周兵峰

不斷創(chuàng)新的技術(shù)帶來了一系列好處，例如自動(dòng)化、敏捷性和效率，提高了公司的生產(chǎn)率，但是，隨著新技術(shù)的到來，漏洞和安全威脅也隨之而來。集裝箱化就是這種情況，盡管容器化已經(jīng)存在了數(shù)十年，但近年來云計(jì)算的革命性發(fā)展才真正推動(dòng)了容器化的普及。盡管具有很多優(yōu)點(diǎn)，但是容器化也還是有一些漏洞，容器普遍壽命較短，迫切需要加強(qiáng)對(duì)容器環(huán)境安全性和合規(guī)性問題的研究與投入。

云隙是安全狗打造的自適應(yīng)微隔離系統(tǒng)，基于CWPP有3種技術(shù)路線：基礎(chǔ)設(shè)施隔離、虛擬化層隔離以及工作節(jié)點(diǎn)主機(jī)代理模式（Agent）隔離。主要采用通過在公有云、私有云和混合云模式下的工作負(fù)載安裝Agent，采集工作負(fù)載之間的網(wǎng)絡(luò)流量，以可視化展示網(wǎng)絡(luò)訪問關(guān)系，實(shí)現(xiàn)根據(jù)業(yè)務(wù)需求設(shè)置訪問控制策略，工作負(fù)載支持主機(jī)服務(wù)器、虛擬主機(jī)和容器等節(jié)點(diǎn)模式。

在云隙新版本中，可通過Agent將容器成功接入管理中心，采用微隔離技術(shù)和NetworkPolicy機(jī)制，不僅能夠識(shí)別容器網(wǎng)絡(luò)，繪制容器之間、宿主機(jī)與容器間的業(yè)務(wù)拓?fù)洌€可以進(jìn)行安全策略配置，實(shí)現(xiàn)容器網(wǎng)絡(luò)的微隔離，保證網(wǎng)絡(luò)安全和業(yè)務(wù)優(yōu)化。

容器網(wǎng)絡(luò)流量采集

采用鏈接跟蹤（conntrack）技術(shù)方案采集容器間的網(wǎng)絡(luò)流量，基于Netfilter實(shí)現(xiàn)的conntrack機(jī)制以及procfs提供的進(jìn)程信息分析。conntrack本身并不會(huì)對(duì)包進(jìn)行過濾，而是提供一種基于狀態(tài)和關(guān)系的過濾依據(jù)，只關(guān)注網(wǎng)絡(luò)流量的基礎(chǔ)數(shù)據(jù)。同時(shí)使用procfs提供的進(jìn)程信息將進(jìn)程和網(wǎng)絡(luò)做連接，從而達(dá)到所需的監(jiān)控要求。

通過對(duì)進(jìn)程下網(wǎng)絡(luò)信息的分析，結(jié)合conntrack捕獲到的鏈接數(shù)據(jù)，就可以將主機(jī)下的網(wǎng)絡(luò)拓?fù)溥€原出來，而容器的本質(zhì)也是宿主機(jī)上的一個(gè)進(jìn)程，最終主機(jī)棧的網(wǎng)絡(luò)拓?fù)浜腿萜鳁５木W(wǎng)絡(luò)拓?fù)涠伎梢员环治龀鰜怼?h3>容器網(wǎng)絡(luò)流量可視化

通過采集容器資產(chǎn)信息，對(duì)容器資產(chǎn)進(jìn)行分析，并基于全局標(biāo)簽管理，為容器貼標(biāo)簽，將容器標(biāo)簽化，形成一組容器唯一的安全屬性，根據(jù)業(yè)務(wù)組標(biāo)簽自動(dòng)進(jìn)行分組。針對(duì)容器業(yè)務(wù)構(gòu)成及業(yè)務(wù)依賴關(guān)系進(jìn)行分析，展示業(yè)務(wù)依賴路徑，完整顯示容器間的訪問關(guān)系，采用AntV G6方式進(jìn)行訪問關(guān)系渲染與顯示，繪制出容器業(yè)務(wù)拓?fù)?，?shí)現(xiàn)容器網(wǎng)絡(luò)流量的可視化。

