云安全兩大新能力：攻擊回溯與容器安全

青藤云安全是主打 “自適應(yīng)安全” 理念，專注在 “主機安全” 的安全初創(chuàng)公司。2014年成立至今，青藤云安全分別在2015年和2018年拿下了6000萬的A輪以及2億元的B輪融資，并連續(xù)三年（2017～2019）作為唯一中國廠商入選Gartner云工作負載保護平臺市場指南。

創(chuàng)新互聯(lián)專注于尉犁企業(yè)網(wǎng)站建設(shè),自適應(yīng)網(wǎng)站建設(shè),商城網(wǎng)站建設(shè)。尉犁網(wǎng)站建設(shè)公司,為尉犁等地區(qū)提供建站服務(wù)。全流程按需定制，專業(yè)設(shè)計，全程項目跟蹤，創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務(wù)

2018年對于青藤云安全而言是關(guān)鍵的一年。除了B輪融資到位外，青藤云安全在9月還正式發(fā)布了其首個重量級平臺產(chǎn)品—— 青藤萬相·主機自適應(yīng)安全平臺 。萬相以承載業(yè)務(wù)的工作負載流為核心，對主機上的資產(chǎn)、狀態(tài)、關(guān)鍵活動等進行感知，并生成安全指標(biāo)，用于持續(xù)分析和風(fēng)險發(fā)現(xiàn)，且適配物理機、虛擬機和云環(huán)境。11月，青藤云安全還和騰訊安全正式達成戰(zhàn)略合作，作為可選安全組件（天眼云鏡）出現(xiàn)在騰訊云的私有云標(biāo)準方案中。

更多認可：以主機agent的形式來做安全

青藤云安全雖然是安全初創(chuàng)企業(yè)，但也有了4年多的 歷史 。讓張福引以為傲，也最讓他放心不下的，是青藤云安全選擇的這條技術(shù)路線，即不以流量分析為主，而是通過在物理主機安裝輕量級agent的形式，選擇這樣一個位置來做安全。

青藤萬相核心架構(gòu)

自適應(yīng)安全架構(gòu)的四個能力象限，預(yù)測-檢測-防御-響應(yīng)，青藤云安全看準的 “檢測” 能力。但和目前主流的檢測思路不同，扎根于 “攻防理念” 的思路因缺乏足夠深度和全面的可見性，對自身和攻擊的理解都不足。如果要足夠清晰、準確的認識自身、攻擊及其帶來的影響，張福認為，需要足夠扎實的感知能力作為支撐。而實現(xiàn)此的技術(shù)方式，就是在物理主機上安裝agent，以此為 “據(jù)點” 收集信息。己方的、敵方的，以及攻擊者試圖抹除的。

但從客戶的角度碼弊數(shù)，擔(dān)憂也很明顯。主機agent的形式，雖然安全離威脅近了，但安全離業(yè)務(wù)也近了。如果安全產(chǎn)品成熟度不夠，出現(xiàn)了問題，導(dǎo)致了業(yè)務(wù)系統(tǒng)受到負面影響甚至服務(wù)中斷，那么客戶的安全或IT負責(zé)人，必不可少要承擔(dān)更多的責(zé)任。

可以看到，安全工作中的平衡，體現(xiàn)在方方面面。

2018年，客戶的反饋，以及業(yè)界對基于主機的產(chǎn)品形態(tài)的跟進，張福坦言，讓他輕松了許多。

先說客戶?？蛻魧@種形式的顧慮，從2018年大量的反饋來看，張福認為已經(jīng)開始減少。這個轉(zhuǎn)變，得益于數(shù)字化轉(zhuǎn)型的趨勢，讓客戶越來越認識到云化后遲首安全對于業(yè)務(wù)的重要性。

“

之前更多是合規(guī)市場，滿足基線即可。同時，因為業(yè)務(wù)系統(tǒng)的開放性相對較弱，所以給對手留下的攻擊面也小很多。但上云后，一切都不一樣了。安全對業(yè)務(wù)的支撐和影響變得更加重要，對更好的安全能力，而不只是部署了哪些產(chǎn)品的需求，更加強烈。

