對工作負載的定義，安全狗CEO陳奮這樣解釋到：“云工作負載是信息化系統和和核心業(yè)務(wù)數據的承載體，隨著(zhù)信息化技術(shù)不斷的演進(jìn)，云工作負載已經(jīng)從傳統的物理機、虛擬機，拓展到現在云環(huán)境下泛指的計算節點(diǎn)，比如：公有云主機、私有云計算節點(diǎn)、Docker容器、無(wú)服務(wù)器、微服務(wù)等”。

　　隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展，云計算、大數據、物聯(lián)網(wǎng)、微服務(wù)、容器等新技術(shù)的嘗試和應用，基礎設施架構呈現出更加“混合化”的趨勢，虛擬化、微服務(wù)、容器等工作負載成為了新的業(yè)務(wù)載體。在基礎設施不斷變化的背景下，傳統的邊界安全防護就很難起到預期效果。攻擊者能輕易地通過(guò)網(wǎng)絡(luò )攻擊獲取用戶(hù)工作負載權限，繼而針對工作負載的網(wǎng)絡(luò )環(huán)境進(jìn)行橫向滲透。而在這種環(huán)境下不論在內網(wǎng)或者在云上，都很難找到一個(gè)類(lèi)似“網(wǎng)關(guān)的位置”部署傳統的安全設備進(jìn)行全面的安全監測與防護，由此也就延伸出了一系列針對工作負載新邊界的安全問(wèn)題。

　　隨著(zhù)常態(tài)化、實(shí)戰化的攻防演練的展開(kāi)與深入，通過(guò)總結攻防演練期間出現的隱患類(lèi)型，可以發(fā)現，其中內網(wǎng)隱患最高占據47%，互聯(lián)網(wǎng)隱患占據26%，生產(chǎn)網(wǎng)隱患占據19%，辦公網(wǎng)隱患占據8%。根據這些數據的統計我們不難發(fā)現，對于企業(yè)而言?xún)染W(wǎng)已經(jīng)成為攻防對抗的新戰場(chǎng)，而工作負載作為內網(wǎng)承載業(yè)務(wù)系統的載體更是攻擊者的下手目標。

　　安全狗自2013年發(fā)布主機安全產(chǎn)品，采用主機Agent+云管理平臺的模式保護主機服務(wù)器安全，此做法正好與Gartner提出的CWPP理念不謀而合。作為國內第一批引入CWPP理念的云安全廠(chǎng)商之一，并且在端點(diǎn)安全領(lǐng)域深耕多年，安全狗成為國內第一批推出云作負載安全解決方案供應商，同時(shí)也是目前國內覆蓋工作負載安裝數量最大的CWPP廠(chǎng)商之一。

　　近期安全狗發(fā)布了一體化云工作負載安全系列產(chǎn)品新版本，全面適配混合云、云原生等新型架構，其以云原生為中心思想，基于宿主機統一輕量化Agent實(shí)現主機漏洞檢測和補丁修復、主機入侵檢測及安全防護，解決云原生環(huán)境下容器生命周期的安全檢測及防護，以及對虛機之間、容器之間的網(wǎng)絡(luò )流量采集和網(wǎng)絡(luò )微隔離控制，通過(guò)統一輕量Agent，構建主機安全、容器安全、網(wǎng)絡(luò )微隔離和補丁管理的安全產(chǎn)品體系，即，安全狗新一代工作負載安全產(chǎn)品體系，包含：云眼、云甲、云隙和云網(wǎng)產(chǎn)品。

圖1

　　如圖“縱向”主機和容器安全解決了工作負載的安全防護和監測需求，“橫向”的補丁管理和自適應微隔離解決了安全運營(yíng)的問(wèn)題，“縱橫交錯”解決防護監測和持續安全運營(yíng)兩個(gè)維度的問(wèn)題，安全管理和運維管理相輔相成。

