目前国内云计算环境处于快速增长阶段，随着企业中业务从传统到云上的不断迁移，企业用户要管理的不只是传统架构下的物理机或虚机，还有云主机、容器、微服务等云上业务，面对这种复杂的异构环境，管理员无法做到统一的资产可知，风险可见，从而出现很多僵尸资产，以及各类开源平台/系统/中间件的漏洞频出等风险，随着云上业务资产的增多，可被黑客利用的攻击面也在持续扩大，这为企业用户对于现网资产安全监管治理提出新的挑战。

安天睿甲主机安全检测响应系统有效解决方案

安天睿甲主机安全检测响应系统融合CWPP云工作负载保护平台理念（以下简称睿甲主机安全系统），针对传统IDC、云上业务场景中各工作负载的安全防护需求，采用“一个探针集成多种安全能力”架构，提供资产清点、风险发现、合规基线、微隔离、入侵检测、容器安全、威胁猎杀/溯源等多种安全能力，构建综合安全监测、安全分析、快速响应的安全防护平台。

➤ 持续提升云安全的可观测性

睿甲主机安全系统通过观测性技术梳理集群资产，实时跟踪资产运行状态，并结合风险发现、入侵攻击等安全隐患与安全事件提供资产风险可观测性能力，帮助用户快速定位资产风险以及资产风险影响面。通过实时分析资产相关风险事件，结合自研算法与动态防护能力，自动实现安全防护闭环与风险预测能力。

图1 资产概览图

➤ 多维度融合的威胁检测响应技术

混合云安全面临许多攻击面和新的攻击技术，单靠HIDS、EDR、RASP等检测技术无法有效应对，同时云工作负载可用于安全部件的算力有限。睿甲主机安全系统采用部分HIPDS技术，通过客户端负责数据采集和上报，管理端集成高性能威胁检测引擎和威胁情报的方式，融合多维度威胁检测响应技术（如系统侧信息按需采集、日志检测、RASP、主机WAF等），并内置安天自主研发的AVL SDK威胁检测引擎，实现了低客户端资源占用，同时提高了威胁检测、研判及响应能力。

图2 威胁事件溯源攻击链路图

➤ 细粒度的零信任能力建设

面对上云业务的高弹性伸缩、分布式部署、容器化及微服务化应用日趋普遍等特性，睿甲主机安全系统采用基于身份认证的微隔离技术，代替传统Iptables来实现云上业务动态网络隔离，从而实现了面向业务的、进程级的微隔离。此外，针对“精细梳理访问控制策略耗时长”、“传统产品熔断降级等保护容灾能力不足”等痛点，睿甲主机安全系统提供了全网业务流量自动绘制能力，并持续提升契合业务的网络访问控制策略智能推荐能力，进而帮助用户零摩擦的实现细粒度的微隔离。

图3 微隔离业务网络访问关系拓扑图

安天睿甲主机安全检测响应系统客户价值

➤ 持续的资产清点和风险评估

从安全视角梳理资产信息以及资产安全状况，帮助用户及时发现风险脆弱点，做到全网主机资产可知、风险可控。

➤ 实时威胁检测响应

以自主威胁检测分析引擎为核心，将恶意代码、入侵检测以及快速猎杀技术进行有机结合，实现威胁检测、攻击溯源、快速响应处置的安全运营能力。

➤ 东西向网络管控

面对快速变化的云上业务场景，自动梳理全网业务流量访问关系，智能推荐契合业务的网络访问控制策略，帮助用户划分业务安全边界，遏制横向攻击移动。

➤ 统一安全管理

面向传统IDC、混合云、多云等混合异构场景提供统一安全管理解决方案，降低安全运维复杂性，提升资产管理的统一性和安全策略的一致性。