安天睿甲主机实现混合云上的工作负载统一防护
时间:2023年12月28日
目前国内云计算环境处于快速增长阶段,随着企业中业务从传统到云上的不断迁移,企业用户要管理的不只是传统架构下的物理机或虚机,还有云主机、容器、微服务等云上业务,面对这种复杂的异构环境,管理员无法做到统一的资产可知,风险可见,从而出现很多僵尸资产,以及各类开源平台/系统/中间件的漏洞频出等风险,随着云上业务资产的增多,可被黑客利用的攻击面也在持续扩大,这为企业用户对于现网资产安全监管治理提出新的挑战。
安天睿甲主机安全检测响应系统有效解决方案
安天睿甲主机安全检测响应系统融合CWPP云工作负载保护平台理念(以下简称睿甲主机安全系统),针对传统IDC、云上业务场景中各工作负载的安全防护需求,采用“一个探针集成多种安全能力”架构,提供资产清点、风险发现、合规基线、微隔离、入侵检测、容器安全、威胁猎杀/溯源等多种安全能力,构建综合安全监测、安全分析、快速响应的安全防护平台。
➤ 持续提升云安全的可观测性
睿甲主机安全系统通过观测性技术梳理集群资产,实时跟踪资产运行状态,并结合风险发现、入侵攻击等安全隐患与安全事件提供资产风险可观测性能力,帮助用户快速定位资产风险以及资产风险影响面。通过实时分析资产相关风险事件,结合自研算法与动态防护能力,自动实现安全防护闭环与风险预测能力。
图1 资产概览图
➤ 多维度融合的威胁检测响应技术
混合云安全面临许多攻击面和新的攻击技术,单靠HIDS、EDR、RASP等检测技术无法有效应对,同时云工作负载可用于安全部件的算力有限。睿甲主机安全系统采用部分HIPDS技术,通过客户端负责数据采集和上报,管理端集成高性能威胁检测引擎和威胁情报的方式,融合多维度威胁检测响应技术(如系统侧信息按需采集、日志检测、RASP、主机WAF等),并内置安天自主研发的AVL SDK威胁检测引擎,实现了低客户端资源占用,同时提高了威胁检测、研判及响应能力。
图2 威胁事件溯源攻击链路图
➤ 细粒度的零信任能力建设
面对上云业务的高弹性伸缩、分布式部署、容器化及微服务化应用日趋普遍等特性,睿甲主机安全系统采用基于身份认证的微隔离技术,代替传统Iptables来实现云上业务动态网络隔离,从而实现了面向业务的、进程级的微隔离。此外,针对“精细梳理访问控制策略耗时长”、“传统产品熔断降级等保护容灾能力不足”等痛点,睿甲主机安全系统提供了全网业务流量自动绘制能力,并持续提升契合业务的网络访问控制策略智能推荐能力,进而帮助用户零摩擦的实现细粒度的微隔离。
图3 微隔离业务网络访问关系拓扑图
安天睿甲主机安全检测响应系统客户价值
➤ 持续的资产清点和风险评估
从安全视角梳理资产信息以及资产安全状况,帮助用户及时发现风险脆弱点,做到全网主机资产可知、风险可控。
➤ 实时威胁检测响应
以自主威胁检测分析引擎为核心,将恶意代码、入侵检测以及快速猎杀技术进行有机结合,实现威胁检测、攻击溯源、快速响应处置的安全运营能力。
➤ 东西向网络管控
面对快速变化的云上业务场景,自动梳理全网业务流量访问关系,智能推荐契合业务的网络访问控制策略,帮助用户划分业务安全边界,遏制横向攻击移动。
➤ 统一安全管理
面向传统IDC、混合云、多云等混合异构场景提供统一安全管理解决方案,降低安全运维复杂性,提升资产管理的统一性和安全策略的一致性。