對(duì)工作負(fù)載的定義，安全狗CEO陳奮這樣解釋到：“云工作負(fù)載是信息化系統(tǒng)和和核心業(yè)務(wù)數(shù)據(jù)的承載體，隨著信息化技術(shù)不斷的演進(jìn)，云工作負(fù)載已經(jīng)從傳統(tǒng)的物理機(jī)、虛擬機(jī)，拓展到現(xiàn)在云環(huán)境下泛指的計(jì)算節(jié)點(diǎn)，比如：公有云主機(jī)、私有云計(jì)算節(jié)點(diǎn)、Docker容器、無(wú)服務(wù)器、微服務(wù)等”。

　　隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、微服務(wù)、容器等新技術(shù)的嘗試和應(yīng)用，基礎(chǔ)設(shè)施架構(gòu)呈現(xiàn)出更加“混合化”的趨勢(shì)，虛擬化、微服務(wù)、容器等工作負(fù)載成為了新的業(yè)務(wù)載體。在基礎(chǔ)設(shè)施不斷變化的背景下，傳統(tǒng)的邊界安全防護(hù)就很難起到預(yù)期效果。攻擊者能輕易地通過(guò)網(wǎng)絡(luò)攻擊獲取用戶工作負(fù)載權(quán)限，繼而針對(duì)工作負(fù)載的網(wǎng)絡(luò)環(huán)境進(jìn)行橫向滲透。而在這種環(huán)境下不論在內(nèi)網(wǎng)或者在云上，都很難找到一個(gè)類(lèi)似“網(wǎng)關(guān)的位置”部署傳統(tǒng)的安全設(shè)備進(jìn)行全面的安全監(jiān)測(cè)與防護(hù)，由此也就延伸出了一系列針對(duì)工作負(fù)載新邊界的安全問(wèn)題。

　　隨著常態(tài)化、實(shí)戰(zhàn)化的攻防演練的展開(kāi)與深入，通過(guò)總結(jié)攻防演練期間出現(xiàn)的隱患類(lèi)型，可以發(fā)現(xiàn)，其中內(nèi)網(wǎng)隱患最高占據(jù)47%，互聯(lián)網(wǎng)隱患占據(jù)26%，生產(chǎn)網(wǎng)隱患占據(jù)19%，辦公網(wǎng)隱患占據(jù)8%。根據(jù)這些數(shù)據(jù)的統(tǒng)計(jì)我們不難發(fā)現(xiàn)，對(duì)于企業(yè)而言內(nèi)網(wǎng)已經(jīng)成為攻防對(duì)抗的新戰(zhàn)場(chǎng)，而工作負(fù)載作為內(nèi)網(wǎng)承載業(yè)務(wù)系統(tǒng)的載體更是攻擊者的下手目標(biāo)。

　　安全狗自2013年發(fā)布主機(jī)安全產(chǎn)品，采用主機(jī)Agent+云管理平臺(tái)的模式保護(hù)主機(jī)服務(wù)器安全，此做法正好與Gartner提出的CWPP理念不謀而合。作為國(guó)內(nèi)第一批引入CWPP理念的云安全廠商之一，并且在端點(diǎn)安全領(lǐng)域深耕多年，安全狗成為國(guó)內(nèi)第一批推出云作負(fù)載安全解決方案供應(yīng)商，同時(shí)也是目前國(guó)內(nèi)覆蓋工作負(fù)載安裝數(shù)量最大的CWPP廠商之一。

　　近期安全狗發(fā)布了一體化云工作負(fù)載安全系列產(chǎn)品新版本，全面適配混合云、云原生等新型架構(gòu)，其以云原生為中心思想，基于宿主機(jī)統(tǒng)一輕量化Agent實(shí)現(xiàn)主機(jī)漏洞檢測(cè)和補(bǔ)丁修復(fù)、主機(jī)入侵檢測(cè)及安全防護(hù)，解決云原生環(huán)境下容器生命周期的安全檢測(cè)及防護(hù)，以及對(duì)虛機(jī)之間、容器之間的網(wǎng)絡(luò)流量采集和網(wǎng)絡(luò)微隔離控制，通過(guò)統(tǒng)一輕量Agent，構(gòu)建主機(jī)安全、容器安全、網(wǎng)絡(luò)微隔離和補(bǔ)丁管理的安全產(chǎn)品體系，即，安全狗新一代工作負(fù)載安全產(chǎn)品體系，包含：云眼、云甲、云隙和云網(wǎng)產(chǎn)品。

圖1

　　如圖“縱向”主機(jī)和容器安全解決了工作負(fù)載的安全防護(hù)和監(jiān)測(cè)需求，“橫向”的補(bǔ)丁管理和自適應(yīng)微隔離解決了安全運(yùn)營(yíng)的問(wèn)題，“縱橫交錯(cuò)”解決防護(hù)監(jiān)測(cè)和持續(xù)安全運(yùn)營(yíng)兩個(gè)維度的問(wèn)題，安全管理和運(yùn)維管理相輔相成。

