安天智甲容器安全檢測(cè)系統(tǒng)

暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)01容器安全背景和現(xiàn)狀02容器安全要點(diǎn)03安天容器安全產(chǎn)品04關(guān)鍵技術(shù)實(shí)踐網(wǎng)絡(luò)空間威脅對(duì)抗防御技術(shù)研討會(huì)暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)容器安全背景和現(xiàn)狀容器安全背景在數(shù)字化飛速發(fā)展的背景下，政府、金融、互聯(lián)網(wǎng)、制造業(yè)等也都在進(jìn)行不同程度的云化，然而云原生技術(shù)(容器、微服務(wù)、kubernetes等)正在憑借著敏捷性、可靠性、高彈性、易擴(kuò)展、持續(xù)更新等特點(diǎn)在蓬勃發(fā)展，成為各行業(yè)業(yè)務(wù)創(chuàng)新的重要推動(dòng)力。從重保的角度來(lái)看，今年8月份舉行的攻防演練明確了容器失陷的扣分標(biāo)準(zhǔn)，每失陷一個(gè)容器扣10分?；诩号c容器的數(shù)量關(guān)系，如果整個(gè)集群被攻陷，丟分會(huì)非常嚴(yán)重。二"-·2020年，信通院發(fā)布容器安全標(biāo)準(zhǔn)，推出可信容器云認(rèn)證；-·2021年，信通院發(fā)布云原生架構(gòu)安全白皮書；·2022年，CSA大中華區(qū)發(fā)布了云原生安全技術(shù)規(guī)范(CNST),同時(shí)聯(lián)合公安三所發(fā)布了針對(duì)云原生和云應(yīng)用的安全可信認(rèn)證?！?022年，公安三所編寫了等保2.0的容器云安全增補(bǔ)部分(征求意見(jiàn)稿)。容器技術(shù)應(yīng)用現(xiàn)狀試環(huán)境中使用容器的單位相比去年，已經(jīng)增長(zhǎng)了150%,意味著開(kāi)發(fā)和生產(chǎn)中容器的使用將會(huì)持續(xù)增長(zhǎng)。開(kāi)發(fā)階段使用34%躍升至72%,POC階段的容器用戶也已由21%增長(zhǎng)到60%。仍然會(huì)保持超過(guò)40%的復(fù)合增長(zhǎng)率。到2025年，容器基礎(chǔ)架構(gòu)軟件市場(chǎng)收入將與虛擬化軟件市場(chǎng)、云系統(tǒng)軟件市場(chǎng)請(qǐng)海橫流網(wǎng)絡(luò)空間威脅對(duì)抗防御技術(shù)研討會(huì)暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)容器安全要點(diǎn)容器安全要點(diǎn)容器作為支撐應(yīng)用運(yùn)行的重要載體為應(yīng)用的運(yùn)行提供了隔離與封裝，也因此生成為云原生的基礎(chǔ)設(shè)施，正因如此，其相關(guān)的安全風(fēng)險(xiǎn)與威脅也在不斷地涌現(xiàn)。從容器的特性與使用方式中可體現(xiàn)出針對(duì)容器的攻擊面和攻擊手段十分廣泛。容器其本身秒級(jí)啟動(dòng)、銷毀以及持續(xù)頻繁動(dòng)態(tài)變化的特征，極大的縮短了容器的生命周期，提升了容器安全防護(hù)的難度與挑戰(zhàn)。滿足企業(yè)的容器安全需求，需要構(gòu)建容器全生命周期的安全體系架構(gòu)，從攻防對(duì)抗角度出發(fā)，以下四點(diǎn)為核心防護(hù)階段。