無疑，從主機這個離（業(yè)務(wù)）數(shù)據(jù)、威脅都更近的的位置來做安全，效果會比純粹的流量檢測更好。這也滿足了客戶的需求。而青藤云安全對產(chǎn)品成熟度的追求，以及產(chǎn)品部署后持續(xù)維護、改進的大量投入，則最大程度減少了客戶對 “可能給業(yè)務(wù)系統(tǒng)造成負面影響” 的憂慮。

而這兩點，也是張福認為，除了技術(shù)思路外，自身產(chǎn)品能力重要的優(yōu)勢所在。

這兩個重要優(yōu)勢，張福認為也得益于另一個點，就是青藤云安全的產(chǎn)品打磨思路。據(jù)張福介紹，青藤云安全的產(chǎn)品從研發(fā)到銷售，不是傳統(tǒng)廠商等產(chǎn)品足夠成熟后再尋找客戶的思路，而是在初具雛形時就會在國內(nèi)尋找愿意嘗試新卜好的技術(shù)思路、有一定程度容錯能力的客戶，通過產(chǎn)品在客戶的真實IT環(huán)境中，不斷進行產(chǎn)品成熟度的打磨。例如招商銀行、平安 科技 ，據(jù)張福介紹，都是自身安全實踐和理解都走在比較靠前的兩個青藤云安全的重要客戶。

再談?wù)剺I(yè)界。

眾所周知，青藤云安全連續(xù)多年在Gartner的云工作負載保護平臺市場指南榜上有名，對業(yè)內(nèi)的技術(shù)趨勢青藤云安全也一直跟的很緊。對青藤而言，業(yè)界的主流產(chǎn)品形態(tài)的改變，意味著對青藤云安全的技術(shù)路線選擇的一種印證。

張福表示，近兩年的行業(yè)會議，RSA、ISC等，EDR的崛起，特別是如CrowdStrike等廠商，依托主機側(cè)輕量級代理的的形式實現(xiàn)的入侵檢測和響應(yīng)能力，正逐漸成為業(yè)界廠商的主流思路。

“

從產(chǎn)品角度，主機安全不應(yīng)是一系列產(chǎn)品，而是一個核心做安全的位置。就像網(wǎng)絡(luò)安全這四個字，有一層重要含義，就是在網(wǎng)絡(luò)層來做安全。主機安全，業(yè)界目前的主流思路和我們一致，就是要通過在主機上安裝agent來做。而且，可以看到，安全能力正在從傳統(tǒng)的網(wǎng)絡(luò)側(cè)移向主機側(cè)，通過 ‘位置’ 的改變，實現(xiàn)能力的跨越式提升。這個趨勢已經(jīng)可以明顯的感受到。這會是整個產(chǎn)業(yè)的一個大升級。

2018年，青藤云安全發(fā)布了其重要的平臺級產(chǎn)品 “萬相”，在產(chǎn)品成熟度、客戶和業(yè)界的接受度上，張福認為已經(jīng)達到了預(yù)期；2019年，張福表示，首先，要基于“萬相”這個平臺，在產(chǎn)品能力上有所提升，真正解決客戶問題。比如說弱口令的發(fā)現(xiàn)，這個需求看似很簡單，而且有多家掃描器支持，但是實際情況是因為服務(wù)器對口令嘗試頻率的限制，效果并不好。但是如果通過主機agent做類似“白盒”的底層解析，不僅效率高，而且能夠查出之前大量的漏報。

之后，就是新產(chǎn)品的方向。

青藤云安全不是銷售導(dǎo)向的公司，所以張福始終認為做產(chǎn)品要“克制”，要謹慎，并且多年持續(xù)投入打造產(chǎn)品的準備。

上一個系列，青藤云安全的產(chǎn)品能力傾向感知或者說威脅發(fā)現(xiàn)；下一個，張福目前有兩個計劃，一是補足感知之后的分析能力，二是基于主機agent技術(shù)的積累，擴充一個安全場景。