　　安全狗融合安全及運(yùn)維管理需求，推出了創(chuàng)新的開(kāi)放式“N合一”架構(gòu)，統(tǒng)一了主機(jī)安全、容器安全、微隔離、漏洞補(bǔ)丁等多個(gè)安全及運(yùn)維管理場(chǎng)景，實(shí)現(xiàn)了Agent的融合。通過(guò)云眼、云甲、云隙、云網(wǎng)四款產(chǎn)品共同使用同一個(gè)Agent基座，功能以插件方式擴(kuò)展，無(wú)需重復(fù)部署多個(gè)Agent。

　　插件化架構(gòu)是實(shí)現(xiàn)Agent統(tǒng)一的基礎(chǔ)和前提。插件化的Agent輕量、穩(wěn)定低消耗，功能易擴(kuò)展。整體上分為兩部分：Agent底座和插件。Agent底座是提供基礎(chǔ)環(huán)境，包括：進(jìn)程調(diào)度、資源限速管控、內(nèi)存管理和異常管理功能，確保插件能運(yùn)行在Agent提供的環(huán)境上。插件是指能夠在Agent底座上運(yùn)行并實(shí)現(xiàn)云工作負(fù)載安全保護(hù)功能的腳本文件，插件包括資產(chǎn)采集插件、漏洞檢測(cè)插件、入侵檢測(cè)插件、基線檢查插件、通用任務(wù)插件、網(wǎng)絡(luò)流量采集和容器安全檢測(cè)插件等。

圖2

　　Agent底座實(shí)現(xiàn)了功能的最小集合，大大減輕Agent對(duì)于主機(jī)性能的影響，其平均CPU消耗小于1%，峰值可以自定義小于5%。同時(shí)具備自適應(yīng)降級(jí)和自適應(yīng)自殺機(jī)制，減少Agent對(duì)業(yè)務(wù)的影響，確保業(yè)務(wù)優(yōu)化原則。

　　信創(chuàng)產(chǎn)業(yè)作為“新基建”的重要內(nèi)容正在飛速發(fā)展，與此同時(shí)信創(chuàng)平臺(tái)的網(wǎng)絡(luò)安全性問(wèn)題也不容忽視。安全狗作為國(guó)內(nèi)領(lǐng)先的云安全解決方案提供商，堅(jiān)持自主研發(fā)和國(guó)產(chǎn)化路線，積極推動(dòng)產(chǎn)品與信創(chuàng)平臺(tái)兼容適配。

　　安全狗一體化云工作負(fù)載安全系列產(chǎn)品已實(shí)現(xiàn)對(duì)飛騰、兆芯、海光、鯤鵬等CPU以及銀河麒麟、中標(biāo)麒麟、中科紅旗、普華、凝思、統(tǒng)信操作系統(tǒng)UOS等主流信創(chuàng)平臺(tái)的全面兼容適配。經(jīng)過(guò)嚴(yán)格測(cè)試，安全狗云工作負(fù)載安全產(chǎn)品整體運(yùn)行穩(wěn)定，功能、兼容性等各方面表現(xiàn)卓越，可以滿足用戶需求。

　　目前安全狗一體化云工作負(fù)載已在客戶側(cè)投入穩(wěn)定運(yùn)行，為信創(chuàng)生態(tài)網(wǎng)絡(luò)安全保駕護(hù)航。

　　云眼云主機(jī)安全產(chǎn)品新增微蜜罐功能，通過(guò)在安裝輕量化Agent的工作負(fù)載上投放欺騙誘捕的監(jiān)聽(tīng)端口，當(dāng)攻擊者連接欺騙誘捕的監(jiān)聽(tīng)端口時(shí)，立即關(guān)閉連接，記錄連接信息并告警。

　　新版本還支持與蜜罐集群聯(lián)動(dòng)，將攻擊者連接的監(jiān)聽(tīng)端口的連接信息轉(zhuǎn)移至蜜罐集群，即通常所說(shuō)的高交互蜜罐。通過(guò)在業(yè)務(wù)環(huán)境中創(chuàng)建高仿真環(huán)境，真實(shí)的工作負(fù)載和欺騙誘捕節(jié)點(diǎn)共存，虛虛實(shí)實(shí)、真真假假，當(dāng)攻擊者進(jìn)行掃描時(shí)，攻擊者難以鎖定真實(shí)目標(biāo)。當(dāng)監(jiān)聽(tīng)端口被攻擊時(shí)，攻擊流量引入欺騙防護(hù)系統(tǒng)中，從而讓攻擊者掉入我們布下的陷阱中。在攻擊者未察覺(jué)的情況下對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊者所使用的工具與方法，采集攻擊者的硬件指紋和錄制攻擊者的攻擊行為。