容器鏡像構(gòu)建階段容器部署階段容器運(yùn)行時(shí)容器網(wǎng)絡(luò)容器安全實(shí)踐要點(diǎn)容器部署階段容器鏡像安全是容器安全的第一道防線，容器合規(guī)部署是第二道防線，非法啟動(dòng)濫用權(quán)限容器、非法引入高危容器鏡像、容器部署階段容器鏡像安全是容器安全的第一道防線，容器合規(guī)部署是第二道防線，非法啟動(dòng)濫用權(quán)限容器、非法引入高危容器鏡像、非法引入不可信容器鏡像等進(jìn)入集群環(huán)境都會(huì)導(dǎo)致引發(fā)相關(guān)安全事故，甚至影響PaaS平臺(tái)安全。容器網(wǎng)絡(luò)由于K8S集群默認(rèn)不做網(wǎng)絡(luò)隔離，同時(shí)傳統(tǒng)網(wǎng)絡(luò)攻擊手段依然有效，黑客便可利用失陷容器對(duì)集群發(fā)起滲透。容器內(nèi)部網(wǎng)絡(luò)環(huán)境錯(cuò)綜復(fù)雜，也會(huì)給企業(yè)帶來(lái)“網(wǎng)絡(luò)關(guān)系梳理難，策略控制難"容器安全要點(diǎn)容器鏡像構(gòu)建階段容器鏡像構(gòu)建階段隨著容器越來(lái)越普及，作為容器運(yùn)行基礎(chǔ)的容器鏡像自然成為了安全的第一道防線。如果容器基礎(chǔ)鏡像存在安全風(fēng)險(xiǎn)，那其潛在威脅將存在于整個(gè)容器生命周期，所帶來(lái)的威脅甚至?xí)哂谕獠亢诳凸?。容器運(yùn)行時(shí)容器運(yùn)行時(shí)容器運(yùn)行時(shí)安全問(wèn)題中，最常見(jiàn)的為“容器逃逸、資源消耗”,通過(guò)漏洞逃逸出當(dāng)前權(quán)限從而對(duì)宿主機(jī)或其他容器進(jìn)行訪問(wèn)，同時(shí)導(dǎo)致資源耗盡，其中最常見(jiàn)的安全事件便為被利用進(jìn)行挖礦。典型威脅與案例-鏡像構(gòu)建典型威脅與案例-鏡像構(gòu)建早在2020年，某安全團(tuán)隊(duì)發(fā)現(xiàn)有攻擊者在Docker容器中注入木馬，進(jìn)行劫持挖礦，并使用DockerHub分發(fā)惡意鏡像。一個(gè)名為azurenql的賬號(hào)從2019年開(kāi)始一直處于活動(dòng)狀態(tài)，并托管了六個(gè)用于包含挖掘Monero的惡意木馬。鏡像中的挖礦木馬通過(guò)使用ProxyChains和Tor的網(wǎng)絡(luò)匿名化工具來(lái)逃避網(wǎng)絡(luò)檢測(cè)。賬戶上托管的鏡像累計(jì)拉取次數(shù)超過(guò)200萬(wàn)。黑產(chǎn)鏡像黑產(chǎn)鏡像·制作惡意黑產(chǎn)鏡像、偽裝躲藏·蠕蟲傳播惡意鏡像4-5個(gè)月就可以達(dá)到10w左右的下載量最大的黑產(chǎn)團(tuán)伙鏡像下載量超過(guò)1.8億典型威脅與案例-容器部署典型威脅與案例-容器部署隨著DevOps的流行，容器部署階段也需要密切關(guān)注是否合規(guī)，是否有高危配置、高危掛載、濫用特權(quán)等不合規(guī)行為，若發(fā)現(xiàn)不及時(shí)，各類風(fēng)險(xiǎn)將會(huì)被帶入集群內(nèi)部，可能直接導(dǎo)致宿主機(jī)和整個(gè)集群被攻擊者滲透，當(dāng)發(fā)現(xiàn)不合規(guī)配置需要及時(shí)進(jìn)行阻斷、告警，防止威脅進(jìn)一步擴(kuò)散。一般攻擊者通過(guò)各種掃描工具探測(cè)暴露在外部的容器API,發(fā)現(xiàn)后會(huì)在系統(tǒng)內(nèi)部署惡意容器，同時(shí)拉取容器鏡像，并在部署時(shí)指定“Privileged”參數(shù)，使得容器可以進(jìn)行逃逸并執(zhí)行相關(guān)挖礦程序，并且所執(zhí)行的這類ELF格式的加密貨幣挖礦程序會(huì)進(jìn)行各種各樣的偽裝躲避檢查。