容器安全与防御（德迅蜂巢）

通过容器可以快速的运行应用、迁移应用、快速集成、快速部署、也提高了系统的资源利用率，因此现在越来越多的企业把应用上云，来达到快速上线应用、方便运维的目的。容器安全也逐渐地被重视起来，了解容器如何检测当前企业环境内容器环境是否安全、是否能发现对应的攻击也是重中之重。

德迅蜂巢·云原生安全平台由德迅自主研发，能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

德迅蜂巢·云原生安全平台的核心架构理念：

-在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全
-在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应

要在安全容器运行时中运行微服务，需要执行以下步骤：

1、选择安全容器运行
评估不同的安全容器运行时，并选择最能满足需求的一种。考虑安全功能、性能影响、与现有基础设施的兼容性以及社区支持等因素。
2、安全构建容器镜像
使用受信任的基础镜像，定期更新依赖项并扫描镜像是否存在漏洞。实施安全的镜像注册并强制执行镜像签名以验证镜像的真实性。
3、安全配置
以适当的安全设置配置容器运行时，可能包括启用隔离功能、应用资源限制、设置容器网络策略和控制对主机系统资源的访问等。遵循容器运行时文档提供的安全准则。
4、实施严格的访问控制
为容器化微服务实施强大的访问控制。这包括限制容器权限、对容器编排平台采用基于角色的访问控制 (RBAC) 以及保护容器运行时 API。
5、持续监控和记录
实施监控和日志记录解决方案来跟踪容器化微服务的行为。监控可疑活动、异常行为和潜在的安全事件。集中式日志记录和分析有助于高效地检测和响应安全事件。
6、定期更新和打补丁
通过应用安全补丁和更新来使容器运行时保持最新，确保拥有最新的安全改进和错误修复。
7、运行安全测试
对容器化微服务定期进行安全评估和渗透测试，这有助于识别容器运行时配置和应用程序代码中的漏洞和潜在弱点。

德迅蜂巢功能

资产清点
德迅蜂巢可以清晰地盘点工作负载本身的相关信息，此外，还能够实现不同工作负载之间的关系可视化，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。
-细粒度梳理关键资产
-业务应用自动识别
-资产实时上报
-与风险和入侵全面关联

镜像扫描
德迅蜂巢的镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。
-覆盖容器全生命周期
-全方位检测
-镜像合规检查
-X86、ARM 架构镜像全栈适配

微隔离
德迅蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。
-业务视角展示网络拓扑关系
-云原生场景的隔离策略
-告警模式业务0影响
-适配多种网络架构

入侵检测
德迅蜂巢通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。
-威胁建模适配容器环境
-持续地监控和分析
-威胁告警快速响应处置
-提供多种异常处理⽅式

合规基线
德迅蜂巢构建基于CIS Benchmark的最佳安全操作实践检查，帮助企业实施和完善容器合规规范，可实现一键自动化检测，并提供可视化基线检查结果和代码级修复建议。
-CIS标准
-一键自动化检测
-基线定制开发
-代码级修复建议