云安全两大新能力:攻击回溯与容器安全
青藤云安全是主打 “自适应安全” 理念,专注在 “主机安全” 的安全初创公司。2014年成立至今,青藤云安全分别在2015年和2018年拿下了6000万的A轮以及2亿元的B轮融资,并连续三年(2017~2019)作为唯一中国厂商入选Gartner云工作负载保护平台市场指南。
创新互联专注于尉犁企业网站建设,自适应网站建设,商城网站建设。尉犁网站建设公司,为尉犁等地区提供建站服务。全流程按需定制,专业设计,全程项目跟踪,创新互联专业和态度为您提供的服务
2018年对于青藤云安全而言是关键的一年。除了B轮融资到位外,青藤云安全在9月还正式发布了其首个重量级平台产品—— 青藤万相·主机自适应安全平台 。万相以承载业务的工作负载流为核心,对主机上的资产、状态、关键活动等进行感知,并生成安全指标,用于持续分析和风险发现,且适配物理机、虚拟机和云环境。11月,青藤云安全还和腾讯安全正式达成战略合作,作为可选安全组件(天眼云镜)出现在腾讯云的私有云标准方案中。
更多认可:以主机agent的形式来做安全
青藤云安全虽然是安全初创企业,但也有了4年多的 历史 。让张福引以为傲,也最让他放心不下的,是青藤云安全选择的这条技术路线,即不以流量分析为主,而是通过在物理主机安装轻量级agent的形式,选择这样一个位置来做安全。
青藤万相核心架构
自适应安全架构的四个能力象限,预测-检测-防御-响应,青藤云安全看准的 “检测” 能力。但和目前主流的检测思路不同,扎根于 “攻防理念” 的思路因缺乏足够深度和全面的可见性,对自身和攻击的理解都不足。如果要足够清晰、准确的认识自身、攻击及其带来的影响,张福认为,需要足够扎实的感知能力作为支撑。而实现此的技术方式,就是在物理主机上安装agent,以此为 “据点” 收集信息。己方的、敌方的,以及攻击者试图抹除的。
但从客户的角度码弊数,担忧也很明显。主机agent的形式,虽然安全离威胁近了,但安全离业务也近了。如果安全产品成熟度不够,出现了问题,导致了业务系统受到负面影响甚至服务中断,那么客户的安全或IT负责人,必不可少要承担更多的责任。
可以看到,安全工作中的平衡,体现在方方面面。
2018年,客户的反馈,以及业界对基于主机的产品形态的跟进,张福坦言,让他轻松了许多。
先说客户。客户对这种形式的顾虑,从2018年大量的反馈来看,张福认为已经开始减少。这个转变,得益于数字化转型的趋势,让客户越来越认识到云化后迟首安全对于业务的重要性。
“
之前更多是合规市场,满足基线即可。同时,因为业务系统的开放性相对较弱,所以给对手留下的攻击面也小很多。但上云后,一切都不一样了。安全对业务的支撑和影响变得更加重要,对更好的安全能力,而不只是部署了哪些产品的需求,更加强烈。
无疑,从主机这个离(业务)数据、威胁都更近的的位置来做安全,效果会比纯粹的流量检测更好。这也满足了客户的需求。而青藤云安全对产品成熟度的追求,以及产品部署后持续维护、改进的大量投入,则最大程度减少了客户对 “可能给业务系统造成负面影响” 的忧虑。
而这两点,也是张福认为,除了技术思路外,自身产品能力重要的优势所在。
这两个重要优势,张福认为也得益于另一个点,就是青藤云安全的产品打磨思路。据张福介绍,青藤云安全的产品从研发到销售,不是传统厂商等产品足够成熟后再寻找客户的思路,而是在初具雏形时就会在国内寻找愿意尝试新卜好的技术思路、有一定程度容错能力的客户,通过产品在客户的真实IT环境中,不断进行产品成熟度的打磨。例如招商银行、平安 科技 ,据张福介绍,都是自身安全实践和理解都走在比较靠前的两个青藤云安全的重要客户。
再谈谈业界。
众所周知,青藤云安全连续多年在Gartner的云工作负载保护平台市场指南榜上有名,对业内的技术趋势青藤云安全也一直跟的很紧。对青藤而言,业界的主流产品形态的改变,意味着对青藤云安全的技术路线选择的一种印证。
张福表示,近两年的行业会议,RSA、ISC等,EDR的崛起,特别是如CrowdStrike等厂商,依托主机侧轻量级代理的的形式实现的入侵检测和响应能力,正逐渐成为业界厂商的主流思路。
“