　　安全狗融合安全及運維管理需求，推出了創(chuàng )新的開(kāi)放式“N合一”架構，統一了主機安全、容器安全、微隔離、漏洞補丁等多個(gè)安全及運維管理場(chǎng)景，實(shí)現了Agent的融合。通過(guò)云眼、云甲、云隙、云網(wǎng)四款產(chǎn)品共同使用同一個(gè)Agent基座，功能以插件方式擴展，無(wú)需重復部署多個(gè)Agent。

　　插件化架構是實(shí)現Agent統一的基礎和前提。插件化的Agent輕量、穩定低消耗，功能易擴展。整體上分為兩部分：Agent底座和插件。Agent底座是提供基礎環(huán)境，包括：進(jìn)程調度、資源限速管控、內存管理和異常管理功能，確保插件能運行在A(yíng)gent提供的環(huán)境上。插件是指能夠在A(yíng)gent底座上運行并實(shí)現云工作負載安全保護功能的腳本文件，插件包括資產(chǎn)采集插件、漏洞檢測插件、入侵檢測插件、基線(xiàn)檢查插件、通用任務(wù)插件、網(wǎng)絡(luò )流量采集和容器安全檢測插件等。

圖2

　　Agent底座實(shí)現了功能的最小集合，大大減輕Agent對于主機性能的影響，其平均CPU消耗小于1%，峰值可以自定義小于5%。同時(shí)具備自適應降級和自適應自殺機制，減少Agent對業(yè)務(wù)的影響，確保業(yè)務(wù)優(yōu)化原則。

　　信創(chuàng )產(chǎn)業(yè)作為“新基建”的重要內容正在飛速發(fā)展，與此同時(shí)信創(chuàng )平臺的網(wǎng)絡(luò )安全性問(wèn)題也不容忽視。安全狗作為國內領(lǐng)先的云安全解決方案提供商，堅持自主研發(fā)和國產(chǎn)化路線(xiàn)，積極推動(dòng)產(chǎn)品與信創(chuàng )平臺兼容適配。

　　安全狗一體化云工作負載安全系列產(chǎn)品已實(shí)現對飛騰、兆芯、海光、鯤鵬等CPU以及銀河麒麟、中標麒麟、中科紅旗、普華、凝思、統信操作系統UOS等主流信創(chuàng )平臺的全面兼容適配。經(jīng)過(guò)嚴格測試，安全狗云工作負載安全產(chǎn)品整體運行穩定，功能、兼容性等各方面表現卓越，可以滿(mǎn)足用戶(hù)需求。

　　目前安全狗一體化云工作負載已在客戶(hù)側投入穩定運行，為信創(chuàng )生態(tài)網(wǎng)絡(luò )安全保駕護航。

　　云眼云主機安全產(chǎn)品新增微蜜罐功能，通過(guò)在安裝輕量化Agent的工作負載上投放欺騙誘捕的監聽(tīng)端口，當攻擊者連接欺騙誘捕的監聽(tīng)端口時(shí)，立即關(guān)閉連接，記錄連接信息并告警。

　　新版本還支持與蜜罐集群聯(lián)動(dòng)，將攻擊者連接的監聽(tīng)端口的連接信息轉移至蜜罐集群，即通常所說(shuō)的高交互蜜罐。通過(guò)在業(yè)務(wù)環(huán)境中創(chuàng )建高仿真環(huán)境，真實(shí)的工作負載和欺騙誘捕節點(diǎn)共存，虛虛實(shí)實(shí)、真真假假，當攻擊者進(jìn)行掃描時(shí)，攻擊者難以鎖定真實(shí)目標。當監聽(tīng)端口被攻擊時(shí)，攻擊流量引入欺騙防護系統中，從而讓攻擊者掉入我們布下的陷阱中。在攻擊者未察覺(jué)的情況下對攻擊行為進(jìn)行捕獲和分析，了解攻擊者所使用的工具與方法，采集攻擊者的硬件指紋和錄制攻擊者的攻擊行為。

