UDN-企业互联网技术人气社区

板块导航

浏览  : 377
回复  : 1

[技术交流] 容器界的杜蕾斯,关注用户体验及安全

[复制链接]
瞌睡虫的头像 楼主
发表于 2016-8-2 09:28:39 | 显示全部楼层 |阅读模式
  众所周知,容器火起来后其生态日渐壮大,诸多细节走进大众视野且被提上议程,尤其是在生产环境的落地过程中,更是容不得差错,而其中最不能忽视一个,正是安全问题。无危为安,无损为全,安全是一种状态,更是一种保障。有容云企业级容器安全产品AppSafe将于8月1日全新上线,关注用户体验及安全,打响国内容器安全第一枪!

1.png



  AppSafe概览

  什么是容器安全?有说法是不会对主机及其他容器造成影响的,也有说法是容器整个生命周期安全的,总而言之,容器安全并非仅仅是容器,而是包含了多方面关系的系统的问题,也就是说,在容器安全问题的考虑中,容器的镜像安全及容器运行时的安全防护尤为重要。

  纵观整个容器安全生态圈,最大的两个版块当数容器镜像扫描(CVE)与容器运行时违规(CIS)。(注:CVE为CenterforInternetSecurity缩写,CIS为CenterforInternetSecurity缩写)。据国外权威研究机构分析DockerHub上所有官方的镜像有超过1/3的镜像有高危漏洞,接近2/3的有高或中级危漏洞,这就会导致容器间通讯很容易被远程攻击。容器提供了以进程为主的运作方式,随处运行的可行性及生命周期短暂性特点深入人心;构建后仅仅包含运行一个应用所必须的软件包且不会再改变,任何更新都需要重新构建容器,从而保持容器的不可修改性,但这也让任何的漏洞会同时被复制。AppSafe帮助用户解决哪些容器安全问题呢?

  扫描并标记含有漏洞的镜像

2.png



  数据显示,在DockerHub官方仓库中取样1000个官方镜像,发现大约有20%的镜像中软件包Mercuarial存在漏洞,而DockerHub普通仓库中的Bash漏洞高达40%。那么我们要如何判断自己使用的镜像是否安全、是否存在篡改或者其宣称的来源是否可靠?如果攻击者诱导大家运行由其精心设计的镜像,那么各位的主机与数据都将处于威胁之下。AppSafe提供镜像扫描服务,方便大家及时发现含有漏洞的镜像,更新自己运行的镜像为,从而更新到不包含任何存在已知安全漏洞的版本。

3.png



  含漏洞镜像标记

  针对拒绝服务攻击提供安全防护

  DoS是DenialofService的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,DoS/DDoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃。下图为使用HTTP协议的DoS攻击压力测试工具Slowhttptest对wordpress应用发起攻击,AppSafe阻挡了攻击,外部依然可以正常访问应用,但拓扑图上我们能直观看到红线标出的异常情况:

4.png



  Slowhttptest对容器发起攻击

5.png



  异常情况标识

  智能化发现应用违规及威胁并提供防护机制

  当容器面向某数据库或者服务发起访问时,往往需要某些安全协议或策略加以配合,例如API密钥或者用户名加密码。而一旦攻击者利用到这些私密信息漏洞,必然对应用程序产生威胁。这类问题在微服务架构当中往往更为严重,因为在此类环境内各容器会频繁中止与启动,因此受到的威胁远高于一般而言运行周期更长且数据较少的虚拟机系统。对此,AppSafe提供了对应安全策略,当发现违规行为时可启动防护模式,对容器进行实时保护。

6.png



  安全策略

7.png



  针对违规行为的防护

8.png



  威胁事件

  总结

  一句话总结:AppSafe专为容器而生,专治使用容器中遇到的各种不服!还是那个宗旨:一个中心,两个基本点;以应用为中心,以保障容器静态资源和运行时安全为基本出发点。重要的事情说三遍:国内首款企业级容器安全产品AppSafe,8月1日上线,8月1日上线,8月1日上线。

文章来源:有容云
文章作者:有容云

相关帖子

发表于 2016-8-2 10:59:31 | 显示全部楼层
赞,帖子很棒!
使用道具 举报

回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们
联系我们
  • 电话:010-86393388
  • 邮件:udn@yonyou.com
  • 地址:北京市海淀区北清路68号
移动客户端下载
关注我们
  • 微信公众号:yonyouudn
  • 扫描右侧二维码关注我们
  • 专注企业互联网的技术社区
版权所有:用友网络科技股份有限公司82041 京ICP备05007539号-11 京公网网备安1101080209224 Powered by Discuz!
快速回复 返回列表 返回顶部