从产品角度,主机安全不应是一系列产品,而是一个核心做安全的位置。就像网络安全这四个字,有一层重要含义,就是在网络层来做安全。主机安全,业界目前的主流思路和我们一致,就是要通过在主机上安装agent来做。而且,可以看到,安全能力正在从传统的网络侧移向主机侧,通过 ‘位置’ 的改变,实现能力的跨越式提升。这个趋势已经可以明显的感受到。这会是整个产业的一个大升级。
2018年,青藤云安全发布了其重要的平台级产品 “万相”,在产品成熟度、客户和业界的接受度上,张福认为已经达到了预期;2019年,张福表示,首先,要基于“万相”这个平台,在产品能力上有所提升,真正解决客户问题。比如说弱口令的发现,这个需求看似很简单,而且有多家扫描器支持,但是实际情况是因为服务器对口令尝试频率的限制,效果并不好。但是如果通过主机agent做类似“白盒”的底层解析,不仅效率高,而且能够查出之前大量的漏报。
之后,就是新产品的方向。
青藤云安全不是销售导向的公司,所以张福始终认为做产品要“克制”,要谨慎,并且多年持续投入打造产品的准备。
上一个系列,青藤云安全的产品能力倾向感知或者说威胁发现;下一个,张福目前有两个计划,一是补足感知之后的分析能力,二是基于主机agent技术的积累,扩充一个安全场景。
新能力:攻击回溯与容器安全
先介绍要补充的分析能力。
青藤云安全最新发布的 青藤星池·大数据分析平台 ,定位在攻击场景的回溯分析,是青藤云安全威胁感知能力的延伸。
青藤云安全之前在威胁感知有多年的积累,其万相平台的 “资产清点、漏洞发现、入侵检测等“ 能力是典型代表。有了这些积累,下一步,张福认为,要补充分析能力。用张福的话说,是根据这些感知能力提供的线索,把整个攻击的过程回溯出来。
“
一旦发生安全事件,客户高层第一时间关心的并不会是谁攻击了我,或是他怎么进来的,而是我损失了什么。因为视损失的内容,后续的处置,包括问责、惩罚等,都可大可小。更严重的是,攻击者是否已经窥探、甚至拿到了一些高敏感数据。这些问题,之前大量的安全产品都是回答不了的,因为缺乏视野。主机上的agent,我认为是必备基础。
简单理解,和攻击溯源的目的不同,“星池”是利用大数据分析的相关技术,还原整个攻击链,特别是从客户资产的角度,记录攻击者的行为轨迹,明确客户的损失。
“
不仅要能快速、准确的发现攻击,也要高效地搞清来龙去脉,从感知到分析,对于青藤这是重要的能力延展。未来,我们还会融入处置响应的能力。实现安全闭环,才能更好的帮助客户提升安全能力。当然,这个闭环青藤不一定都要自己做,我们是非常开放而且看重合作的。青藤只做我们认为客户缺失的(能力),是要让客户的安全能力达到应有的高度,而不是抢市场,重复解决问题,甚至劣币驱逐良币。
容器安全是另一个新场景。
张福认为,容器是云计算的未来。国内很多互联网、金融行业的客户,都在快速拥抱容器。可以预见,容器将会很快成为主流的基础设施形态。
容器是一个新技术,而且使用便捷,但不代表安全问题就会少。张福表示,从云主机到容器,安全问题反而是有增无减,因为目前开发者更多还是在容器功能性上的完善。比如容器镜像的后门问题,几乎没有有效可靠的检测方法。反观业界,专注容器安全的厂商并不多;同时,思路几乎都是基于容器间的流量分析来做,像是传统的IPS放在容器这个形态下。但只是这样,张福认为能力深度并不够。
“
青藤做容器安全是很天然的,因为我们四年多的积累都在主机侧,80%以上的技术经过对容器的重新适配后都可以复用。
据了解,青藤云安全的 容器安全产品“蜂巢” ,只需要在承载容器的物理机上安装agent,就可以将安全能力做到容器内进程行为的深度;同时在管理上,“蜂巢”可以在万相平台上进行统一管理,方便客户将安全能力和策略随着业务在各形态间迁移。
张福表示,客户在使用容器的时候就已经在考虑安全问题了,这是之前做安全不具备的条件。青藤云安全的核心是保证工作负载(workload)的安全,无论它的形态是怎样。主机agent的形式,张福认为在容器这个场景下也是有足够优势和独特竞争力的。后续,也会把容器间的流量分析作为补充能力加入,成为一个综合性产品。