例如偽裝成nginx的應(yīng)用程序，來(lái)讓人以為它只是HTTP服務(wù)器，同時(shí)會(huì)隱藏在某些惡意鏡像當(dāng)中，如果發(fā)現(xiàn)不及時(shí)會(huì)被耗光資源導(dǎo)致業(yè)務(wù)崩潰?！薄?'黑客使用API拉取一個(gè)名為定“Privileged”參數(shù)，以便有足夠權(quán)限逃逸。Ve/4m/eaTP/TelenteMent32-請(qǐng)海橫流典型威脅與案例-容器運(yùn)行時(shí)典型威脅與案例-容器運(yùn)行時(shí)runC容器逃逸漏洞(CVE-2019-5736)、Dockercp命令(CVE-2019-14271)、臟牛漏洞-DirtyCOW(CVE-2016-5195)都是已公開(kāi)的容器逃逸CVE,其中DirtyCow是公開(kāi)后影響范圍最廣和最深的漏洞之一，臟牛漏洞之所以如此著名，主要在于其歷史悠久且影響范圍較廣。臟牛漏洞自2007年9月linuxkernel2.6.22被引入，直到2018年之后才被徹底修復(fù)，其中存在10余年時(shí)間，影響在此之間的所有基于其中版本范圍的Linux發(fā)行版。雖然容器環(huán)境有命名空間進(jìn)行隔離，但容器運(yùn)行環(huán)境與宿主機(jī)共享系統(tǒng)內(nèi)核，攻擊者可通過(guò)此類漏洞輕松逃逸出容器環(huán)境，獲取宿主機(jī)權(quán)限。容器環(huán)境可能由于各種原因引入不安全容器鏡像并成功運(yùn)行，引發(fā)容器逃逸事件發(fā)生，導(dǎo)致容器集群失陷，所以需要深入對(duì)容器運(yùn)行行為進(jìn)行監(jiān)控，防止惡意行為發(fā)生。漏洞成因StepA:Makeacopyofthe又及stepC:Writetothe(a)ThesequenceofactionsChangethepagetable,sothevirty漏洞利用過(guò)程1.啟動(dòng)兩個(gè)線程2.線程1:使用write系統(tǒng)調(diào)用寫入映射的內(nèi)存3.線程2:丟棄映射內(nèi)存的私有副本4.讓線程1與線程2相互競(jìng)爭(zhēng)，以便他們能影響輸出從而向只讀文件寫入數(shù)據(jù)5.競(jìng)態(tài)條件觸發(fā)漏洞網(wǎng)絡(luò)空間威脅對(duì)抗防御技術(shù)研討會(huì)暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)安天容器安全產(chǎn)品產(chǎn)品介紹安天智甲容器安全檢測(cè)系統(tǒng)(CNSP)定位于云原生安全領(lǐng)域，致力于提供專業(yè)、全面的容器安全防護(hù)能力。產(chǎn)品采用輕量化“一鍵部署”,無(wú)需人為在集群節(jié)點(diǎn)手動(dòng)安裝Agent,實(shí)現(xiàn)接入即防護(hù)。通過(guò)DevOps安全、集群資產(chǎn)可觀測(cè)、集群網(wǎng)絡(luò)安全、容器運(yùn)行時(shí)安全、機(jī)器學(xué)習(xí)、容器鏡像安全六大核心功能為容器安全提供全生命周期一站式服務(wù)，全面解決安全防護(hù)需求，為客戶高效提升安全防護(hù)能力。DevOps安全集群網(wǎng)絡(luò)安全|機(jī)器學(xué)習(xí)集群資產(chǎn)可觀測(cè)容器運(yùn)行時(shí)安全容器鏡像安全產(chǎn)品架構(gòu)自動(dòng)構(gòu)建自動(dòng)構(gòu)建容器鏡像、產(chǎn)品安裝包、客戶靖客戶靖提升軟件開(kāi)發(fā)、發(fā)布效率微服務(wù)減少業(yè)務(wù)組件耦合性；標(biāo)準(zhǔn)化發(fā)布服務(wù)，使得業(yè)務(wù)更加易于管理與變更；立體運(yùn