厦门服云信息科技有限公司(品牌名:安全狗)成立于2013年,致力于提供云安全、(云)数据安全领域相关产品、服务及解决方案。作为国内云工作负载安全(CWPP)产品开拓者、云主机安全SaaS产品的开创者,安全狗依托云工作负载安全、云原生安全(CNAPP)、数据安全治理等技术理念,打造了云安全、安全大数据、数据安全等多条产品线,覆盖了网络安全行业的多个前沿领域,满足不同用户的多种安全需求。
近年来,国际网络空间安全威胁事件发生频率越来越高、影响范围越来越大,对国内不断依赖5G、云计算等新兴技术的各行各业用户也做出预警。随着攻防对抗越演越烈,国家不断加强对攻防对抗技术以及攻防演练的重视。在此次活动上,安全狗海青实验室负责人陈俊杰也着眼于攻防演练,为与会嘉宾分享《云原生运行时威胁检测经验》。
用户面临哪些云原生运行时安全威胁?
在介绍到云原生环境的运行时安全威胁时,陈俊杰指出“云原生技术在进一步释放云计算的效能的同时,也扩大了攻击面。在攻防演练的过程中,须对这些攻击面予以重视。”
结合对Gartner相关研究,陈俊杰指出第一点发现:云原生应用的攻击面激增。
再者,可能受攻击的阶段也更广泛,在容器应用的开发、构建、运行的全生命周期均面临着风险,这对DevSecOps的建设提出了更为严格的要求。
第二点发现:安全是一个整体。
云原生容器环境中,传统威胁和新型现代攻击是并存的,陈俊杰强调到。
安全狗云原生安全解决方案
陈俊杰结合安全狗海青实验室在云原生安全方面的研究经验,介绍了安全狗云原生安全产品云甲的功能与特点。
陈俊杰进一步解释了安全狗云原生安全2.X的隐藏含义,即,“2.X”中的“2”主要代表安全数据的“统合综效”,增强“双向反馈”,而“X”代表可拓展性,例如集成或外接更多的安全能力。
针对云原生环境面临的系列安全威胁,陈俊杰提出了相应的解决思路,即,结合“云原生 K8s 工作负载安全模型”:
“云原生 K8s 工作负载安全模型,它由应用、容器、主机以及集群等层级组成;各个层级均面临着安全的挑战;例如,应用层面临着“漏洞利用”以及“内存马”的安全挑战;在“容器层”与“主机层”之间,面临着“容器逃逸”的安全挑战;在“集群侧”,面临着“横向渗透”的安全挑战。
虽然应用、容器、主机与网络“环环相扣”且传统威胁和新型威胁并存,但安全狗也提出了“层层设防,层层监控”的解法进行应对:
通过Agent、Agentless以及多元威胁检测引擎来构筑“为云而生”的威胁检测框架。因此,也可以形成集应用、容器、主机与集群于一体的“立体纵深防御”;并且,还可以基于参考ATT&CK技战法,以及跟进威胁情报,来持续提升检测能力。
除此之外,在实现“工作负载安全一体化”的过程中,安全狗研发团队也构建了“多检测引擎”的运行时入侵检测体系。在模型和检测引擎的驱动下,安全狗云甲能有效检测出多种运行时安全威胁。
在攻防实战案例分享过程中,陈俊杰分别从红队视角做模拟攻击和从蓝队视角做产品入侵检测,层层递进地从多个场景介绍了云原生K8s工作负载后渗透综合案例。
在分享的最后,陈俊杰用“黑云压城城欲摧,甲光向日金鳞开”比喻云原生环境不断面临着的严峻安全挑战;用“岂曰无衣,与子同袍”比喻“战友”间“同仇敌忾”、用心构建“纵深防御体系”;最后他引用“兵者,诡道也”、“知己知彼,百战不殆”、“先为不可胜,以待敌之可胜”等古人智慧之言做防御思想的总结。在云原生技术快速发展的当下与未来,安全狗将从攻防对抗的视角持续优化云原生安全系列安全产品,与业界一起,持续推动我国数字经济转型及网络安全事业的深入发展。
转自:https://mp.weixin.qq.com/s?src=11×tamp=1718540876&ver=5326&signature=P*vnDZIaTNnkUzGn1UNRVegzFS-CfG33*jRIkPWlNXupXfigovi9h1KNnLhkaO2bazOFc-BHi9IeZYx8Nmbi9n9bg48Sv5bq*xYeYobk9L5hxR0bp57el7Jhoomp5rzx&new=1
转载请注明:jinglingshu的博客 » 安全狗云原生安全解决方案–聚焦云原生安全攻防|构建纵深防御的运行时威胁检测体系