3 月 4 日，北京雅客云安全科技有限公司（簡(jiǎn)稱(chēng)“雅客云”）基于 KubeSphere 4.0 LuBan 架構(gòu)開(kāi)發(fā)的云原生安全防護(hù)組件正式上架 KubeSphere Marketplace，為用戶(hù)提供全面的云原生安全解決方案，保護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序免受網(wǎng)絡(luò)威脅。

關(guān)于赤巖石

赤巖石云原生安全防護(hù)系統(tǒng)整合了鏡像安全、容器安全、容器微隔離、云原生 WAF，以及云原生TAP多方位安全能力，為用戶(hù)提供一站式云原生安全解決方案。

• 鏡像安全：對(duì)構(gòu)建中、存儲(chǔ)中的容器鏡像進(jìn)行安全分析，助力企業(yè)構(gòu)建完備的供應(yīng)鏈安全方案；
• 容器安全：快速構(gòu)建起 Kubernetes 安全解決方案，增強(qiáng)集群和容器的安全性；
• 微隔離：阻止攻擊者惡意橫向移動(dòng)，通過(guò)細(xì)粒度的網(wǎng)絡(luò)訪問(wèn)控制策略，降低應(yīng)用的網(wǎng)絡(luò)攻擊面；
• 云原生 TAP：提供 Pod 級(jí)別的流量鏡像，幫助企業(yè)實(shí)現(xiàn)云原生場(chǎng)景東西向流量的可視化；
• 云原生 WAF：集群級(jí) / 應(yīng)用級(jí)云原生 WEB 防火墻，自適應(yīng)防護(hù)策略，實(shí)時(shí)防護(hù)應(yīng)用層攻擊。

赤巖石 On KubeSphere

KubeSphere 在容器管理方面的專(zhuān)長(zhǎng)，使企業(yè)能更高效地處理復(fù)雜的容器環(huán)境。這種專(zhuān)業(yè)性不僅表現(xiàn)在其提供的靈活性和可擴(kuò)展性上，也體現(xiàn)在如何提升運(yùn)維效率和系統(tǒng)透明度方面。而雅客云在云原生安全領(lǐng)域的深厚積累，提供了全面的安全解決方案，包括自動(dòng)化安全檢查、持續(xù)監(jiān)控等功能，這對(duì)保護(hù)企業(yè)關(guān)鍵資產(chǎn)和數(shù)據(jù)至關(guān)重要。KubeSphere 與雅客云攜手，能夠?qū)?KubeSphere 容器平臺(tái)的安全性提升至新的水平，確?？蛻?hù)的業(yè)務(wù)在一個(gè)更加安全和可靠的環(huán)境下運(yùn)行。

現(xiàn)在，用戶(hù)可以通過(guò) KubeSphere Marketplace 訂閱部署赤巖石云原生安全防護(hù)系統(tǒng)企業(yè)版，快速為 KubeSphere 平臺(tái)增加云原生安全能力。部署完成之后，平臺(tái)管理員可在 KubeSphere 導(dǎo)航欄直接進(jìn)入赤巖石平臺(tái)，對(duì)云原生化基礎(chǔ)設(shè)施和應(yīng)用程序進(jìn)行安全檢查和防護(hù)。

通過(guò) KubeSphere Marketplace 進(jìn)行訂閱部署：

在 KubeSphere 導(dǎo)航欄直接進(jìn)入赤巖石云原生安全平臺(tái)：

核心功能展示

鏡像倉(cāng)庫(kù)接入

接入管理能夠?qū)㈢R像倉(cāng)庫(kù)中存儲(chǔ)的容器鏡像信息接入到赤巖石鏡像安全系統(tǒng)，以支持后續(xù)對(duì)倉(cāng)庫(kù)鏡像的掃描。接入的信息包括容器鏡像的 Repository、Tag、Degist 等信息。支持適配多種類(lèi)型的容器鏡像倉(cāng)庫(kù)品牌，已適配的有KubeSphere、Docker Registry、Harbor、Jfrog，阿里云 ACR、華為云 SWR。

