<form id="7h797"></form>

      <address id="7h797"><nobr id="7h797"><meter id="7h797"></meter></nobr></address>

        <address id="7h797"><listing id="7h797"><meter id="7h797"></meter></listing></address>
              <address id="7h797"></address>

                <address id="7h797"><nobr id="7h797"><nobr id="7h797"></nobr></nobr></address>
                  <address id="7h797"><nobr id="7h797"><nobr id="7h797"></nobr></nobr></address>

                  青藤蜂巢容器安全平臺

                  蜂巢提供覆蓋容器全生命周期的一站式容器安全解決方案,實現了容器安全預測、防御、檢測和響應的安全閉環 。

                  青藤蜂巢容器安全平臺
                  • 系統簡介
                  • 產品功能介紹
                  蜂巢提供覆蓋容器全生命周期的一站式容器安全解決方案,實現了容器安全預測、防御、檢測和響應的安全閉環 。

                  容器安全面臨的挑戰

                  容器的入侵場景

                  與物理機、虛擬機、云主機等環境一樣,容器環境中的常用的入侵手段依然有效。
                  圖片

                  不安全的鏡像

                  ?  鏡像中使用的應用存在安全漏洞

                  根據綠盟2018年3月的研究顯示,目前Docker Hub上的鏡像76%都存在漏洞。

                  ?  公網倉庫中下載的鏡像,可能存在攻擊者植入的木馬病毒文件

                  安全公司Palo Alto Networks威脅情報小組Unit 42發現 DockerHub 上的鏡像一種新型的Graboid挖礦綁架病毒,目前已知這個蠕蟲已經感染了超過2,000臺不安全的Docker主機,用于挖掘Monero加密貨幣。

                  ?  鏡像中存在敏感信息

                  如passwords, keys, creds等

                  ?  Harbor 倉庫安全問題

                  1.7.0-1.8.2 版本存在垂直越權漏洞,因注冊模塊對參數校驗不嚴格,可導致任意管理員注冊。攻擊者可以通過注冊管理員賬號來接管Harbor鏡像倉庫,從而寫入惡意鏡像,最終可以感染使用此倉庫的客戶端。

                  ?  攻擊者上傳的惡意鏡像

                  惡意鏡像中可能存在反彈shell、挖礦等惡意行為

                  圖片

                  容器逃逸攻擊

                  容器的「逃逸問題」,直接影響到了承載容器的底層基礎設施的保密性、完整性和可用性。

                  危險配置、危險掛載導致的容器逃逸
                   privileged特權模式運行的容器
                   容器掛載Docker Socket的情況
                   容器掛載宿主機procfs、mnt等
                  圖片 危險配置、危險掛載導致的容器逃逸
                  程序漏洞、linux內核漏洞導致的容器逃逸

                   CVE-2019-5736  runC嚴重漏洞導致容器逃逸

                   CVE-2016-5195  Linux內核臟牛漏洞導致容器逃逸

                  圖片

                  程序漏洞、linux內核漏洞導致的容器逃逸

                  K8S集群攻擊

                  2018年,RedLock公司工作人員發現:數百個Kubernetes管理控制臺無需密碼即可訪問,即直接公開暴露在互聯網之上,這些管控臺被黑客們蓄意利用從事非法“挖礦” , 著名汽車公司Tesla 即曾慘遭此黑手。

