8月6日下午14:00，青藤與騰訊安全隆重舉辦了容器安全平臺新品戰(zhàn)略合作發(fā)布會，青藤蜂巢·容器安全平臺正式亮相。

青藤與騰訊安全新品戰(zhàn)略合作發(fā)布儀式

青藤蜂巢符合自主創(chuàng)新要求

在本次發(fā)布會的致辭中，原全國安標(biāo)委研究員崔書昆老師表示，青藤蜂巢·容器安全平臺的發(fā)布符合國家在自主創(chuàng)新方面的要求和戰(zhàn)略思想，符合當(dāng)今形勢的要求。青藤蜂巢的新品發(fā)布會意義重大。他希望，在自主創(chuàng)新的旗幟下，會有更多的信息安全產(chǎn)品、等保產(chǎn)品、容器安全產(chǎn)品能夠蓬勃發(fā)展起來。

原全國安標(biāo)委研究員崔書昆致辭

數(shù)世咨詢創(chuàng)始人李少鵬在網(wǎng)絡(luò)安全行業(yè)從業(yè)十多年，本次發(fā)布會特別邀請他擔(dān)任主持。會上，李少鵬老師表示，雖然容器技術(shù)極大地促進(jìn)了開發(fā)和應(yīng)用，但這種方便也帶來了相應(yīng)的風(fēng)險。對于容器安全，他也分享了自己的精彩觀點(diǎn)。

數(shù)世咨詢創(chuàng)始人李少鵬

容器安全現(xiàn)狀及未來發(fā)展趨勢

騰訊云安全專家謝奕智在演講中談到，容器安全就是云安全非常重要的一個組成部分，是一個非常重要的抓手，主要表現(xiàn)為以下幾個方面：

鏡像安全，例如鏡像中包含了惡意代碼、鏡像中的組件存在漏洞、明文秘鑰等。

資產(chǎn)管理，整個容器的資產(chǎn)可見性是IT人員比較重視的。

配置管理，自動發(fā)現(xiàn)配置上的安全問題，可以提升研發(fā)效率。

滿足合規(guī)要求。

運(yùn)行時的威脅防護(hù)，包括入侵檢測、病毒逃逸和木馬。

網(wǎng)絡(luò)隔離，尤其是在東西向流量劇增情況下確保其安全性。

風(fēng)險管理。

最后，謝奕智表示，未來在硬件上需要為整個容器提供可信計(jì)算的環(huán)境，而在軟件方面，更多地要關(guān)注應(yīng)用。

騰訊云安全專家謝奕智

青藤蜂巢，為容器提供全生命周期安全防護(hù)

由于容器技術(shù)的廣泛使用，安全需要進(jìn)一步左移，在鏡像構(gòu)建早期階段就發(fā)現(xiàn)問題，盡早地定位安全問題，以解決攻擊面和潛在的運(yùn)行問題。

青藤蜂巢·容器安全平臺產(chǎn)品負(fù)責(zé)人李漫在演講中談到，為解決容器安全問題，需要對容器的運(yùn)行時進(jìn)行持續(xù)的監(jiān)控分析，及時發(fā)現(xiàn)異常的風(fēng)險和入侵行為，同時對于一些異常行為能夠進(jìn)行迅速的隔離防護(hù)，比如發(fā)現(xiàn)容器中的各種Webshell、敏感訪問等問題。

青藤蜂巢產(chǎn)品負(fù)責(zé)人李漫

青藤蜂巢提供的是全生命周期的一站式解決方案，實(shí)現(xiàn)了安全預(yù)測、防御、檢測和響應(yīng)的安全閉環(huán)。青藤蜂巢主要提供容器資產(chǎn)清點(diǎn)、鏡像安全、運(yùn)行時安全、合規(guī)基線等功能。

