云計算的深入發展和IT技術架構變革，IT系統云化已成為必然選擇，容器技術因占用資源少、部署速度快和便于遷移，廣受政企單位青睞，然而在容器技術得到廣泛應用的同時，容器安全問題引起用戶的強烈關注，成為用戶應用的最大擔憂。

　　憑借在容器安全以及云原生安全領域的多年研究、實踐運營經驗，啟明星辰集團于近日重磅發布容器安全管理平臺，助力用戶實現云原生安全落地，這也是集團在云原生安全領域一次具有里程碑意義的重大突破。

　　七大功能齊發，容器全生命周期安全防護

　　產品架構

　　在全生命周期防護、安全左移等設計原則的指導下，啟明星辰集團容器安全管理平臺在構建階段對鏡像進行安全掃描;在分發階段對進行防篡改，阻止不安全的鏡像運行;在容器運行時對異常行為進行檢測與防護，對容器網絡進行微隔離，對節點和微服務安全進行掃描與防護;在全流程中對容器和基線進行合規檢查，從全局視角對資產、網絡和安全情況進行可視化展示。

　　針對用戶容器安全的痛點問題，啟明星辰容器安全管理平臺從鏡像、容器、集群、物理環境等方面著手，通過容器資產發現、安全可視化、無縫嵌入DevOps流程等方式，可以為用戶提供資產管理、鏡像安全、集群合規、運行時安全、容器微隔離、微服務治理和CI/CD集成等七大功能，實現對容器全生命周期的全局化、自動化安全管控。

　　癥狀一：容器的多樣化、網絡的復雜化導致資產梳理變得困難。

　　解決方案：【資產管理】自動梳理資產實現風險可視管理

　　梳理內容主要包括容器的梳理、容器網絡的梳理、容器標簽的梳理、編排平臺的梳理、鏡像資產的梳理、鏡像倉庫的梳理、微服務的梳理等，并且需要根據業務和環境的變化而自動變化，關聯安全風險，提供實時資產結果。

　　癥狀二：容器基礎鏡像來源復雜，鏡像漏洞可能引發嚴重的安全風險。

　　解決方案：【鏡像安全】掃描鏡像風險阻斷危險鏡像運行

　　能夠對鏡像中的惡意軟件、木馬、病毒等各項安全風險進行安全檢測，提供檢測報告，并幫助用戶修補漏洞。同時阻止高危鏡像進行運行并在鏡像傳輸過程中進行防篡改，避免引發嚴重的安全風險。

　　癥狀三：容器集群環境配置復雜，易暴露攻擊面。

　　解決方案：【集群合規】保障容器和集群引擎的安全合規

　　根據CIS標準及自定義標準，對容器和集群中各組件進行安全配置掃描，包括docker引擎、控制平面組件、etcd、控制平臺配置、節點配置、策略等，幫助用戶進行合規配置。

　　癥狀四：組件爆發式增長為應用防護能力提出更高要求。

　　解決方案：【運行時安全】監測隔離容器運行時異常行為

　　容器運行時的防護提供容器的實時入侵檢測，發現并阻斷異常行為，包括容器逃逸，反彈shell，敏感文件訪問，暴力破解等。并支持自定義運行時安全策略與威脅情報聯動，保障容器安全運行。

　　癥狀五：容器業務依賴關系十分復雜，未知威脅可能蔓延，需要細粒度的管控。

　　解決方案：【容器微隔離】細粒度網絡隔離防止威脅擴散

　　提供基于容器或業務的多維網絡隔離能力，包括對容器、服務、pod、lable的隔離等，

　　提供可視化網絡拓撲，并且提供自適應、自遷移、自維護的網絡隔離策略以便于對容器的網絡環境進行細粒度的管控。

　　癥狀六：單體應用拆分導致端口數量暴增，攻擊面大幅增，連鎖攻破風險高。

　　解決方案：【微服務安全】發現微服務漏洞阻止風險傳播

　　包括微服務的梳理與自動發現，對微服務API進行安全掃描，發現微服務風險，提供檢測報告，并幫助用戶修補風險。同時對微服務進行網絡隔離，防止連鎖攻破，保障微服務安全。

　　癥狀七：云原生場景的CI/CD過程能夠自動完成持續的集成和持續的部署，因此在容器安全技術中對CI/CD過程的集成十分關鍵。

　　解決方案：【CI/CD集成】無縫融合DevOps實現安全左移

　　對如Jenkins、Bamboo等CI/CD工具進行集成，對編譯出的鏡像自動進行鏡像漏洞掃描，并提供鏡像掃描報告，配合CI/CD工具實現基于鏡像安全基線的合規審計和告警，并提供修改建議。

　　云原生架構給安全防護帶來了前所未有的挑戰，容器安全作為云原生安全的技術底座，對云原生安全起到了重要的支撐作用。啟明星辰集團容器安全管理平臺可適用于容器云、PaaS平臺安全防護容器云、PaaS平臺行業標準合規以及多租戶、多集群、多倉庫容器安全等豐富應用場景，全力保障容器在構建、部署和運行整個生命周期的安全。

　　未來，啟明星辰容器安全管理平臺將結合前期發布的云安全管理平臺、云負載安全防護平臺、一體化安全資源池、SaaS化服務，云內虛擬化安全能力等系列云安全解決方案，逐步形成啟明星辰完備的云安全防護體系，助力用戶安全的實現云原生轉型，并實現云邊界、租戶邊界、域邊界、虛擬機邊界到容器邊界的整體縱深防御體系，為用戶提供完整的、細粒度的、智能的云安全解決方案，讓用戶安全上云，安心上云。