容器(qì)安全産品

容器(qì)安全背景

數(shù)字化(huà)轉型的(de)核心是(shì)創新，創新的(de)前提是(shì)快(↑ ×✔kuài)速叠代。當企業(yè)需要(yào)變成面向未來(★∞Ωlái)的(de)敏捷型企業(yè)時(shí)，采用(yòng)新技(jì)術(≠÷λshù)帶來(lái)應用(yòng)快(kuài)速交付能(néng)力便是(sh<←≠ì)關鍵。加快(kuài)建立數(shù)據标準模型，努力消除信息孤島，優化(huà)₽<¶₽升級核心業(yè)務系統。 數(shù)字化(huà☆÷<)轉型的(de)目标是(shì)讓軟件(jiàn)成為(₩α wèi)企業(yè)的(de)核心能(néng)力，同時(shí)把軟件(jiàn)作(zuò)為≈✔↓☆(wèi)數(shù)字服務對(duì)外(wài)輸出成為(wèi)企業(yè)的(de)核心業€÷✔↓(yè)務，最終成為(wèi)數(shù)字原生(shēng)企業(yè)。在這(zh¶$è)個(gè)過程中，應用(yòng)會¶♦ (huì)更多(duō)的(de)遷移到(dào)×™雲端，基于雲的(de)架構設計(jì)和(hé)開(kāi)發模式需要(yào)一(y©φ×'ī)套全新的(de)理(lǐ)念去(qù)承∑ελ≤載，于是(shì)雲原生(shēng)思想應運而生(shēng)。雲原生(shēn✔Ω↕αg)提倡應用(yòng)的(de)敏捷、可(kě)靠、高(gāo)彈性、易擴展以∑✔✘及持續的(de)更新。在雲原生(shēng)應用(yòn​★ αg)和(hé)服務平台構建過程中，近(jìn)年(nián)興起的(de)容器(qì)技(jì)術£"δ✔(shù)憑借其彈性敏捷的(de)特性和(hé)活躍強大(dà)的(de)社區(qū)支持，成為✘✘₹λ(wèi)了(le)雲原生(shēng)等應用(yòng)場(chǎng)景下(xià)的( £de)重要(yào)支撐技(jì)術(shù)。

容器(qì)發展

容器(qì)的(de)概念最早可(kě)以追溯到(dào)1979 年(nián)的(™≥de)Unix 工(gōng)具Chroot，2000 年(nián✘∞★)左右，FreeBSD 引入的(de)Jai™••φls 算(suàn)是(shì)早期的(d&₽÷e)容器(qì)技(jì)術(shù)之一(yī)，2004 年(nián)Solaris 提出C♠♣λσontainer，引入了(le)容器(qì)資源管理(lǐ↕↑↓☆)的(de)概念。 2000 年(nián)的(de)時(shí)候 FreeBSD 開(kā®♠∏÷i)發了(le)一(yī)個(gè)類似于 chroot¶ ♣φ 的(de)容器(qì)技(jì)術(shù)β ♣σ Jails，這(zhè)是(shì)最早期，也(yě)是(shì)功能(né♠$ng)最多(duō)的(de)容器(qì)技(jì)術(s£¶δ↕hù)。Jails 英譯過來(lái)是(shì)監獄的✔‍(de)意思，這(zhè)個(gè)“監獄”（用(yòng)沙盒更  "✘為(wèi)準确）包含了(le)文(wén)件(jiàn)系統、用(β↓yòng)戶、網絡、進程等的(de)隔離(lí)。 200♥©Ω&1 Linux 也(yě)發布自(zì)己的(πΩde)容器(qì)技(jì)術(shù) Linux VServer，2004 Solaris 也♥←↓(yě)發布了(le) Solaris Containe₽β←rs，兩者都(dōu)将資源進行(xíng)劃分(fēn)，形成一(€↕yī)個(gè)個(gè) zones，又(yòu)叫做(zu∏≤ò)虛拟服務器(qì)。 2005 年(nián¥∞)推出 OpenVZ，它通(tōng)過對(duì) Linux 內(&∞nèi)核進行(xíng)補丁來(lái)提供虛拟化(huà)的(de)支持，每個(gè)$γ OpenVZ 容器(qì)完整支持了(le)文(wén)件(jiàn)系$&統、用(yòng)戶及用(yòng)戶組、進程、網絡、設備✘∏和(hé) IPC 對(duì)象的(de)隔離(lí)。 2007 $"₩™年(nián) Google 實現(xiàn)了±‌(le) Control Groups( cgroups )，并加入到(dào)±∏♥ Linux 內(nèi)核中，這(zhè)是(shì)劃時(shí)代的(de)，±✔↕為(wèi)後期容器(qì)的(de)資源配額提供了(le)技(jì)術(s₽$hù)保障。 2008 年(nián)基于 c<$β$groups 和(hé) linux namespace 推出¥♦♦了(le)第一(yī)個(gè)最為(wèi)完善的(de)‌¶₽™ Linux 容器(qì) LXC。 2013 年(nián)推出到(dào)現(∑∏xiàn)在為(wèi)止最為(wèi)流行(xíng)和(hé)使用(yòng♦ )最廣泛的(de)容器(qì) Docker，相(xiàng)比其他(tā✔• )早期的(de)容器(qì)技(jì)術(shù)，Docker 引入了(le)一(yī)整套容器₹♦♠(qì)管理(lǐ)的(de)生(shēng)态系統，包括分(fΩ∑ēn)層的(de)鏡像模型，容器(qì)注冊庫¥‍×∏，友(yǒu)好(hǎo)的(de) Rest API。 2014 年(ni ‍×∞án) CoreOS 也(yě)推出了(le)一(yī)個(gè)類似于 Docker 的(Ωγ₽↕de)容器(qì) Rocket，Cor§πeOS 一(yī)個(gè)更加輕量級的(de) Linux 操作(z™&uò)系統，在安全性上(shàng)比 Docker 更嚴格。 2016δ£γ$ 年(nián)微(wēi)軟也(yě)在 Window&↓s 上(shàng)提供了(le)容器(qì)的(dΩ₩∑e)支持，Docker 可(kě)以以原生(shēng)方式運行(xíng←β)在 Windows 上(shàng)，而不(bù)是(shì)需要(yào)×≥使用(yòng) Linux 虛拟機(jī)。 基本上β"β(shàng)到(dào)這(zhè)個(gè)時(shí)間(₩•jiān)節點，容器(qì)技(jì)術(shù<↔ )就(jiù)已經很(hěn)成熟了(le)，再往後就(jiù)是(shì)容器(qì)雲§​α的(de)發展，由此也(yě)衍生(shēng)出多(duō)種容器(qì)雲的(de)平台管理(≈&lǐ)技(jì)術(shù)，其中以 kubernetes 最為(wèi)出衆，有(yǒ∑∑≤u)了(le)這(zhè)樣一(yī)些(xiē)細粒度的(de)容器(qì)集群管理(lǐ)≠★™技(jì)術(shù)，也(yě)為(wèi)微(wēi)服務的φ< (de)發展奠定了(le)基石。