不可否认,目前,容器安全在中国还是早期市场。所以,对于“蜂巢”,青藤云安全的思路更多还是进行开放行的测试,为后续产品化的过程做铺垫。
“
首先,‘蜂巢’ 会支持应用较为广泛的开源容器,比如docker、国内的灵雀云,并开放给在容器的应用走在前面,有大量应用场景而且愿意和我们合作的客户,帮助我们不断的改进,一起成长。这也是产品化过程所必须要有的投入,我们的目标是在3-4年后,成为容器安全领域的领先者。
等保2.0:云安全合规解读
此外,作为国内的安全企业,青藤云安全也必须要足够重视合规的市场需求,特别是在5月13日正式发布等级保护2.0一系列标准后。
云计算系统网络架构是扁平化的,业务应用系统与硬件平台松耦合。所以,首先,在云计算系统边界划分上,存在两个典型场景:一是业务应用不独占硬件物理资源的情况,定级系统的边界应划在虚拟边界处;二是业务应用对应的系统模块存在相对独立的底层服务和硬件资源,系统边界划分到硬件物理设备上。
其次是在安全责任及定级方面。程度认为,要综合考虑被测系统是云计算平台还是业务应用系统,以及被测系统的服务模式,来判断不同的安全责任。
此外,在定级过程中还需注意下面4点:
1. 云计算平台安全保护等级,原则上不低于其承载的业务系统的安全保护等级。
2. 国家关键信息基础设施(重要云计算平台)的安全保护等级应不低于第三极。
3. 在云计算环境中,应将云资源平台作为单独定级对象,云租户侧的等级保护对象也应作为单独的定级对象定级。
4. 对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
在建设整改方面,云等保中增加了虚拟化、云管理平台、镜像文件等云计算独有内容,并强调安全能力在云平台建设中的集成。在平台内部,强调通讯加密与认证、动态监测预警、快速应急响应能力建设、安全产品合规等能力要求。
据了解,青藤云安全已经推出针对云等保2.0中安全计算环境部分的解决方案,覆盖通用要求中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范,以及资源控制六个部分。
相关阅读
这家初创公司做自适应安全
腾讯安全与青藤云安全:高安全能力与创新安全公司的结合
各种容器和服务器之间的区别和联系
平时我们经常看到各种容器名称:Servlet容器、WEB容器、Java WEB容器、Java EE容器等,还有各种服务器名称:应用服务器、WEB服务器、WEB应用服务器、JavaWEB应用服务器、Java EE服务器等,这么多相似名称,难以弄明白它们之间的区别与联系。
下面我们尝试从它们的定义中,区分它们,找出他们之间的联系,最后通过Apache、nginx、tomcat等举例说明容器以及服务器的联系。
如上图,我们先来看下容器与服务器的联系:容器是位于应用程序/组件和服务器平台之间的接口集合,使得应用程序/组件可以方便部署到服务器上运行。
容器通常理解就是装东西的,我们这里说技术上的容器就是 可以部署应用程序,并在上面运行的环境 。
一般来说,它处理屏蔽了服务器平台的复杂性,使得应用程序在它的基础上可以方便快捷的部署;而对于应用程序来说,它就是位于 应用程序和平台之间的接口集合 。
容器管理组件的生命周期,向应用程序组件分派请求,并提供与上下文数据(如关于当前请求的信息)的接口。
Servlet:属于Java EE重要技术规范,构建了"接收请求--调用晌颂servlet程序处理--返回响应"基本模型。
Servlet程序:Java提供了开发Servlet程序的API,该API可以说Servlet容器的一部分,它对接应用程序与Servlet容器;
Servlet容器宴数郑:就是实现了Servlet技术规范的部署环境,它可以部署运行Servlet程序。
WEB容器:可以部署多个WEB应用程序的环境。web容器给处于其中的应用程序组件(jsp,servlet)提供一个环境,使JSP,Servlet直接跟容器中的环境变量交互,不必关注其他系统问题。
Java WEB容器:实现了 Java EE规定的WEB应用技术规范 的部署环境。
Java EE WEB应用技术规范:Servlet、JSP(JavaServer Pages)、Java WebSocket等。