)營(yíng)、監(jiān)控服務(wù)狀態(tài)，提升產(chǎn)品高可用、高并發(fā)能力自動(dòng)部署安全探針自動(dòng)部署，可跟隨集群擴(kuò)縮容動(dòng)態(tài)部署集群終端探針產(chǎn)品組件架構(gòu)終端探針安天智甲容器安全檢測(cè)系統(tǒng)(CNSP)構(gòu)建于K3S平臺(tái)，主要由4層組件協(xié)作實(shí)現(xiàn)防護(hù)能力訪問(wèn)層訪問(wèn)層展示層瀏覽器谷歌Edge展示層服務(wù)層網(wǎng)絡(luò)會(huì)話運(yùn)行時(shí)安全采集層網(wǎng)絡(luò)會(huì)話運(yùn)行時(shí)安全運(yùn)行環(huán)境火狐安全能力風(fēng)險(xiǎn)監(jiān)測(cè)風(fēng)險(xiǎn)監(jiān)測(cè)識(shí)別集群內(nèi)部所有資產(chǎn)類型(POD、容器、鏡像等),對(duì)資產(chǎn)信息梳理，進(jìn)行可視化展可通過(guò)郵箱、企業(yè)微信、釘釘?shù)谝粫r(shí)間進(jìn)行預(yù)警，協(xié)助客戶主動(dòng)防御在不斷對(duì)各類資產(chǎn)下發(fā)動(dòng)態(tài)防護(hù)策略后，對(duì)于攻擊面的防護(hù)進(jìn)一步進(jìn)行完善，對(duì)可能發(fā)生的攻擊御形成主動(dòng)防御從而完成產(chǎn)品安略，從而形成動(dòng)態(tài)防護(hù)，防護(hù)能力相較于傳統(tǒng)的靜態(tài)規(guī)則有了大幅提升。結(jié)合預(yù)設(shè)策略，平臺(tái)自動(dòng)對(duì)所發(fā)生的風(fēng)險(xiǎn)進(jìn)行處置，保證對(duì)客戶資產(chǎn)進(jìn)行全方位防護(hù)不被傳統(tǒng)EDR+NDR方式，對(duì)于云原生環(huán)境防護(hù)的挑戰(zhàn)隨著技術(shù)的迭代、發(fā)展，傳統(tǒng)方式主要以EDR或EDR+NDR方式解決云原生環(huán)境中的安全問(wèn)題，但這并不能在敏捷性較強(qiáng)的容器環(huán)境發(fā)揮較大優(yōu)勢(shì)。容器生命周期較短容器運(yùn)行環(huán)境相對(duì)獨(dú)立容器運(yùn)行環(huán)境與主機(jī)環(huán)境相互隔離容器網(wǎng)絡(luò)與主機(jī)網(wǎng)絡(luò)相互隔離請(qǐng)海橫流請(qǐng)海橫流安天的容器安全防護(hù)思路安天的容器安全防護(hù)思路全面云原生ML&零信任防護(hù)·安全左移保障DevOps制品安全·自動(dòng)學(xué)習(xí)容器行為形成行為基線·實(shí)時(shí)跟蹤集群資產(chǎn)狀態(tài)，平臺(tái)內(nèi)部還原資產(chǎn)拓?fù)洹ぞ邆湔J(rèn)證、授權(quán)的容器網(wǎng)絡(luò)微隔離能力·動(dòng)態(tài)擴(kuò)縮容適應(yīng)不同防護(hù)場(chǎng)景·采用ML算法改善安全事件誤報(bào)、漏報(bào)問(wèn)題可觀測(cè)性風(fēng)險(xiǎn)溯源·實(shí)時(shí)跟蹤集群資產(chǎn)風(fēng)險(xiǎn)及其事件·智能推薦防護(hù)策略，形成防護(hù)閉環(huán)·風(fēng)險(xiǎn)資產(chǎn)、風(fēng)險(xiǎn)事件溯源網(wǎng)絡(luò)空間威脅對(duì)抗防御技術(shù)研討會(huì)暨第十屆安天網(wǎng)絡(luò)安全冬訓(xùn)營(yíng)關(guān)鍵技術(shù)實(shí)踐第三個(gè)檢查點(diǎn)在打包完運(yùn)行階段第三個(gè)檢查點(diǎn)在打包完運(yùn)行階段部署階段云原生安全包括的安全左移是相對(duì)傳統(tǒng)安全檢查內(nèi)容提早對(duì)源代碼或中間制品做檢測(cè)，將缺陷和風(fēng)險(xiǎn)修復(fù)的成本盡可能地降低，同時(shí)將效率及質(zhì)量盡可能地提高，以實(shí)現(xiàn)更全面的防護(hù)。