近年來，隨著企業(yè)應用云原生業(yè)務越來越多，容器運行威脅也越發(fā)頻繁，這給企業(yè)帶來的負面影響越來越大。容器運行時安全成為企業(yè)及云原生安全的重點關(guān)注問題。容器運行時作為容器全生命周期核心，負責管理容器運行的全階段。而介于云原生業(yè)務、編排機制之間的容器所具有的短生命周期特點也成為攻擊者的新目標，并且傳統(tǒng)應對長生命周期資產(chǎn)的手段便不再適用。與之相應的是，鏡像這類持久化資產(chǎn)則成為攻擊者的另一目標。

面對多重運行時的攻擊威脅，安全狗基于云原生安全、CWPP、安全左移等多個先進技術(shù)概念打造的云原生安全產(chǎn)品——云甲，即，容器全生命周期安全解決方案所落地的雙模式檢測方案能有效應對并解決。

在落地的云甲設(shè)計雙模式檢測方案中，一方面，針對已知威脅，建立特征準確、覆蓋面廣、更新及時的異常檢測機制；針對未知威脅，研究發(fā)現(xiàn)鏡像容器內(nèi)進程文件等具有相似性、一致性。如攻擊者嘗試繞過進程白名單，致使某進程所在的文件路徑與正常運行時不同。另一方面，即可通過建立行為模型，從業(yè)務運行期間的海量數(shù)據(jù)中識別出異常行為。

 
圖1

通過對不同的運行時未知風險的深入分析，云甲研發(fā)團隊研究出最佳運行時行為模型方案，即，從系統(tǒng)級別監(jiān)測管控容器行為，客戶端側(cè)實時采集行為活動數(shù)據(jù)，生成行為日志。云端側(cè)對上報數(shù)據(jù)分析、建模，通過聯(lián)合威脅情報風險信息，識別容器異常行為。通過針對性分析，進而推送異常告警及安全策略，實現(xiàn)風險可視、可管、可控。采用建模系統(tǒng)、運行時監(jiān)測系統(tǒng)、策略配置系統(tǒng)這三大系統(tǒng)，實現(xiàn)容器鏡像集群行為風險的智能化檢測與安全響應。

 
圖2

建模系統(tǒng)作為行為模型最重要的環(huán)節(jié)，云甲遵循3項理念：自生成、可調(diào)整、聚合與復用。

云甲可通過行為模型進行狀態(tài)跟蹤，判斷各類異常行為，發(fā)現(xiàn)隱藏的未知威脅；彌補只通過特征庫檢測已知風險的單面性，讓威脅攻擊無處遁形。實時數(shù)據(jù)跟蹤：經(jīng)過對容器內(nèi)進程、文件、網(wǎng)絡等活動數(shù)據(jù)實時采集、數(shù)據(jù)對比、數(shù)據(jù)存儲等，實現(xiàn)運行時業(yè)務活動的實時監(jiān)控，并形成行為審計日志，實現(xiàn)基于行為模型的異常行為分析、監(jiān)控和異常上報等功能，以此達到及時發(fā)現(xiàn)威脅并預警效果。

為了應對運行時異常威脅的發(fā)現(xiàn)，云甲采用模型策略配置和響應策略配置兩種方式達到及時的閉環(huán)響應處置目的，為運維人員提供及時、便捷的防護措施。通過事件研判上報、內(nèi)容分析，可調(diào)整策略中的模型聚合、模型分離，從而實現(xiàn)容器模型、鏡像模型不同場景下的畫像調(diào)整；通過配置進程、文件、網(wǎng)絡等行為活動的行為黑白名單響應操作包括不限于阻止異常進程、只讀文件、網(wǎng)絡端口訪問限制等，配置自動處置策略，并且結(jié)合自動處置與威脅告警，增強安全事件的響應速度，從而形成風險閉環(huán)。

以上是安全狗云甲研發(fā)團隊基于用戶所面臨的容器運行時威脅所做的云原生容器安全解決思路與落地經(jīng)驗分享。值得關(guān)注的是，安全狗近期所發(fā)布的云甲新版本中也具備了以上所提的功能。

后續(xù)云甲也將針對異常行為監(jiān)控與判斷、在不同場景下活動特征、模型構(gòu)建算法等方面做進一步探索。希望為用戶建立更科學合理的模型，更全面的威脅監(jiān)控，以及編排化的快速響應支撐，助力國內(nèi)云原生安全快速發(fā)展。