新能力：攻擊回溯與容器安全

先介紹要補充的分析能力。

青藤云安全最新發(fā)布的 青藤星池·大數(shù)據(jù)分析平臺 ，定位在攻擊場景的回溯分析，是青藤云安全威脅感知能力的延伸。

青藤云安全之前在威脅感知有多年的積累，其萬相平臺的 “資產(chǎn)清點、漏洞發(fā)現(xiàn)、入侵檢測等“ 能力是典型代表。有了這些積累，下一步，張福認為，要補充分析能力。用張福的話說，是根據(jù)這些感知能力提供的線索，把整個攻擊的過程回溯出來。

“

一旦發(fā)生安全事件，客戶高層第一時間關(guān)心的并不會是誰攻擊了我，或是他怎么進來的，而是我損失了什么。因為視損失的內(nèi)容，后續(xù)的處置，包括問責(zé)、懲罰等，都可大可小。更嚴重的是，攻擊者是否已經(jīng)窺探、甚至拿到了一些高敏感數(shù)據(jù)。這些問題，之前大量的安全產(chǎn)品都是回答不了的，因為缺乏視野。主機上的agent，我認為是必備基礎(chǔ)。

簡單理解，和攻擊溯源的目的不同，“星池”是利用大數(shù)據(jù)分析的相關(guān)技術(shù)，還原整個攻擊鏈，特別是從客戶資產(chǎn)的角度，記錄攻擊者的行為軌跡，明確客戶的損失。

“

不僅要能快速、準確的發(fā)現(xiàn)攻擊，也要高效地搞清來龍去脈，從感知到分析，對于青藤這是重要的能力延展。未來，我們還會融入處置響應(yīng)的能力。實現(xiàn)安全閉環(huán)，才能更好的幫助客戶提升安全能力。當(dāng)然，這個閉環(huán)青藤不一定都要自己做，我們是非常開放而且看重合作的。青藤只做我們認為客戶缺失的（能力），是要讓客戶的安全能力達到應(yīng)有的高度，而不是搶市場，重復(fù)解決問題，甚至劣幣驅(qū)逐良幣。

容器安全是另一個新場景。

張福認為，容器是云計算的未來。國內(nèi)很多互聯(lián)網(wǎng)、金融行業(yè)的客戶，都在快速擁抱容器?？梢灶A(yù)見，容器將會很快成為主流的基礎(chǔ)設(shè)施形態(tài)。

容器是一個新技術(shù)，而且使用便捷，但不代表安全問題就會少。張福表示，從云主機到容器，安全問題反而是有增無減，因為目前開發(fā)者更多還是在容器功能性上的完善。比如容器鏡像的后門問題，幾乎沒有有效可靠的檢測方法。反觀業(yè)界，專注容器安全的廠商并不多；同時，思路幾乎都是基于容器間的流量分析來做，像是傳統(tǒng)的IPS放在容器這個形態(tài)下。但只是這樣，張福認為能力深度并不夠。

“

青藤做容器安全是很天然的，因為我們四年多的積累都在主機側(cè)，80%以上的技術(shù)經(jīng)過對容器的重新適配后都可以復(fù)用。

據(jù)了解，青藤云安全的 容器安全產(chǎn)品“蜂巢” ，只需要在承載容器的物理機上安裝agent，就可以將安全能力做到容器內(nèi)進程行為的深度；同時在管理上，“蜂巢”可以在萬相平臺上進行統(tǒng)一管理，方便客戶將安全能力和策略隨著業(yè)務(wù)在各形態(tài)間遷移。

張福表示，客戶在使用容器的時候就已經(jīng)在考慮安全問題了，這是之前做安全不具備的條件。青藤云安全的核心是保證工作負載（workload）的安全，無論它的形態(tài)是怎樣。主機agent的形式，張福認為在容器這個場景下也是有足夠優(yōu)勢和獨特競爭力的。后續(xù)，也會把容器間的流量分析作為補充能力加入，成為一個綜合性產(chǎn)品。

