對工作負載的定義，安全狗CEO陳奮這樣解釋到：“云工作負載是信息化系統(tǒng)和和核心業(yè)務數(shù)據(jù)的承載體，隨著信息化技術不斷的演進，云工作負載已經(jīng)從傳統(tǒng)的物理機、虛擬機，拓展到現(xiàn)在云環(huán)境下泛指的計算節(jié)點，比如：公有云主機、私有云計算節(jié)點、Docker容器、無服務器、微服務等”。

　　隨著互聯(lián)網(wǎng)技術的發(fā)展，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、微服務、容器等新技術的嘗試和應用，基礎設施架構呈現(xiàn)出更加“混合化”的趨勢，虛擬化、微服務、容器等工作負載成為了新的業(yè)務載體。在基礎設施不斷變化的背景下，傳統(tǒng)的邊界安全防護就很難起到預期效果。攻擊者能輕易地通過網(wǎng)絡攻擊獲取用戶工作負載權限，繼而針對工作負載的網(wǎng)絡環(huán)境進行橫向滲透。而在這種環(huán)境下不論在內(nèi)網(wǎng)或者在云上，都很難找到一個類似“網(wǎng)關的位置”部署傳統(tǒng)的安全設備進行全面的安全監(jiān)測與防護，由此也就延伸出了一系列針對工作負載新邊界的安全問題。

　　隨著常態(tài)化、實戰(zhàn)化的攻防演練的展開與深入，通過總結攻防演練期間出現(xiàn)的隱患類型，可以發(fā)現(xiàn)，其中內(nèi)網(wǎng)隱患最高占據(jù)47%，互聯(lián)網(wǎng)隱患占據(jù)26%，生產(chǎn)網(wǎng)隱患占據(jù)19%，辦公網(wǎng)隱患占據(jù)8%。根據(jù)這些數(shù)據(jù)的統(tǒng)計我們不難發(fā)現(xiàn)，對于企業(yè)而言內(nèi)網(wǎng)已經(jīng)成為攻防對抗的新戰(zhàn)場，而工作負載作為內(nèi)網(wǎng)承載業(yè)務系統(tǒng)的載體更是攻擊者的下手目標。

　　安全狗自2013年發(fā)布主機安全產(chǎn)品，采用主機Agent+云管理平臺的模式保護主機服務器安全，此做法正好與Gartner提出的CWPP理念不謀而合。作為國內(nèi)第一批引入CWPP理念的云安全廠商之一，并且在端點安全領域深耕多年，安全狗成為國內(nèi)第一批推出云作負載安全解決方案供應商，同時也是目前國內(nèi)覆蓋工作負載安裝數(shù)量最大的CWPP廠商之一。

　　近期安全狗發(fā)布了一體化云工作負載安全系列產(chǎn)品新版本，全面適配混合云、云原生等新型架構，其以云原生為中心思想，基于宿主機統(tǒng)一輕量化Agent實現(xiàn)主機漏洞檢測和補丁修復、主機入侵檢測及安全防護，解決云原生環(huán)境下容器生命周期的安全檢測及防護，以及對虛機之間、容器之間的網(wǎng)絡流量采集和網(wǎng)絡微隔離控制，通過統(tǒng)一輕量Agent，構建主機安全、容器安全、網(wǎng)絡微隔離和補丁管理的安全產(chǎn)品體系，即，安全狗新一代工作負載安全產(chǎn)品體系，包含：云眼、云甲、云隙和云網(wǎng)產(chǎn)品。

圖1

　　如圖“縱向”主機和容器安全解決了工作負載的安全防護和監(jiān)測需求，“橫向”的補丁管理和自適應微隔離解決了安全運營的問題，“縱橫交錯”解決防護監(jiān)測和持續(xù)安全運營兩個維度的問題，安全管理和運維管理相輔相成。

　　安全狗融合安全及運維管理需求，推出了創(chuàng)新的開放式“N合一”架構，統(tǒng)一了主機安全、容器安全、微隔離、漏洞補丁等多個安全及運維管理場景，實現(xiàn)了Agent的融合。通過云眼、云甲、云隙、云網(wǎng)四款產(chǎn)品共同使用同一個Agent基座，功能以插件方式擴展，無需重復部署多個Agent。

　　插件化架構是實現(xiàn)Agent統(tǒng)一的基礎和前提。插件化的Agent輕量、穩(wěn)定低消耗，功能易擴展。整體上分為兩部分：Agent底座和插件。Agent底座是提供基礎環(huán)境，包括：進程調(diào)度、資源限速管控、內(nèi)存管理和異常管理功能，確保插件能運行在Agent提供的環(huán)境上。插件是指能夠在Agent底座上運行并實現(xiàn)云工作負載安全保護功能的腳本文件，插件包括資產(chǎn)采集插件、漏洞檢測插件、入侵檢測插件、基線檢查插件、通用任務插件、網(wǎng)絡流量采集和容器安全檢測插件等。

圖2

　　Agent底座實現(xiàn)了功能的最小集合，大大減輕Agent對于主機性能的影響，其平均CPU消耗小于1%，峰值可以自定義小于5%。同時具備自適應降級和自適應自殺機制，減少Agent對業(yè)務的影響，確保業(yè)務優(yōu)化原則。

　　信創(chuàng)產(chǎn)業(yè)作為“新基建”的重要內(nèi)容正在飛速發(fā)展，與此同時信創(chuàng)平臺的網(wǎng)絡安全性問題也不容忽視。安全狗作為國內(nèi)領先的云安全解決方案提供商，堅持自主研發(fā)和國產(chǎn)化路線，積極推動產(chǎn)品與信創(chuàng)平臺兼容適配。