圖3

　　安全狗云隙微隔離產(chǎn)品基于CWPP技術(shù)架構，通過(guò)在工作負載上部署輕量化Agent采集網(wǎng)絡(luò )流量，支持同時(shí)采集主機和容器的網(wǎng)絡(luò )流量，可以精準識別主機與容器間的網(wǎng)絡(luò )流量。云隙提供多級別的業(yè)務(wù)可視化能力，數據中心視圖下可支持流量合并操作，按照業(yè)務(wù)組、業(yè)務(wù)角色合并流量線(xiàn)，有利于對業(yè)務(wù)關(guān)系進(jìn)行梳理分析，使得業(yè)務(wù)分析更加靈活和簡(jiǎn)便，能更好的輔助策略規則的設計。

圖4

　　安全策略配置支持自動(dòng)策略生成，根據機器自學(xué)習業(yè)務(wù)流量，批量生成策略規則，支持增量、全量?jì)煞N生成模式。云隙微隔離自動(dòng)策略生成“五步法”將在后續文章中詳細介紹。

　　通過(guò)可視化管理、策略管理，實(shí)現對數據中心、云環(huán)境的業(yè)務(wù)流量可視化管理，繪制可視化的業(yè)務(wù)拓撲，同時(shí)提供對主機和容器工作負載進(jìn)行全方位的精細化隔離與防護策略管理，控制業(yè)務(wù)流量訪(fǎng)問(wèn)，全面降低東西向的橫向穿透風(fēng)險，阻止攻擊者進(jìn)入數據中心網(wǎng)絡(luò )內部后的橫向平移，降低攻擊面。

圖5

　　安全狗云甲容器安全產(chǎn)品通過(guò)部署在宿主機工作負載上的輕量Agent，采集鏡像、容器、POD基礎資產(chǎn)數據和容器進(jìn)程、端口、數據等業(yè)務(wù)資產(chǎn)，協(xié)助用戶(hù)在容器化轉型過(guò)程中對資產(chǎn)進(jìn)行清點(diǎn)。云甲可以對鏡像構建過(guò)程中，發(fā)現鏡像存在的系統漏洞、惡意代碼、敏感文件泄露等鏡像風(fēng)險問(wèn)題，確保鏡像在分發(fā)上線(xiàn)前安全可信，同時(shí)用戶(hù)可自定義鏡像阻斷規則，對存在病毒木馬、webshell、特定系統漏洞或非信任鏡像等規則下的鏡像阻斷其運行，從源頭上杜絕漏洞和惡意代碼引入。在容器運行時(shí)，云甲可以實(shí)時(shí)監控容器運行時(shí)入侵行為，包括容器逃逸、容器內惡意程序、異常文件操作行為、異常命令行為以及異常網(wǎng)絡(luò )行為，及時(shí)發(fā)現容器內入侵攻擊并快速響應，為企業(yè)云原生建設提供安全保障。

圖6

　　除了輕量化Agent部署模式外，云甲還支持平行容器的部署方式，減小對環(huán)境依賴(lài)，易管理易維護。

　　安全狗新一代一體化（云）工作負載安全系列產(chǎn)品已經(jīng)在國內某大型互聯(lián)網(wǎng)在線(xiàn)制造平臺有實(shí)際部署案例。

圖7

　　該案例中采用統一輕量化Agent部署在用戶(hù)宿主機上，對主機靜態(tài)和動(dòng)態(tài)資產(chǎn)采集、漏洞風(fēng)險檢測和入侵威脅實(shí)時(shí)監測，保護宿主機安全。同時(shí)對容器全生命周期進(jìn)行安全配置檢測，對容器構建階段的鏡像文件的風(fēng)險漏洞進(jìn)行檢測并自定義鏡像準入控制，從源頭上杜絕惡意代碼引入，實(shí)時(shí)監控容器內入侵行為，及時(shí)發(fā)現容器內入侵攻擊并快速響應。統一輕量化Agent運行穩定，在保護主機和容器安全的同時(shí)，對業(yè)務(wù)幾乎無(wú)影響。

　　統一輕量化Agent采集到的主機和容器資產(chǎn)，以及主機和容器的攻擊入侵事件推送至安全態(tài)勢感知平臺，為用戶(hù)構建縱深立體的聯(lián)動(dòng)響應體系，有效覆蓋主機側、容器側事件協(xié)同處置。