構(gòu)建階段構(gòu)建階段安全左移提高效率降低成本提升質(zhì)量減少風(fēng)險(xiǎn)安天智甲容器安全檢測(cè)系統(tǒng)(CNSP)可根據(jù)需求在DevOps的關(guān)鍵階段進(jìn)行安全檢查，并支持在平臺(tái)可視化流水線狀態(tài)，發(fā)現(xiàn)異常后可及時(shí)發(fā)出告警或者阻斷。通過(guò)層層掃描、策略限制，最大程度保障容器及集群環(huán)境安全。檢查點(diǎn)1第一個(gè)檢查點(diǎn)在代碼編第一個(gè)檢查點(diǎn)在代碼編譯階段可對(duì)源代碼進(jìn)行檢查點(diǎn)3檢查點(diǎn)2檢查點(diǎn)3檢查點(diǎn)4第四個(gè)檢查點(diǎn)在服務(wù)部第四個(gè)檢查點(diǎn)在服務(wù)部署階段，通過(guò)安全策略限制有安全隱患的容器口n口na日*ANT可視化流水線狀態(tài)：可視化流水線狀態(tài)：指導(dǎo)&建議：CVE相關(guān)說(shuō)明O-tmOOOw請(qǐng)海橫流rTCWECWE杜測(cè)病毒檢測(cè)非法容器非法容器毒器工作流程Cl防護(hù)1.流水線加入CNSP檢測(cè)Runner2.檢測(cè)Runner啟動(dòng)自動(dòng)拉取策略3.檢測(cè)Runner回傳檢測(cè)結(jié)果4.檢測(cè)Runner根據(jù)策略決策后續(xù)流程1.CNSP中控啟動(dòng)WebHook服務(wù)器2.被防護(hù)集群添加Validating配置接3.Trace集群事件由kube-apiserver傳4.CNSP根據(jù)策略決策后續(xù)動(dòng)作安天智甲容器安全檢測(cè)系統(tǒng)(CNSP)通過(guò)實(shí)現(xiàn)資產(chǎn)可觀測(cè)性，幫助客戶達(dá)到更據(jù)進(jìn)行智能分析，提供完整的可視化安全風(fēng)險(xiǎn)視圖，當(dāng)集群中某一資產(chǎn)資源將會(huì)同時(shí)會(huì)被關(guān)聯(lián)該風(fēng)險(xiǎn)內(nèi)容，無(wú)論在哪一階段均可快速溯源至風(fēng)險(xiǎn)源頭，同時(shí)結(jié)合平臺(tái)監(jiān)測(cè)、告警等服務(wù)，從而實(shí)現(xiàn)故障診斷、風(fēng)險(xiǎn)溯源、自動(dòng)化解決問(wèn)題。操作文件資產(chǎn)拓?fù)洳僮魑募Y產(chǎn)拓?fù)滟Y產(chǎn)可視化風(fēng)險(xiǎn)監(jiān)測(cè)威脅告警事件分析風(fēng)險(xiǎn)溯源故障診斷風(fēng)險(xiǎn)溯源自動(dòng)化風(fēng)險(xiǎn)預(yù)判自動(dòng)化在此之上，安天智甲容器安全檢測(cè)系統(tǒng)智能分析風(fēng)險(xiǎn)事件上下文內(nèi)容，結(jié)合作~1三動(dòng)態(tài)關(guān)聯(lián)相關(guān)資產(chǎn);級(jí)““.-了0QQ○eQ○容器集群資產(chǎn)種類繁多，其關(guān)系也錯(cuò)綜復(fù)雜，CNSP采用圖數(shù)據(jù)庫(kù)梳理其中關(guān)系，并結(jié)合圖數(shù)據(jù)結(jié)構(gòu)特性建立拓?fù)潢P(guān)系。