　　安全狗一體化云工作負載安全系列產(chǎn)品已實現(xiàn)對飛騰、兆芯、海光、鯤鵬等CPU以及銀河麒麟、中標麒麟、中科紅旗、普華、凝思、統(tǒng)信操作系統(tǒng)UOS等主流信創(chuàng)平臺的全面兼容適配。經(jīng)過嚴格測試，安全狗云工作負載安全產(chǎn)品整體運行穩(wěn)定，功能、兼容性等各方面表現(xiàn)卓越，可以滿足用戶需求。

　　目前安全狗一體化云工作負載已在客戶側(cè)投入穩(wěn)定運行，為信創(chuàng)生態(tài)網(wǎng)絡安全保駕護航。

　　云眼云主機安全產(chǎn)品新增微蜜罐功能，通過在安裝輕量化Agent的工作負載上投放欺騙誘捕的監(jiān)聽端口，當攻擊者連接欺騙誘捕的監(jiān)聽端口時，立即關閉連接，記錄連接信息并告警。

　　新版本還支持與蜜罐集群聯(lián)動，將攻擊者連接的監(jiān)聽端口的連接信息轉(zhuǎn)移至蜜罐集群，即通常所說的高交互蜜罐。通過在業(yè)務環(huán)境中創(chuàng)建高仿真環(huán)境，真實的工作負載和欺騙誘捕節(jié)點共存，虛虛實實、真真假假，當攻擊者進行掃描時，攻擊者難以鎖定真實目標。當監(jiān)聽端口被攻擊時，攻擊流量引入欺騙防護系統(tǒng)中，從而讓攻擊者掉入我們布下的陷阱中。在攻擊者未察覺的情況下對攻擊行為進行捕獲和分析，了解攻擊者所使用的工具與方法，采集攻擊者的硬件指紋和錄制攻擊者的攻擊行為。

圖3

　　安全狗云隙微隔離產(chǎn)品基于CWPP技術架構，通過在工作負載上部署輕量化Agent采集網(wǎng)絡流量，支持同時采集主機和容器的網(wǎng)絡流量，可以精準識別主機與容器間的網(wǎng)絡流量。云隙提供多級別的業(yè)務可視化能力，數(shù)據(jù)中心視圖下可支持流量合并操作，按照業(yè)務組、業(yè)務角色合并流量線，有利于對業(yè)務關系進行梳理分析，使得業(yè)務分析更加靈活和簡便，能更好的輔助策略規(guī)則的設計。

圖4

　　安全策略配置支持自動策略生成，根據(jù)機器自學習業(yè)務流量，批量生成策略規(guī)則，支持增量、全量兩種生成模式。云隙微隔離自動策略生成“五步法”將在后續(xù)文章中詳細介紹。

　　通過可視化管理、策略管理，實現(xiàn)對數(shù)據(jù)中心、云環(huán)境的業(yè)務流量可視化管理，繪制可視化的業(yè)務拓撲，同時提供對主機和容器工作負載進行全方位的精細化隔離與防護策略管理，控制業(yè)務流量訪問，全面降低東西向的橫向穿透風險，阻止攻擊者進入數(shù)據(jù)中心網(wǎng)絡內(nèi)部后的橫向平移，降低攻擊面。

圖5

　　安全狗云甲容器安全產(chǎn)品通過部署在宿主機工作負載上的輕量Agent，采集鏡像、容器、POD基礎資產(chǎn)數(shù)據(jù)和容器進程、端口、數(shù)據(jù)等業(yè)務資產(chǎn)，協(xié)助用戶在容器化轉(zhuǎn)型過程中對資產(chǎn)進行清點。云甲可以對鏡像構建過程中，發(fā)現(xiàn)鏡像存在的系統(tǒng)漏洞、惡意代碼、敏感文件泄露等鏡像風險問題，確保鏡像在分發(fā)上線前安全可信，同時用戶可自定義鏡像阻斷規(guī)則，對存在病毒木馬、webshell、特定系統(tǒng)漏洞或非信任鏡像等規(guī)則下的鏡像阻斷其運行，從源頭上杜絕漏洞和惡意代碼引入。在容器運行時，云甲可以實時監(jiān)控容器運行時入侵行為，包括容器逃逸、容器內(nèi)惡意程序、異常文件操作行為、異常命令行為以及異常網(wǎng)絡行為，及時發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應，為企業(yè)云原生建設提供安全保障。

圖6

　　除了輕量化Agent部署模式外，云甲還支持平行容器的部署方式，減小對環(huán)境依賴，易管理易維護。

　　安全狗新一代一體化（云）工作負載安全系列產(chǎn)品已經(jīng)在國內(nèi)某大型互聯(lián)網(wǎng)在線制造平臺有實際部署案例。

圖7

　　該案例中采用統(tǒng)一輕量化Agent部署在用戶宿主機上，對主機靜態(tài)和動態(tài)資產(chǎn)采集、漏洞風險檢測和入侵威脅實時監(jiān)測，保護宿主機安全。同時對容器全生命周期進行安全配置檢測，對容器構建階段的鏡像文件的風險漏洞進行檢測并自定義鏡像準入控制，從源頭上杜絕惡意代碼引入，實時監(jiān)控容器內(nèi)入侵行為，及時發(fā)現(xiàn)容器內(nèi)入侵攻擊并快速響應。統(tǒng)一輕量化Agent運行穩(wěn)定，在保護主機和容器安全的同時，對業(yè)務幾乎無影響。

　　統(tǒng)一輕量化Agent采集到的主機和容器資產(chǎn)，以及主機和容器的攻擊入侵事件推送至安全態(tài)勢感知平臺，為用戶構建縱深立體的聯(lián)動響應體系，有效覆蓋主機側(cè)、容器側(cè)事件協(xié)同處置。