不可否認，目前，容器安全在中國還是早期市場。所以，對于“蜂巢”，青藤云安全的思路更多還是進行開放行的測試，為后續(xù)產(chǎn)品化的過程做鋪墊。

“

首先，‘蜂巢’ 會支持應(yīng)用較為廣泛的開源容器，比如docker、國內(nèi)的靈雀云，并開放給在容器的應(yīng)用走在前面，有大量應(yīng)用場景而且愿意和我們合作的客戶，幫助我們不斷的改進，一起成長。這也是產(chǎn)品化過程所必須要有的投入，我們的目標(biāo)是在3-4年后，成為容器安全領(lǐng)域的領(lǐng)先者。

等保2.0：云安全合規(guī)解讀

此外，作為國內(nèi)的安全企業(yè)，青藤云安全也必須要足夠重視合規(guī)的市場需求，特別是在5月13日正式發(fā)布等級保護2.0一系列標(biāo)準后。

云計算系統(tǒng)網(wǎng)絡(luò)架構(gòu)是扁平化的，業(yè)務(wù)應(yīng)用系統(tǒng)與硬件平臺松耦合。所以，首先，在云計算系統(tǒng)邊界劃分上，存在兩個典型場景：一是業(yè)務(wù)應(yīng)用不獨占硬件物理資源的情況，定級系統(tǒng)的邊界應(yīng)劃在虛擬邊界處；二是業(yè)務(wù)應(yīng)用對應(yīng)的系統(tǒng)模塊存在相對獨立的底層服務(wù)和硬件資源，系統(tǒng)邊界劃分到硬件物理設(shè)備上。

其次是在安全責(zé)任及定級方面。程度認為，要綜合考慮被測系統(tǒng)是云計算平臺還是業(yè)務(wù)應(yīng)用系統(tǒng)，以及被測系統(tǒng)的服務(wù)模式，來判斷不同的安全責(zé)任。

此外，在定級過程中還需注意下面4點：

1. 云計算平臺安全保護等級，原則上不低于其承載的業(yè)務(wù)系統(tǒng)的安全保護等級。

2. 國家關(guān)鍵信息基礎(chǔ)設(shè)施（重要云計算平臺）的安全保護等級應(yīng)不低于第三極。

3. 在云計算環(huán)境中，應(yīng)將云資源平臺作為單獨定級對象，云租戶側(cè)的等級保護對象也應(yīng)作為單獨的定級對象定級。

4. 對于大型云計算平臺，應(yīng)將云計算基礎(chǔ)設(shè)施和有關(guān)輔助服務(wù)系統(tǒng)劃分為不同的定級對象。

在建設(shè)整改方面，云等保中增加了虛擬化、云管理平臺、鏡像文件等云計算獨有內(nèi)容，并強調(diào)安全能力在云平臺建設(shè)中的集成。在平臺內(nèi)部，強調(diào)通訊加密與認證、動態(tài)監(jiān)測預(yù)警、快速應(yīng)急響應(yīng)能力建設(shè)、安全產(chǎn)品合規(guī)等能力要求。

據(jù)了解，青藤云安全已經(jīng)推出針對云等保2.0中安全計算環(huán)境部分的解決方案，覆蓋通用要求中身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范，以及資源控制六個部分。

相關(guān)閱讀

這家初創(chuàng)公司做自適應(yīng)安全

騰訊安全與青藤云安全：高安全能力與創(chuàng)新安全公司的結(jié)合

各種容器和服務(wù)器之間的區(qū)別和聯(lián)系

平時我們經(jīng)?？吹礁鞣N容器名稱：Servlet容器、WEB容器、Java WEB容器、Java EE容器等，還有各種服務(wù)器名稱：應(yīng)用服務(wù)器、WEB服務(wù)器、WEB應(yīng)用服務(wù)器、JavaWEB應(yīng)用服務(wù)器、Java EE服務(wù)器等，這么多相似名稱，難以弄明白它們之間的區(qū)別與聯(lián)系。