實(shí)時(shí)跟蹤資產(chǎn)生命周期&拓?fù)潢P(guān)系實(shí)時(shí)更新資產(chǎn)風(fēng)險(xiǎn)狀態(tài)集群網(wǎng)絡(luò)流量審計(jì)應(yīng)用微服務(wù)化大幅增加了內(nèi)部網(wǎng)絡(luò)流量和服務(wù)通信端口總量，同時(shí)工作負(fù)載快速動(dòng)態(tài)伸縮，增加了安全傳統(tǒng)解決方案安天解決方案●SDN方式牽引東西向網(wǎng)絡(luò)流量集群網(wǎng)絡(luò)流量審計(jì)集群網(wǎng)絡(luò)流量審計(jì)安天智甲容器安全檢測(cè)系統(tǒng)內(nèi)置WAF、IDS、IPS檢測(cè)能力，可根據(jù)場(chǎng)景需要部署對(duì)應(yīng)安全能力，同時(shí)提供代理和旁路模式可供選擇。11精準(zhǔn)防護(hù)指定資產(chǎn)，安全能力可跟隨集群資產(chǎn)動(dòng)態(tài)遷移全面審計(jì)基于主機(jī)的網(wǎng)絡(luò)流量，結(jié)合微隔離能力實(shí)現(xiàn)智能策略阻斷功能#巨麗u請(qǐng)海橫流集群網(wǎng)絡(luò)流量審計(jì)-SideCarSideCar方案會(huì)根據(jù)APP編排文件動(dòng)態(tài)添加Sidecar容器配置，讓SideCar容器與業(yè)務(wù)容器運(yùn)行在同一命名空間，然后代理或旁路業(yè)務(wù)容器網(wǎng)絡(luò)流量，實(shí)現(xiàn)東西向網(wǎng)絡(luò)流量審計(jì)能力。代理模式使用DNAT技術(shù)重定向業(yè)務(wù)網(wǎng)絡(luò)流量到理或轉(zhuǎn)發(fā)方式把流量轉(zhuǎn)到業(yè)務(wù)容器，實(shí)現(xiàn)代理功能旁路模式Trace容器網(wǎng)絡(luò)Veth接口網(wǎng)絡(luò)流量到SideCar容器進(jìn)行審計(jì)，不會(huì)對(duì)正常業(yè)務(wù)網(wǎng)絡(luò)流量造成影響·安全能力生命周期由Kubernetes控制器管理并可動(dòng)態(tài)跟隨POD遷移·可根據(jù)實(shí)際場(chǎng)景精準(zhǔn)防護(hù)集群資產(chǎn)·引流方案對(duì)CNI類型依賴較少·安全檢測(cè)引擎冗余·可能會(huì)與ServiceMesh沖突請(qǐng)海橫流集群網(wǎng)絡(luò)流量審計(jì)-NodeAgentLinuxVirtualEthernetDevices(Veth)是Linux內(nèi)核自帶的虛擬網(wǎng)絡(luò)接口，一般用于網(wǎng)絡(luò)命名空間對(duì)外收發(fā)網(wǎng)絡(luò)流量。NodeAgent方案在主機(jī)驅(qū)動(dòng)層鏡像Veth接口網(wǎng)絡(luò)流量，然后送入NodeAgent流量檢測(cè)引擎進(jìn)行審工作流程：AFPAPP]APPAPPmtbmtbNodeAgent方案優(yōu)點(diǎn)·主機(jī)、容器網(wǎng)絡(luò)流量可同時(shí)檢測(cè)·基于驅(qū)動(dòng)層引流性能影響較小NodeAgent方案缺點(diǎn)容器安全云原生工作負(fù)載主要由容器技術(shù)實(shí)現(xiàn)，業(yè)務(wù)應(yīng)用在容器中運(yùn)行時(shí)會(huì)直接與主機(jī)操作系統(tǒng)進(jìn)行交互，但容器技術(shù)相比虛擬化技術(shù)缺乏Hypervisor作為操作系統(tǒng)和工作負(fù)載之間的一層安全屏障，所以容器逃逸后對(duì)操作系統(tǒng)和PaaS架構(gòu)會(huì)造成較大威脅。