圖3

　　安全狗云隙微隔離產(chǎn)品基于CWPP技術(shù)架構(gòu)，通過(guò)在工作負(fù)載上部署輕量化Agent采集網(wǎng)絡(luò)流量，支持同時(shí)采集主機(jī)和容器的網(wǎng)絡(luò)流量，可以精準(zhǔn)識(shí)別主機(jī)與容器間的網(wǎng)絡(luò)流量。云隙提供多級(jí)別的業(yè)務(wù)可視化能力，數(shù)據(jù)中心視圖下可支持流量合并操作，按照業(yè)務(wù)組、業(yè)務(wù)角色合并流量線，有利于對(duì)業(yè)務(wù)關(guān)系進(jìn)行梳理分析，使得業(yè)務(wù)分析更加靈活和簡(jiǎn)便，能更好的輔助策略規(guī)則的設(shè)計(jì)。

圖4

　　安全策略配置支持自動(dòng)策略生成，根據(jù)機(jī)器自學(xué)習(xí)業(yè)務(wù)流量，批量生成策略規(guī)則，支持增量、全量?jī)煞N生成模式。云隙微隔離自動(dòng)策略生成“五步法”將在后續(xù)文章中詳細(xì)介紹。

　　通過(guò)可視化管理、策略管理，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心、云環(huán)境的業(yè)務(wù)流量可視化管理，繪制可視化的業(yè)務(wù)拓?fù)�，同時(shí)提供對(duì)主機(jī)和容器工作負(fù)載進(jìn)行全方位的精細(xì)化隔離與防護(hù)策略管理，控制業(yè)務(wù)流量訪問(wèn)，全面降低東西向的橫向穿透風(fēng)險(xiǎn)，阻止攻擊者進(jìn)入數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移，降低攻擊面。

圖5

　　安全狗云甲容器安全產(chǎn)品通過(guò)部署在宿主機(jī)工作負(fù)載上的輕量Agent，采集鏡像、容器、POD基礎(chǔ)資產(chǎn)數(shù)據(jù)和容器進(jìn)程、端口、數(shù)據(jù)等業(yè)務(wù)資產(chǎn)，協(xié)助用戶在容器化轉(zhuǎn)型過(guò)程中對(duì)資產(chǎn)進(jìn)行清點(diǎn)。云甲可以對(duì)鏡像構(gòu)建過(guò)程中，發(fā)現(xiàn)鏡像存在的系統(tǒng)漏洞、惡意代碼、敏感文件泄露等鏡像風(fēng)險(xiǎn)問(wèn)題，確保鏡像在分發(fā)上線前安全可信，同時(shí)用戶可自定義鏡像阻斷規(guī)則，對(duì)存在病毒木馬、webshell、特定系統(tǒng)漏洞或非信任鏡像等規(guī)則下的鏡像阻斷其運(yùn)行，從源頭上杜絕漏洞和惡意代碼引入。在容器運(yùn)行時(shí)，云甲可以實(shí)時(shí)監(jiān)控容器運(yùn)行時(shí)入侵行為，包括容器逃逸、容器內(nèi)惡意程序、異常文件操作行為、異常命令行為以及異常網(wǎng)絡(luò)行為，及時(shí)發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應(yīng)，為企業(yè)云原生建設(shè)提供安全保障。

圖6

　　除了輕量化Agent部署模式外，云甲還支持平行容器的部署方式，減小對(duì)環(huán)境依賴(lài)，易管理易維護(hù)。

　　安全狗新一代一體化（云）工作負(fù)載安全系列產(chǎn)品已經(jīng)在國(guó)內(nèi)某大型互聯(lián)網(wǎng)在線制造平臺(tái)有實(shí)際部署案例。

圖7

　　該案例中采用統(tǒng)一輕量化Agent部署在用戶宿主機(jī)上，對(duì)主機(jī)靜態(tài)和動(dòng)態(tài)資產(chǎn)采集、漏洞風(fēng)險(xiǎn)檢測(cè)和入侵威脅實(shí)時(shí)監(jiān)測(cè)，保護(hù)宿主機(jī)安全。同時(shí)對(duì)容器全生命周期進(jìn)行安全配置檢測(cè)，對(duì)容器構(gòu)建階段的鏡像文件的風(fēng)險(xiǎn)漏洞進(jìn)行檢測(cè)并自定義鏡像準(zhǔn)入控制，從源頭上杜絕惡意代碼引入，實(shí)時(shí)監(jiān)控容器內(nèi)入侵行為，及時(shí)發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應(yīng)。統(tǒng)一輕量化Agent運(yùn)行穩(wěn)定，在保護(hù)主機(jī)和容器安全的同時(shí)，對(duì)業(yè)務(wù)幾乎無(wú)影響。

　　統(tǒng)一輕量化Agent采集到的主機(jī)和容器資產(chǎn)，以及主機(jī)和容器的攻擊入侵事件推送至安全態(tài)勢(shì)感知平臺(tái)，為用戶構(gòu)建縱深立體的聯(lián)動(dòng)響應(yīng)體系，有效覆蓋主機(jī)側(cè)、容器側(cè)事件協(xié)同處置。