標(biāo)簽化+自動(dòng)化安全策略管控

通過去IP化、標(biāo)簽化，實(shí)現(xiàn)多維度規(guī)則配置，達(dá)到集中性的管理策略，分散性的控制流量。與底層IP、端口等網(wǎng)絡(luò)元素解耦，當(dāng)容器環(huán)境發(fā)生更新時(shí)，動(dòng)態(tài)更新關(guān)聯(lián)容器的規(guī)則，自動(dòng)適應(yīng)容器環(huán)境。

采用流量學(xué)習(xí)自動(dòng)化的思維，通過數(shù)據(jù)獲取與處理、策略規(guī)則配置、策略規(guī)則驗(yàn)證及策略下發(fā)生效等流程，可基于訪問關(guān)系快速、有針對(duì)性地自動(dòng)批量生成容器安全策略規(guī)則。

網(wǎng)絡(luò)微隔離助力風(fēng)險(xiǎn)閉環(huán)處置

通過全面地對(duì)容器端口調(diào)用進(jìn)行監(jiān)控，記錄容器互訪關(guān)系，針對(duì)端口調(diào)用關(guān)系，進(jìn)行策略規(guī)則配置，實(shí)現(xiàn)按需開放。通過細(xì)粒度的訪問控制策略逐步細(xì)化、收緊工作負(fù)載的攻擊暴露面，防止攻擊者利用跳板竊取有價(jià)值的數(shù)據(jù)資產(chǎn)，防止病毒在內(nèi)部網(wǎng)絡(luò)中傳播。

越來越多的企業(yè)采用容器化部署以此支持自身業(yè)務(wù)快速布局，但容器內(nèi)東西向流量的不可見導(dǎo)致異常訪問不可視，進(jìn)而導(dǎo)致黑客入侵、提權(quán)、劫持?jǐn)?shù)據(jù)等損害企業(yè)利益的行為發(fā)生。安全狗云隙的全局可視化管理、實(shí)時(shí)流量檢測、實(shí)時(shí)業(yè)務(wù)拓?fù)?、自?dòng)化策略配置等功能可為用戶提供安全防護(hù)。

基于標(biāo)簽化的資產(chǎn)管理及可視化連接分析能力，數(shù)據(jù)中心內(nèi)部容器資產(chǎn)屬性及業(yè)務(wù)間的互訪關(guān)系得以理清。為安全運(yùn)營人員提供全局可視，及時(shí)阻斷異常入侵攻擊行為，有效緩解安全專業(yè)水平低等資源問題。

全面監(jiān)控容器的端口調(diào)用關(guān)系，進(jìn)行策略管控，基于流量訪問關(guān)系與策略匹配情況，快速發(fā)現(xiàn)異常訪問行為，快速定位業(yè)務(wù)系統(tǒng)上的異常流量，有效維護(hù)業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行。

實(shí)時(shí)業(yè)務(wù)拓?fù)淠軌蛄私夤粽呖墒褂玫乃泄粝蛄亢烷_放路徑，防止攻擊者利用跳板竊取有價(jià)值的數(shù)據(jù)，數(shù)據(jù)中心內(nèi)部防御能力得到顯著提升。有效防止數(shù)據(jù)被劫持、泄露進(jìn)而勒索等事件發(fā)生。

高度自動(dòng)化和可編排的策略配置能力，在容器發(fā)生遷移、IP變化和彈性拓展等場景時(shí)，安全策略能夠自動(dòng)適應(yīng)調(diào)整，減少人工參與，消除了手動(dòng)配置發(fā)生錯(cuò)誤的風(fēng)險(xiǎn)。有效賦能云原生容器化快速部署，讓業(yè)務(wù)拓展和安全實(shí)現(xiàn)雙贏。

面對(duì)難以修復(fù)漏洞的老舊系統(tǒng)、內(nèi)部病毒橫向傳播、大型攻防演練等多種場景，安全狗云隙也能開展有效的監(jiān)測，及時(shí)阻斷異常流量與病毒，確保內(nèi)部業(yè)務(wù)系統(tǒng)、數(shù)據(jù)正常運(yùn)作。