所以,完整的Java WEB容器包含Servlet容器。
服务器是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。
简单来说,服务器是 提供某些服务的设备 。
应用程序:是指为针对使用者的某种应用目的所编写的软件。
应用服务器:就是运行应用程序,提供应用程序所实现服务的设备。
通常来说, 服务器端的应用程序实现各种业务逻辑,应用服务器通过各种协议把这些业毕芹务逻辑曝露给客户端的程序 。它提供了访问商业逻辑的途径,以供客户端应用程序使用。应用服务器使用此业务逻辑就像调用对象的一个方法一样。
WEB:现广泛译作网络、互联网等技术领域。表现为三种形式,即超文本(hypertext)、超媒体(hypermedia)、超文本传输协议(HTTP)等。
WEB服务器:或者叫 HTTP Server ,主要用于操作Http请求,包括接受客户端的请求以及响应。它可以处理请求,也可以将请求转发至其他服务器。
简单来说,WEB服务器是提供网上信息浏览等WEB服务的设备。 Apache、Nginx、IIS是目前最主流的三个Web服务器。可以用它们来构建WEB应用服务器,通常它们发现一个请求是动态请求,就通过CGI、ISAPI、特殊管道等协议接口调用后面的应用服务器来协同处理请求。如Nginx通过fastCGI模块来调用ZendEngine执行PHP应用来处理PHP请求。
上面我们 把应用服务器和WEB服务器 严格区分:应用服务器通过应用程序接口(通常是网络请求API)把业务逻辑暴露给客户端应用程序。而WEB服务器通过HTTP提供静态内容给浏览器等客户端。
如果不严格区分,应用服务器包含WEB服务器,因为WEB服务器是WEB服务应用程序实现的。
WEB应用服务器:结合应用服务器和WEB服务器,可以说,它是带应用服务器的Web服务器,接收HTTP请求后,既能返回页面等静态内容,又能处理业务逻辑返回数据。
Tomcat、Jetty、WebLogic、Websphere、JBoss都是Java(EE) WEB应用服务器。拿最常用的Tomcat来说,Tomcat是Java Servlet,JavaServerPages,Java Expression Language和JavaWebSocket(Java EE)技术的开源实现。
Java EE服务器是实现Java EE技术规范,并提供标准Java EE服务的应用程序服务器。
Java EE服务器有时称为应用服务器,因为它们允许您向客户端提供应用数据,就像Web服务器向Web浏览器提供Web页面一样。
一个典型的JavaEE系统可以由两部分构成首先是Web Server 用于处理静态资源,然后是JavaEE Application Server 用于处理业务的动态资源。而这两部分可以是单独的服务器例如Nginx+WebSphere也可以在一个服务器上完成比如Tomcat(Tomcat即可以处理静态资源又可以处理动态的Servlet)。
从概念上讲:Web服务器是提供WWW服务的程序;Web容器是提供给开发者的框架;Web应用程序服务器内容丰富得多,既可用各厂商通常遵循一定的工业标准并自定义扩展功能而成,也可以利用开源组件轻量级拼装打造。
电脑显示。计算环境安全容器服务未启动。怎么处理?
如果你没闷档有安装防毒软件会说你还没起动,只要你安喊罩则装了郑棚防毒软件他就会自动启动。
start -control panel - security center 那里能看有没启动。
请教下大家,云原生计算环境的主要安全风险有哪些?
云原生计算环境的主要安全风险类型包括:云原生网络安全风险、云原生编排及组件安全风险、镜像安全风险、镜像仓库安全风险和容器逃逸攻击等类型,针对这些风险的防范建议还是去找有实力的安全服务厂商,我们公司现在合作的青藤云安全在这方面做的就非常不错,可以去了解下。
本文题目:服务器计算环境安全容器 计算安全容器服务未启动
本文网址:http://scgulin.cn/article/ddpgejh.html