青藤蜂巢全生命周期的一站式解決方案

詳細(xì)的業(yè)務(wù)級別的資產(chǎn)清點(diǎn)，一方面讓安全人員可以去清晰地了解自己的保護(hù)對象，另一方面可以在發(fā)生了一些入侵行為，或者是發(fā)現(xiàn)一些風(fēng)險的時候，可以通過資產(chǎn)清點(diǎn)做進(jìn)一步的分析和溯源。

容器安全里面非常重要的一點(diǎn)是，鏡像安全。在CI/CD環(huán)節(jié)，鏡像倉庫里面，使用的鏡像進(jìn)行深度的掃描。

運(yùn)行環(huán)境的安全，包括了K8S的安全、宿主機(jī)節(jié)點(diǎn)的安全問題。

入侵檢測會實(shí)時檢測容器內(nèi)的入侵行為，比如Webshell等。容器里面的訪問關(guān)系，盡可能的梳理客戶業(yè)務(wù)關(guān)系，提供細(xì)粒度的隔離策略，幫助客戶更好地進(jìn)行內(nèi)網(wǎng)環(huán)境的隔離。

合規(guī)基線，基于K8S等基線的要求，做了容器以及K8S在使用過程中需要遵循的配置安全問題。

容器審計(jì)，會記錄容器里面所有的行為，在發(fā)生了入侵行為的時候，可以通過這樣的審計(jì)記錄很好地去溯源，看黑客進(jìn)入到容器里面以后又發(fā)生了什么事情。

目前青藤蜂巢支持兩種安裝部署方式，一種是操作系統(tǒng)上安裝主機(jī)Agent，這種方式可以一個Agent同時覆蓋主機(jī)安全以及容器安全的問題。第二種方式是契合云原生的安全架構(gòu)，提供了容器化的Agent，優(yōu)勢主要是在于可以集成到K8S里面，通過集中管理更好地部署在容器環(huán)境里面。

青藤蜂巢，為客戶守護(hù)容器安全

在發(fā)布會最后階段，來自水滴公司的基礎(chǔ)架構(gòu)部負(fù)責(zé)人、資深架構(gòu)師張帆和來自吉利集團(tuán)的基礎(chǔ)架構(gòu)部CTO鄭金偉也發(fā)表了精彩演講。

由于業(yè)務(wù)的快速發(fā)展，目前，水滴公司的云原生已規(guī)?；涞兀⒉捎萌萜鬟@種更輕量級的虛擬化技術(shù)。在部署了青藤蜂巢·容器安全產(chǎn)品后，水滴公司的容器安全狀況得到了極大改善：實(shí)現(xiàn)了更加細(xì)粒度的資產(chǎn)清點(diǎn)；解決了Docker 補(bǔ)丁管理難的問題；通過對內(nèi)在指標(biāo)的持續(xù)監(jiān)控和分析，實(shí)現(xiàn)了更加高效的入侵檢測；還能夠緊跟監(jiān)管政策，不斷更新等級保護(hù)、CIS 標(biāo)準(zhǔn)對應(yīng)的基線，實(shí)現(xiàn)一鍵自動化檢測。

吉利公司目前也在大規(guī)模實(shí)現(xiàn)業(yè)務(wù)上云，借鑒了“大中臺、小前臺”的經(jīng)驗(yàn)，通過服務(wù)化共享實(shí)現(xiàn)高效、降本及可持續(xù)業(yè)務(wù)發(fā)展, “前臺”領(lǐng)域應(yīng)用、“中臺”共享能力、“后臺”基礎(chǔ)支撐。容器平臺是其基礎(chǔ)架構(gòu)的核心引擎，但鑒于容器鏡像、不安全配置、鏡像漏洞等問題，吉利集團(tuán)部署了青藤蜂巢，幫助吉利實(shí)現(xiàn)了統(tǒng)一融合的安全架構(gòu)。同時，鑒于青藤蜂巢性能消耗低，Agent穩(wěn)定性高達(dá)99.99%，青藤成為吉利可靠的安全伙伴。

文章來源： 青藤云安全資訊