容器(qì)安全方案

器(qì)是(shì)基于鏡像構建的(de)，如(rú)果鏡像本身(shēn)就(>‍jiù)是(shì)一(yī)個(gè)惡意鏡像或是(shì)一✘€×(yī)個(gè)存在漏洞的(de)鏡像，那₹₩÷(nà)麽基于它搭建的(de)容器(qì)自(zì)然就(≤✘±¶jiù)是(shì)不(bù)安全的(de)了(le)，故鏡像安全直接決定了(le)容器(≠δ↔≤qì)安全。本系統支持容器(qì)鏡像深度掃描，實現(xiàn)容器(qì)鏡像漏洞、病毒等安ε&全檢測。架構如(rú)下(xià)，包括三部分(fēn)：支持層、核心α♣​♣層、展示層。支持層主要(yào)提供鏡像安全分(fēn)析所需要(₩ ↔ yào)的(de)計(jì)算(suàn)Ω©≈↓、存儲、網絡資源。核心層主要(yào)包括AP$™π₩I、漏洞庫、策略庫、檢測引擎和(hé)升級系統5部分(fēn)。展示層主要(yào)提供用(yδ‌→★òng)戶的(de)交互，包括dashboard、鏡像管理(lǐ)、∞±∑漏洞管理(lǐ)等。

安全服務産品

滲透測試服務

采用(yòng)各種手段模拟真實的(de)安全攻擊，$π≠從(cóng)而發現(xiàn)黑(hēi)客入侵∏γ↑信息系統的(de)潛在可(kě)能(néng)途徑。滲透測試工(gōng)作(zuò)以人(< §rén)工(gōng)滲透為(wèi)主，₹'$>輔助以攻擊工(gōng)具的(de)使用(yòng)。主要(¶®yào)的(de)滲透測試方法包括：信息收集、端口掃描、遠(yuǎn&↕→‌)程溢出、口令猜測、本地(dì)溢出、雲服務客戶>×γ端攻擊、中間(jiān)人(rén)攻擊、web腳本滲透、B/S↑→✘或C/S應用(yòng)程序測試、社會(huì)工(gōn®₩g)程等。

代碼審計(jì)服務

代碼安全檢測對(duì)業(yè)務系統開(kāi)≤γ•發框架、應用(yòng)程序、雲端程序、接口及第三方組件(jiàn)和(hé₽Ω¶)應用(yòng)配置等方面進行(xíng)深入♦±≠✘的(de)安全分(fēn)析，從(cóng)而γ¶♥發現(xiàn)系統源代碼存在的(de)安全缺陷，并采用(yòng)安全測試等技(jì→•γ)術(shù)手段進行(xíng)漏洞驗證。

APP安全評估服務

APP安全評估通(tōng)過對(duì)APP網絡通(tōng)訊、服務器(qì©δ)端、雲服務客戶端、數(shù)據和(hé)≥≈•業(yè)務邏輯等多(duō)個(gè)層面進行(xíng)細緻的(de)梳理(lǐ)、測試∞"和(hé)分(fēn)析，發現(xiàn)APP面臨的(de)安全風(fēng∏​σ)險。APP安全評估包含手機(jī)端（IOS，Android）和(hé)服務₽±端。

安全基線評估服務

通(tōng)過“自(zì)動化(huà)工(gōng)具配合人(rén)工(★±®✘gōng)檢查”方式參考安全配置基線進行(xíng)檢查，主要(yào)§♠↕包括網絡設備、安全設備、操作(zuò)系統、數(shù)據庫、中間(jiān)件₩→(jiàn)等安全配置基線，采用(yòng)主流的(de)安全♦β  配置核查系統或檢查腳本工(gōng)具，以遠(yu€ ǎn)程登錄檢查的(de)方式工(gōng)作(zuò)，完成設備的(de)檢查，針對(£'‌duì)物(wù)理(lǐ)隔離(lí)©€或網絡隔離(lí)的(de)設備使用(yònα©g)檢查腳本工(gōng)具來(lái)補充完成檢查工(gōn€↓g)作(zuò)。

安全合規評估

按照(zhào)安全等保合規及監管的(de)要(yào)求開(kāi)展工(gōng)作(zuò≤Ω ‍)，實現(xiàn)合規及監管的(de)要(yào)求。αΩ≤