下面我們嘗試從它們的定義中，區(qū)分它們，找出他們之間的聯(lián)系，最后通過Apache、nginx、tomcat等舉例說明容器以及服務(wù)器的聯(lián)系。

如上圖，我們先來看下容器與服務(wù)器的聯(lián)系：容器是位于應(yīng)用程序/組件和服務(wù)器平臺之間的接口集合，使得應(yīng)用程序/組件可以方便部署到服務(wù)器上運行。

容器通常理解就是裝東西的，我們這里說技術(shù)上的容器就是 可以部署應(yīng)用程序，并在上面運行的環(huán)境 。

一般來說，它處理屏蔽了服務(wù)器平臺的復(fù)雜性，使得應(yīng)用程序在它的基礎(chǔ)上可以方便快捷的部署；而對于應(yīng)用程序來說，它就是位于 應(yīng)用程序和平臺之間的接口集合 。

容器管理組件的生命周期，向應(yīng)用程序組件分派請求，并提供與上下文數(shù)據(jù)（如關(guān)于當(dāng)前請求的信息）的接口。

Servlet：屬于Java EE重要技術(shù)規(guī)范，構(gòu)建了"接收請求--調(diào)用晌頌servlet程序處理--返回響應(yīng)"基本模型。

Servlet程序：Java提供了開發(fā)Servlet程序的API，該API可以說Servlet容器的一部分，它對接應(yīng)用程序與Servlet容器；

Servlet容器宴數(shù)鄭：就是實現(xiàn)了Servlet技術(shù)規(guī)范的部署環(huán)境，它可以部署運行Servlet程序。

WEB容器：可以部署多個WEB應(yīng)用程序的環(huán)境。web容器給處于其中的應(yīng)用程序組件(jsp,servlet)提供一個環(huán)境，使JSP，Servlet直接跟容器中的環(huán)境變量交互，不必關(guān)注其他系統(tǒng)問題。

Java WEB容器：實現(xiàn)了 Java EE規(guī)定的WEB應(yīng)用技術(shù)規(guī)范 的部署環(huán)境。

Java EE WEB應(yīng)用技術(shù)規(guī)范：Servlet、JSP（JavaServer Pages）、Java WebSocket等。

所以，完整的Java WEB容器包含Servlet容器。

服務(wù)器是提供計算服務(wù)的設(shè)備。由于服務(wù)器需要響應(yīng)服務(wù)請求，并進行處理，因此一般來說服務(wù)器應(yīng)具備承擔(dān)服務(wù)并且保障服務(wù)的能力。

簡單來說，服務(wù)器是 提供某些服務(wù)的設(shè)備 。

應(yīng)用程序：是指為針對使用者的某種應(yīng)用目的所編寫的軟件。

應(yīng)用服務(wù)器：就是運行應(yīng)用程序，提供應(yīng)用程序所實現(xiàn)服務(wù)的設(shè)備。

通常來說， 服務(wù)器端的應(yīng)用程序?qū)崿F(xiàn)各種業(yè)務(wù)邏輯，應(yīng)用服務(wù)器通過各種協(xié)議把這些業(yè)畢芹務(wù)邏輯曝露給客戶端的程序 。它提供了訪問商業(yè)邏輯的途徑，以供客戶端應(yīng)用程序使用。應(yīng)用服務(wù)器使用此業(yè)務(wù)邏輯就像調(diào)用對象的一個方法一樣。

WEB：現(xiàn)廣泛譯作網(wǎng)絡(luò)、互聯(lián)網(wǎng)等技術(shù)領(lǐng)域。表現(xiàn)為三種形式，即超文本（hypertext）、超媒體（hypermedia）、超文本傳輸協(xié)議（HTTP）等。

WEB服務(wù)器：或者叫 HTTP Server ,主要用于操作Http請求，包括接受客戶端的請求以及響應(yīng)。它可以處理請求，也可以將請求轉(zhuǎn)發(fā)至其他服務(wù)器。