另外云原生引入微服務(wù)架構(gòu)后整體業(yè)務(wù)復(fù)雜度提升，導(dǎo)致傳統(tǒng)安全檢測(cè)方案不再適用。安天智甲容器安全檢測(cè)系統(tǒng)(CNSP)針對(duì)容器工作負(fù)載安全問(wèn)題提供3個(gè)解決方案。weterweter進(jìn)程行為審計(jì)級(jí)3容器網(wǎng)絡(luò)隔離容器安全□□四mn:二·調(diào)整進(jìn)程基線調(diào)諧保護(hù)阻斷進(jìn)程異常行為跟蹤異常調(diào)用鏈容器安全-行為學(xué)習(xí)容器安全-行為學(xué)習(xí)CNSP容器行為學(xué)習(xí)功能基于零信任理念持續(xù)學(xué)習(xí)容器進(jìn)程行為，形成容器行為基線，基線以外行為會(huì)觸發(fā)告警事件并回溯調(diào)用鏈可視化攻擊線路，同時(shí)也可以動(dòng)態(tài)添加信任行為完善基線策略。學(xué)習(xí)模式1.監(jiān)聽(tīng)容器進(jìn)程行為2.學(xué)習(xí)進(jìn)程拓?fù)潢P(guān)系3.學(xué)習(xí)容器行為基線保護(hù)模式1.監(jiān)聽(tīng)容器進(jìn)程行為2.對(duì)比容器行為基線3.阻斷非法行為并告警監(jiān)控模式1.監(jiān)聽(tīng)容器進(jìn)程行為2.對(duì)比容器行為基線3.放行非法行為并告警VitualFesrstemSwil工作原理為為作權(quán)限·根據(jù)以上事件動(dòng)態(tài)完善進(jìn)程行為基線性能&資源·進(jìn)程、文件行為非輪詢模式而是基于事件驅(qū)動(dòng)方式進(jìn)行學(xué)習(xí)或保護(hù)，性能較好<2%,內(nèi)存消耗<2%容器安全-微隔離CNSP微隔離方案采用虛擬網(wǎng)卡代理技術(shù)實(shí)現(xiàn)，并提供認(rèn)證、授權(quán)等方式管理資產(chǎn)網(wǎng)絡(luò)訪問(wèn)行為。此方案與網(wǎng)絡(luò)協(xié)議棧耦合性較低，在保證兼容性的前提下也可提供高性能轉(zhuǎn)發(fā)能力，而且開(kāi)啟與停止CNSP微隔離功能時(shí)不會(huì)導(dǎo)致集群服務(wù)業(yè)務(wù)中斷或重連。√兼容主流CNI網(wǎng)絡(luò)√多維度認(rèn)證、授權(quán)·CPU消耗：<2%隱蔽利用行為捕獲機(jī)器學(xué)習(xí)隱蔽利用行為捕獲機(jī)器學(xué)習(xí)漏洞利用入侵捕獲漏洞利用入侵捕獲1.采集保護(hù)目標(biāo)組件進(jìn)程的系統(tǒng)調(diào)用序列2.訓(xùn)練深度變分自編碼器模型以學(xué)習(xí)正常組件行為3.模型運(yùn)行：輸入待檢測(cè)系統(tǒng)調(diào)用序列4.模型判定：根據(jù)解碼質(zhì)量好壞判定是否異常目標(biāo)防護(hù)組件進(jìn)程系統(tǒng)調(diào)用序列·學(xué)習(xí)模式→監(jiān)控驗(yàn)收模式→檢測(cè)模式·質(zhì)量驗(yàn)收基線：通過(guò)自動(dòng)化的模型驗(yàn)收機(jī)制保障交付模型質(zhì)量·badcase自動(dòng)反饋：對(duì)用戶反饋誤報(bào)自動(dòng)加入訓(xùn)練工作流*②觸發(fā)漏洞執(zhí)行命令③命令執(zhí)行成功機(jī)器學(xué)習(xí)·傳統(tǒng)白名單方案無(wú)法兼顧誤報(bào)量的控制與檢出能力的保障·VAE模型能夠通過(guò)訓(xùn)練完成自適應(yīng)，兼顧低誤報(bào)與有效檢出14全部偏陷VAE深度學(xué)習(xí)單目標(biāo)防護(hù)組件進(jìn)程無(wú)數(shù)據(jù)積壓下的