容器鏡像掃描

鏡像掃描功能可以將鏡像倉(cāng)庫(kù)中存儲(chǔ)的容器鏡像拉?。╬ull）到本地進(jìn)行掃描分析，鏡像倉(cāng)庫(kù)無(wú)需部署任何插件程序。使用容器鏡像掃描器，可以有效地檢測(cè)容器鏡像中隱匿的應(yīng)用漏洞、病毒木馬、可疑文件等威脅，并為用戶(hù)輸出安全報(bào)告。在掃描任務(wù)完成后，掃描器會(huì)釋放掃描任務(wù)產(chǎn)生的緩存文件，無(wú)需擔(dān)心磁盤(pán)會(huì)因?yàn)槌掷m(xù)掃描鏡像而被打滿(mǎn)。

合規(guī)檢查、漏洞管理

基礎(chǔ)設(shè)施是運(yùn)行業(yè)務(wù)應(yīng)用的載體，安全性尤為重要。能夠全面、高效地對(duì) Kubernetes 基礎(chǔ)設(shè)施進(jìn)行深入掃描，識(shí)別并評(píng)估集群和節(jié)點(diǎn)潛在的安全風(fēng)險(xiǎn)。借助先進(jìn)的掃描技術(shù)，可以對(duì)關(guān)鍵組件進(jìn)行實(shí)時(shí)監(jiān)測(cè)，周期的進(jìn)行合規(guī)檢查和漏洞掃描，確保用戶(hù)容器運(yùn)行環(huán)境始終處于安全狀態(tài)。

容器保護(hù)政策

通過(guò)對(duì)容器中的進(jìn)程進(jìn)行精細(xì)化管理，確保只有合法且必要的進(jìn)程能夠運(yùn)行。借助角色訪問(wèn)控制和進(jìn)程白名單機(jī)制，可以有效阻止未經(jīng)授權(quán)的進(jìn)程啟動(dòng)，降低潛在風(fēng)險(xiǎn)。產(chǎn)品實(shí)施嚴(yán)格的文件訪問(wèn)控制策略，對(duì)容器內(nèi)的文件讀寫(xiě)操作進(jìn)行限制。通過(guò)設(shè)置文件訪問(wèn)權(quán)限和實(shí)施文件系統(tǒng)的只讀掛載，可以確保敏感數(shù)據(jù)不被惡意訪問(wèn)或篡改，提高數(shù)據(jù)安全性。

網(wǎng)絡(luò)微隔離

網(wǎng)絡(luò)策略功能可以幫助用戶(hù)定義和實(shí)施網(wǎng)絡(luò)通信規(guī)則。例如，用戶(hù)可以設(shè)置哪些服務(wù)可以互相通信，哪些服務(wù)需要被隔離。這種方式可以幫助用戶(hù)構(gòu)建更安全的網(wǎng)絡(luò)環(huán)境，防止?jié)撛诘木W(wǎng)絡(luò)攻擊。

流量鏡像

流量鏡像可以將容器的流量進(jìn)行復(fù)制，并將復(fù)制出的流量發(fā)送到一個(gè)指定的地方進(jìn)行分析和監(jiān)控。這種方式可以無(wú)侵入性地獲取微服務(wù)之間的交互數(shù)據(jù)，對(duì)于網(wǎng)絡(luò)安全分析和故障排查等都有著重要作用。因?yàn)槭菑?fù)制流量，所以不會(huì)影響實(shí)際的業(yè)務(wù)流量，對(duì)業(yè)務(wù)性能無(wú)任何影響。

云原生WEB防火墻

應(yīng)用防護(hù)功能通過(guò)將 WAF 作為 Sidecar 注入到每個(gè) Pod 中，實(shí)現(xiàn)了對(duì)單個(gè)應(yīng)用的精細(xì)化保護(hù)。無(wú)論應(yīng)用如何擴(kuò)展或移動(dòng)，Sidecar WAF 都能緊隨其后，為應(yīng)用提供持續(xù)的保護(hù)。這種設(shè)計(jì)使我們的 WAF 能夠防止各種 Web 應(yīng)用攻擊，如 SQL 注入、跨站腳本（XSS）和其他 OWASP 十大安全風(fēng)險(xiǎn)。

立即體驗(yàn)

赤巖石云原生安全防護(hù)系統(tǒng)企業(yè)版支持免費(fèi)試用一個(gè)月，試用期內(nèi)享有原廠技術(shù)團(tuán)隊(duì)在線 7*24 答疑。