**前言:**牧云·云原生安全平台是长亭牧云团队以开源社区为生态载体技术积累为驱动所打造的云原生安全平台。首创双模探针架构,可选用 Agentless/Agent 多种方案进行部署,覆盖制品、运行时、集群全流程安全,开箱即用、快速实施、成本极低、自动升级、无需维护、无缝集成,让用户能够轻装上阵,轻松解决云原生安全问题。
*0x01 新增功能*
基于开源社区技术沉淀,结合自研引擎能力,支持识别不安全的 Capability、不安全的挂载、共享命名空间、特权容器等类型的逃逸风险。
通过对进程变动的监控,结合深度行为检测算法,可检测目前已知的所有反弹 Shell 手段,包括 bash 反弹、nc 反弹、python 反弹等。
基于进程监控与使用安全 bash 双模式驱动,通过持续监控进程创建与监控命令执行事件,分析进程结构与调用关系,精准定位攻击特征,实现对可疑操作的全面检测。
通过分析容器配置自动定位 Web 目录,对 Web 目录内的文件进行全面扫描,并持续监控 Web 目录内的文件变动,从而实现对于 WebShell 实时感知能力。
可覆盖攻防对抗场景下容易产生安全影响的数十种应用类型。
支持被动持续扫描,实时监控系统状态,对可执行文件、动态链接库、内核模块、驱动程序等多种文件深度扫描。
支持实时审计系统认证事件,有效识别异常认证行为,还原暴力破解过程,可检测高频暴破、低频暴破、账号暴破、口令暴破、多源暴破等多种暴力破解行为。
支持对容器内的 java 进程进行检测,有效防护黑客恶意攻击行为。
通过对容器内进程行为进行自动学习,基于镜像整合形成自定义的容器模型,完成学习后将模型投入监控中,当出现模型外行为时,将进行实时告警。
对云原生集群环境中网络流量进行抓取,打破流量访问模糊壁垒,支持对 Pod 网络进行监测,实时绘制网络拓扑图,有效感知流量访问关系。
基于 Kubernetes 原生 network policy 提供对 Kubernetes 集群内各类粒度资源之间的通信进行网络隔离控制,隔离策略高效灵活,支持配置所有业务场景的访问规则、阻断风险流量。
基于 Kubernetes 原生架构,首推集群日志安全审计,覆盖漏洞利用、黑客工具、扫描探测、风险操作、恶意命令 5 大类型,全面检测集群内风险操作与可疑行为。
基于 Kubernetes 原生架构,推出集群准入控制功能,当前主要支持策略指定镜像规则,非信任、非认可镜像将无法进入集群环境,并基于策略生成告警阻断事件。
平台提供自研的漏洞库,能够对集群环境中的各类漏洞例如:containerd 权限许可和访问控制问题漏洞(CVE-2021-43816) 进行多维度的安全检测并提供修复方案,避免引发严重的安全风险。
集成自研扫描引擎,提供自研漏洞库,能够对集群中的微服务进行多维度的安全检测并提供修复方案,避免引发严重的安全风险,支持检测多种通用漏洞和非通用漏洞。
对于 k8s 的编排文件,牧云·云原生安全平台支持自动扫描,根据扫描结果展示对应存在的风险事件并定位风险代码位置,并给出修复建议。
基于 CIS Benchmark 官方标准提供上百条基线检查项,覆盖容器、镜像、主机等多个维度,对业务系统所在容器、集群以及容器原镜像进行合规检测,以防止不安全的配置导致容器逃逸或者集群入侵事件。
仪表盘新增入侵事件实时告警功能,实时展示最新的入侵事件,支持点击查看事件详情。
部分私有仓库支持分布式扫描功能,可以指定多个探针进行扫描,极大提高扫描速率。
部分仓库支持匿名扫描功能,支持不配置认证信息,通过指定公开仓库镜像 Reference 进行扫描,支持扫描 Dockerhub 上所有公开镜像。
列表右上方提供事件数据导出按钮,支持一键导出所有事件数据报表。
镜像软件支持检测开源许可信息。
线上 SaaS 产品地址:https://rivers.chaitin.cn/promotion=1e07cd415fe5eee58c14550c8452914e
*0x02 预告*
后续我们将会发表关于新版本的亮点功能介绍,希望您持续关注牧云·云原生安全平台!