                  圖片

                  Kubernetes ATT&CK Matrix

                  工作負載間橫向移動

                  早期數據中心的流量,80%為南北向流量;而在云原生下,隨著微服務架構的使用,80%的流量已經轉變為東西向流量。

                  在容器環境中,默認情況下同一集群中的所有pod可以相互訪問,所以網絡威脅一旦進入集群內,即可以肆意蔓延。

                  圖片

                  容器安全面臨的新挑戰

                  ?  不安全的鏡像

                  鏡像存在應用漏洞、木馬病毒、敏感信息泄露等多種安全問題

                  ?  容器逃逸攻擊

                  容器隔離性較弱,黑客可利用敏感掛載和漏洞實現逃逸到宿主機的行為

                  ?  集群易遭受攻擊

                  K8s的未授權訪問漏洞可實現逃逸攻擊

                  Runc 組件漏洞問題會引發容器的逃逸行為

                  harbor的應用漏洞會導致越權攻擊

                  ?  橫向移動

                  集群內工作負載間默認可以相互訪問,黑客進入集群內,可隨意訪問其他的pod

                  傳統安全防護手段的不足

                  傳統的安全產品無法深入識別容器內的安全問題。

                  ?  防火墻

                  容器內東西向的流量暴增,而傳統防火墻主要是為了南北向業務模型設計的,無法細粒度管理到容器環境如此海量和復雜的業務。

                  ?  終端安全

                  傳統的終端安全產品僅僅對OS一層有效,無法深入識別容器內的安全問題。

                  ?  漏洞掃描

                  容器鏡像分層存儲,傳統的漏洞掃描僅僅在OS和網絡進行掃描,無法對容器鏡像進行掃描。

                  ?  安全管理

                  DevOps模式下,流程全自動化,安全由誰發起,安全如何自動化管控,均給企業安全管理帶來了極大的挑戰。


                  容器安全解決方案

                  對工作負載進行持續監控和響應

                  持續監控分析并可視化容器運行狀態,及時發現異常風險和入侵,同時能夠快速進行隔離防護

                  圖片

                  全生命周期防護-“Shift left”

                  鏡像安全管控需集成到devops開發流程中。
                  圖片
                  微隔離策略

                  可視化容器訪問關系;提供從租戶、node、pod的維度進行微隔離策略的下發和管理。

                  解決東西向訪問不可見、網絡策略管理復雜的問題。

                  圖片
                  蜂巢容器安全平臺

                  蜂巢提供覆蓋容器全生命周期的一站式容器安全解決方案,實現了容器安全預測、防御、檢測和響應的安全閉環 。

                  圖片

                  容器資產

                  動化構建容器資產相關信息,時刻掌握容器資產變化,消除資產盲點,使安全不落后于業務。

                  ?  自動化、持續性容器資產清點

                  監控各類資產變化事件,實時上報容器資產

                  ?  全面的容器資產種類識別

                  不僅支持對容器等基礎資產的清點,還包括對容器內的web資產、應用資產進行識別

                  ?  細粒度的、業務級別的資產清點

                  對每類資產進行了深入分析,獲取資產相關的各項高價值的安全數據 

                  圖片
                  細粒度的、業務級別的資產清點

                  例如:Tomcat web 服務清點

                  ?  深入清點了進程PID、所屬用戶、命令行參數、應用版本等信息

                  ?  更進一步地,清點出tomcat的安裝路徑、配置文件路徑、訪問日志路徑、應用日志路徑等詳細信息

                  圖片

                  鏡像檢查

                  覆蓋BUID、SHIP、RUN 的全生命周期的鏡像深度檢查

                  圖片
                  鏡像深度檢查

                   基于3.5w+的安全補丁庫,發現鏡像中未打的安全補丁

                   支持T-sec、小紅傘、clamAv、青藤自研庫共四種病毒庫,發現鏡像中的木馬病毒

                   集成青藤自研雷火引擎,深入發現鏡像中的 web 后門文件

                   發現鏡像中的敏感信息/操作,如ssh-key、環境變量中的用戶密碼、鏡像中的數據文件等

                   受信鏡像檢測,發現非法鏡像

                  圖片

                  鏡像運行控制

                  允許用戶自定義規則,阻止不符合安全要求的鏡像運行。

                  圖片

                  容器運行時入侵檢測

                  提供多錨點的基于行為的檢測能力,能夠實時、準確地感知入侵事件,發現失陷容器,并提供對入侵事件的響應手段。

                  圖片

                  入侵檢測-Web后門

                   自動、實時web后門識別
                  自動化識別容器內 web 站點,實時檢測 web 目錄中黑客上傳的后門文件
                   精準、深入識別各類webshel

                  結合正則匹配、文件相似度等多種匹配方式

                  集成青藤雷火引擎,可深入識別各類混淆加密webShell
                  檢測率更高,誤報率更低
                  圖片
                  入侵檢測-容器逃逸

                  支持檢測各類容器逃逸行為

                   Privileged特權模式運行容器引起的逃逸

                   危險掛載導致的容器逃逸。如掛載Docker Socket、掛載宿主機procfs

                   內核漏洞導致的容器逃逸,如CVE-2016-5195

                  圖片
                  容器運行時防護 - 安全響應

                  檢測到異常入侵事件之后,對于失陷容器,支持快速進行安全響應,把損失降到最低。

                  支持的處理操作有:

                   隔離容器

                   暫停容器

                   殺容器

                  圖片
                  運行環境安全
                  發現容器運行環境 (docker/k8s/harbor…)的脆弱點

                   k8s 未授權訪問漏洞

                   docker未授權訪問漏洞

                   CVE-2019-16097 harbor倉庫越權漏洞

                   CVE-2019-5736  runC嚴重漏洞導致容器逃逸

                   CVE-2016-5195 Linux內核臟牛漏洞導致容器逃逸

                   CVE-2018-1002105   k8s權限提升漏洞

                  圖片
                  合規基線

                  構建基于 CIS Benchmark 的最佳安全操作實踐檢查

                   覆蓋了Docker和編排工具的合規性檢查

                   內置了100余項安全合規檢測項,覆蓋容器安全配置各個方面

                   合規基線自動進行周期性檢測 

                   生成規范化的報表,對每一個檢查項都有清晰檢查詳情和修復建議

                   抽象出十幾種基礎檢查能力,可以根據企業的需求自定義基線檢查策略

                  圖片

                  容器審計

                  全面覆蓋編排、docker、容器的行為審計,支持syslog數據對接。

                  圖片

                  產品架構與部署

                  產品架構

                  圖片

                  Agent 運行機制

                  蜂巢Agent,是一個輕量級Agent,經過 1,000,000+ 臺服務器的穩定運行實踐,可靠性達99.98%。

                   無驅動,非侵入式運行
                   運行性能消耗低

                  CPU占用率 <10%,內存占用 < 100M

                   資源消耗控制

                  負載過高時,Agent主動降級或重啟,給業務讓出資源

                   Agent通信安全加密

                  采用加密傳輸與服務端通信,保證數據安全

                   支持主機agent、容器化agent兩種部署方式

                  主機Agent可同時防護主機&容器的安全;容器化Agent支持編排統一管理

                  Agent原理

                   基于進程、API的容器資產盤點

                  通過調用docker API 獲取容器的資產信息,然后通過獲取容器內進程,根據進程指紋判斷資產類別。根據每種資產從進程命令、配置文件等獲取資產詳情。

                   基于進程、文件、系統調用的入侵事件分析

                  通過audit機制捕獲宿主機進程啟動事件,通過進程的namespace判斷所屬容器。再根據進程行為(例如判斷進程的輸入輸出流被定向到遠程IP,認為是反彈)進行入侵檢測。

                   Agent 通過管理阻斷插件,來控制鏡像的運行

                  hook在runc上有一個hive-shim,當個需要創建鏡像的時候,會問一下hive-shim,hive-shim會去問一下Agent, 是否有危險,是否可以創建,若可以創建,才會去調用runc,若不可以創建,則創建失敗。

                  圖片

                  產品集成

                   CI/CD

                  支持與CI/CD集成,提供 Jenkins掃描插件、鏡像掃描API服務
                   鏡像倉庫

                  支持與主流的鏡像倉庫進行集成,如Registry、Harbor、DTR、Jfrog等

                   編排工具

                  支持與主流的編排工具集成,如kubernetes等,深入支持編排的安裝部署、資產發現、編排應用漏洞

                  產品優勢

                   超融合架構,同時具備主機安全&容器安全防護能力(Agent安裝方式)

                   強大的安全運營分析能力,不斷為產品賦能

                   不斷升級的硬核技術實力,增強產品識別深度

                   蜂巢特色功能:容器資產盤點、運行環境安全分析、容器審計

                  支持的主流編排工具

                  蜂巢容器安全產品為容器的原生應用,支持各種編排工具的集中化部署,我們提供各種平臺的自動化部署腳本

                  圖片

                  欧美熟妇搡BBBB搡BBBB| 午夜人体艺术| 情欲秘书(H)| 玩弄少妇的肉体K8经典| 腐男18禁全彩肉肉无遮挡无码| 黄色小文章| 美女被躁到高潮嗷嗷叫视频| 日本三级丰满邻居人妻视频| xxxx电影| 荡翁乱妇| 1313久久国产午夜精品理论片| 老头干老太| 国产人做人午夜免费视频| 强奸之恋| 性交小电影| 色老太BBwBBwBBw高潮| 甜性涩爱在线| 大J8黑人BBW巨大怪物| 真实的国产乱XXXX在线四季| 女人与公拘交酡网站| 高H湿透纯肉放荡文NP| 大炕上大战白胖老妇| 色男人网站| 粉色视频入口| 爆乳tubesex| 扒开老师内衣吸她奶头动态图| 成年18禁美女网站免费进入| 好看的h文| 无限免费的视频在线观看| 国产69精品久久久久| 最新黄片| 翁公含着她的乳| 小兔子乖乖日本视频在线观看免费| 他趴在两腿中间添我| 色老太BBwBBwBBw高潮| JAPAN丰满人妻VIDEOSHD成熟Y| 黄色小文章| 亚洲最大色| 70岁老太把腿岔开给老头摸| 希崎杰西卡番号| 99国内精精品久久久久久婷婷| 真人实拍女处被破的视频在线观看| 曰本女人与公拘交酡高潮| 扒开她的乳罩吸奶头视频| 特级超大BBWBBBWBBBW| 短篇黄色小说| 老师白妇少洁第2部|