簡單來說，WEB服務(wù)器是提供網(wǎng)上信息瀏覽等WEB服務(wù)的設(shè)備。 Apache、Nginx、IIS是目前最主流的三個Web服務(wù)器。可以用它們來構(gòu)建WEB應(yīng)用服務(wù)器，通常它們發(fā)現(xiàn)一個請求是動態(tài)請求，就通過CGI、ISAPI、特殊管道等協(xié)議接口調(diào)用后面的應(yīng)用服務(wù)器來協(xié)同處理請求。如Nginx通過fastCGI模塊來調(diào)用ZendEngine執(zhí)行PHP應(yīng)用來處理PHP請求。

上面我們 把應(yīng)用服務(wù)器和WEB服務(wù)器 嚴格區(qū)分：應(yīng)用服務(wù)器通過應(yīng)用程序接口(通常是網(wǎng)絡(luò)請求API）把業(yè)務(wù)邏輯暴露給客戶端應(yīng)用程序。而WEB服務(wù)器通過HTTP提供靜態(tài)內(nèi)容給瀏覽器等客戶端。

如果不嚴格區(qū)分，應(yīng)用服務(wù)器包含WEB服務(wù)器，因為WEB服務(wù)器是WEB服務(wù)應(yīng)用程序?qū)崿F(xiàn)的。

WEB應(yīng)用服務(wù)器：結(jié)合應(yīng)用服務(wù)器和WEB服務(wù)器，可以說，它是帶應(yīng)用服務(wù)器的Web服務(wù)器，接收HTTP請求后，既能返回頁面等靜態(tài)內(nèi)容，又能處理業(yè)務(wù)邏輯返回數(shù)據(jù)。

Tomcat、Jetty、WebLogic、Websphere、JBoss都是Java（EE） WEB應(yīng)用服務(wù)器。拿最常用的Tomcat來說，Tomcat是Java Servlet，JavaServerPages，Java Expression Language和JavaWebSocket（Java EE）技術(shù)的開源實現(xiàn)。

Java EE服務(wù)器是實現(xiàn)Java EE技術(shù)規(guī)范，并提供標(biāo)準Java EE服務(wù)的應(yīng)用程序服務(wù)器。

Java EE服務(wù)器有時稱為應(yīng)用服務(wù)器，因為它們允許您向客戶端提供應(yīng)用數(shù)據(jù)，就像Web服務(wù)器向Web瀏覽器提供Web頁面一樣。

一個典型的JavaEE系統(tǒng)可以由兩部分構(gòu)成首先是Web Server 用于處理靜態(tài)資源，然后是JavaEE Application Server 用于處理業(yè)務(wù)的動態(tài)資源。而這兩部分可以是單獨的服務(wù)器例如Nginx+WebSphere也可以在一個服務(wù)器上完成比如Tomcat(Tomcat即可以處理靜態(tài)資源又可以處理動態(tài)的Servlet)。

從概念上講：Web服務(wù)器是提供WWW服務(wù)的程序；Web容器是提供給開發(fā)者的框架；Web應(yīng)用程序服務(wù)器內(nèi)容豐富得多，既可用各廠商通常遵循一定的工業(yè)標(biāo)準并自定義擴展功能而成，也可以利用開源組件輕量級拼裝打造。

電腦顯示。計算環(huán)境安全容器服務(wù)未啟動。怎么處理？

如果你沒悶檔有安裝防毒軟件會說你還沒起動，只要你安喊罩則裝了鄭棚防毒軟件他就會自動啟動。

start -control panel - security center 那里能看有沒啟動。

請教下大家，云原生計算環(huán)境的主要安全風(fēng)險有哪些？

云原生計算環(huán)境的主要安全風(fēng)險類型包括：云原生網(wǎng)絡(luò)安全風(fēng)險、云原生編排及組件安全風(fēng)險、鏡像安全風(fēng)險、鏡像倉庫安全風(fēng)險和容器逃逸攻擊等類型，針對這些風(fēng)險的防范建議還是去找有實力的安全服務(wù)廠商，我們公司現(xiàn)在合作的青藤云安全在這方面做的就非常不錯，可以去了解下。