SmartLxCShield)是面向企业用户提供的一款容器安全检测和防护的管理利器。能够扫描镜像和编排组件中的漏洞与配置信息,帮助企业解决传统安全软件无法感知容器环境的问题;同时提供容器进程白名单、文件只读保护和容器逃逸检测等功能,有效防止容器运行时安全风险事件的发生。容器安全能力覆盖容器生命周期中三大关键阶段,涵盖容器构建时的镜像安全、容器部署时的安全配置(基线检查)和容器运行时的入侵检测和防御,实现了容器安全预测、防御、检测和响应的安全闭环,有效防止容器安全风险事件的发生。

优势分析

适用场景

经典案例

神州泰岳

快速扫描最低消耗

快速的扫描方式,较低的性能消耗,Agent对Server端的数据上报,Agent的处理机制对服务器的性能消耗低于5%,对业务无干扰。

主动防御安全闭环

基于流量建模,自动发现问题,对失陷容器进行关闭和隔离。降低安全问题影响的范围,阻断容器间的相互干扰和影响。

详细入侵信息抓取

通过捕获入侵事件发生前的关联进程事件,深入抓取入侵事件的详细信息,并以可视化的方式展示,帮助用户分析入侵行为的攻击链路和了解整体环境的入侵情况。

一键检测结果可视

指定检测任务,Agent采集相应文件,解析并分析合规基线,确保容器以最小权限运行,从而提高系统和应用的安全性。合规基线检测结果可视化列表呈现,用户可以清晰看到每一个检查项的说明、通过情况以及检测详情信息。帮助用户快速了解基线检测未通过的原因,及时对容器相关配置进行修改更新。

检测全面技术先进

支持T-sec、小红伞、clamAv等多种病毒库,发现镜像中的木马病毒,通过正则匹配、ssdeep、已知恶意样本等多种匹配模式,深入发现镜像中的web后门文件,发现镜像中的敏感信息/操作,如ssh-key、环境变量中的用户密码、镜像中的数据文件。

镜像保障贯穿始终

全生命周期的镜像安全保障,涵盖Build、Ship、Run三个环节,主动、持续地监控所有主机和远程镜像仓库中镜像安全漏洞风险和容器引擎本身漏洞风险。

深度资产内容识别

深度的资产内容识别,对每类资产进行了深入分析,获取资产相关的各项高价值安全数据,包括镜像操作系统、容器数据挂载和网络连接情况等,帮助用户从安全角度细粒度观察资产运行状况和关联关系。

快速定位关键资产

灵活的检索方式,快速定位关键资产,在发生安全事件时,通常需要获得多维度、跨时间段的数据综合分析,本产品参考大量国外先进经验,结合通用安全检查规范与安全事件的数据需求,形成细粒度资产清点体系。

资产状态实时可见

自动化持续性构建资产信息,资产状态实时清晰可见,通过在容器的宿主机上安装Agent,可在15秒内,从正在运行的环境中,反向自动化构建容器业务资产结构,上报中央管控平台,集中统一管理。

可视化

资产可视化 网络可视化 风险可视化

容器运行时检测

异常挂载、敏感配置、木马病毒、WebShell、横向移动、可疑操作、文件监控、反弹Shell、容器逃逸、容器隔离

合规检测

Kubernetes合规检测 Docker合规检测

镜像扫描

漏洞扫描、木马、病毒扫描、WebShell扫描

资产清点

镜像、镜像仓库 主机、集群(Kubernetes)、Docker、容器

容器隔离

基于流量特征,自动隔离失陷容器,实现云环境下的容器内部网络行为精细管控。

流量建模

结合流量规则,白名单,对容器间的流量建模,来自适应识别运行时容器网络。

容器入侵检测

结合系统规则,白名单,基准和行为建模来自适应识别运行时容器环境中的威胁。

容器环境检测

基于CIS Benchmark,为用户提供最佳合规操作实践。

镜像安全扫描

实现全生命周期的镜像安全性。

资产清点

自动化构建容器资产相关信息,时刻掌握容器资产变化,消除资产盲点,使安全不落后于业务。

经典案例

某运营商分省公司容器云安全防护

合作背景

随着智慧中台思路的推进,容器云凭借高可用、DevOps敏捷化、微服务化、弹性扩展、自动化、分布式的特点,支撑运营商技术中台PaaS的落地,给应用带来了资源合理解耦、轻松调度编排 、应用灵活扩展、服务集中管控等优势。随着PaaS云的推广,大量的应用部署在基于容器的架构上。然而,在容器技术被广泛接收和使用的同时,容器运行环境、容器以及容器运行微服务的安全成为了亟待研究和解决的问题。

  

技术方案

通过实施部署Ultra-SmartLxCShield容器云安全平台,解决目前缺少针对容器云安全监测的问题,根据容器常见安全风险来源,生成可操作、可执行、具推广意义的容器安全基线检查清单;针对镜像仓库、容器、节点、k8s、Docker等不同环节,通过对不同对象的分解,制定有效的监测手段,并最终形成一体化的监测解决方案。

客户价值

截止目前,容器安全防护系统共接入4个集群,142个节点,1687个容器,9632个镜像,下发检测任务65个,检测基线告警9503项,Agent部署153台,容器安全能力覆盖容器生命周期中三大关键阶段,有效防止容器运行时安全风险事件的发生。 容器安全防护系统填补了运营商某分省公司日常安全管理三同步工作上缺失的能力,为新业务应用和推广保驾护航的同时减少了运维和管理人员的工作负担,大幅度提高了维护人员的工作效率,从技术上保证系统安全策略的实施,提高了核心数据和业务系统的安全性,实现了降本增效的目标。