重磅|安全狗·云工作负载安全系列产品全新版本

一、安全狗一体化云工作负载安全产品新版发布

1、云工作负载的定义

对工作负载的定义，安全狗CEO陈奋这样解释到“云工作负载是信息化系统和和核心业务数据的承载体，随着信息化技术不断的演进，云工作负载已经从传统的物理机、虚拟机，拓展到现在云环境下泛指的计算节点，比如公有云主机、私有云计算节点、Docker容器、无服务器、微服务等”。

2、云工作负载的安全挑战

随着互联网技术的发展，云计算、大数据、物联网、微服务、容器等新技术的尝试和应用，基础设施架构呈现出更加“混合化”的趋势，虚拟化、微服务、容器等工作负载成为了新的业务载体。在基础设施不断变化的背景下，传统的边界安全防护就很难起到预期效果。攻击者能轻易地通过网络攻击获取用户工作负载权限，继而针对工作负载的网络环境进行横向渗透。而在这种环境下不论在内网或者在云上，都很难找到一个类似“网关的位置”部署传统的安全设备进行全面的安全监测与防护，由此也就延伸出了一系列针对工作负载新边界的安全问题。

随着常态化、实战化的攻防演练的展开与深入，通过攻防演练期间出现的隐患类型，可以发现，其中内网隐患最高占据47%，互联网隐患占据26%，生产网隐患占据19%，办公网隐患占据8%。根据这些数据的统计我们不难发现，对于企业而言内网已经成为攻防对抗的新战场，而工作负载作为内网承载业务系统的载体更是攻击者的下手目标。

3、安全狗一体化云工作负载安全产品介绍

安全狗自2013年发布主机安全产品，采用主机Agent+云管理平台的模式保护主机服务器安全，此做法正好与Gartner提出的CWPP理念不谋而合。作为国内第一批引入CWPP理念的云安全厂商之一，并且在端点安全领域深耕多年，安全狗成为国内第一批推出云作负载安全解决方案供应商，也是目前国内覆盖工作负载安装数量最大的CWPP厂商之一。

近期安全狗发布了一体化云工作负载安全系列产品新版本，全面适配混合云、云原生等新型架构，其以云原生为中心思想，基于宿主机统一轻量化Agent实现主机漏洞检测和补丁修复、主机入侵检测及安全防护，解决云原生环境下容器生命周期的安全检测及防护，以及对虚机之间、容器之间的网络流量采集和网络微隔离控制，通过统一轻量Agent，构建主机安全、容器安全、网络微隔离和补丁管理的安全产品体系，即，安全狗新一代工作负载安全产品体系，包含云眼、云甲、云隙和云网产品。

图1

如图“纵向”主机和容器安全解决了工作负载的安全防护和监测需求，“横向”的补丁管理和自适应微隔离解决了安全运营的问题，“纵横交错”解决防护监测和持续安全运营两个维度的问题，安全管理和运维管理相辅相成。

二、安全狗·一体化的云工作负载安全产品亮点功能

1、统一云工作负载轻量化Agent

安全狗融合安全及运维管理需求，推出了创新的开放式“N合一”架构，统一了主机安全、容器安全、微隔离、漏洞补丁等多个安全及运维管理场景，实现了Agent的融合。通过云眼、云甲、云隙、云网四款产品共同使用同一个Agent基座，功能以插件方式扩展，无需重复部署多个Agent。

插件化架构是实现Agent统一的基础和前提。插件化的Agent轻量、稳定低消耗，功能易扩展。整体上分为两部分Agent底座和插件。Agent底座是提供基础环境，包括进程调度、资源限速管控、内存管理和异常管理功能，确保插件能运行在Agent提供的环境上。插件是指能够在Agent底座上运行并实现云工作负载安全保护功能的脚本文件，插件包括资产采集插件、漏洞检测插件、入侵检测插件、基线检查插件、通用任务插件、网络流量采集和容器安全检测插件等。

图2

Agent底座实现了功能的最小集合，大大减轻Agent对于主机性能的影响，其平均CPU消耗小于1%，峰值可以自定义小于5%。具备自适应降级和自适应自杀机制，减少Agent对业务的影响，确保业务优化原则。

2、全面兼容适配信创平台，共建信创生态圈

信创产业作为“新基建”的重要内容正在飞速发展，与此信创平台的网络安全性问题也不容忽视。安全狗作为国内领先的云安全解决方案提供商，坚持自主研发和国产化路线，积极推动产品与信创平台兼容适配。

安全狗一体化云工作负载安全系列产品已实现对飞腾、兆芯、海光、鲲鹏等CPU以及银河麒麟、中标麒麟、中科红旗、普华、凝思、统信操作系统UOS等主流信创平台的全面兼容适配。经过严格测试，安全狗云工作负载安全产品整体运行稳定，功能、兼容性等各方面表现卓越，可以满足用户需求。

目前安全狗一体化云工作负载已在客户侧投入稳定运行，为信创生态网络安全保驾护航。

3、(云)主机安全产品新增主机微蜜罐功能，并能跟蜜罐集群联动

云眼云主机安全产品新增微蜜罐功能，通过在安装轻量化Agent的工作负载上投放欺骗诱捕的监听端口，当攻击者连接欺骗诱捕的监听端口时，立即关闭连接，记录连接信息并告警。

新版本还支持与蜜罐集群联动，将攻击者连接的监听端口的连接信息转移至蜜罐集群，即通常所说的高交互蜜罐。通过在业务环境中创建高仿真环境，真实的工作负载和欺骗诱捕节点共存，虚虚实实、真真假假，当攻击者进行扫描时，攻击者难以锁定真实目标。当监听端口被攻击时，攻击流量引入欺骗防护系统中，从而让攻击者掉入我们布下的陷阱中。在攻击者未察觉的情况下对攻击行为进行捕获和分析，了解攻击者所使用的工具与方法，采集攻击者的硬件指纹和录制攻击者的攻击行为。

图3

4、微隔离产品“双管齐下”构建主机和容器自适应的微隔离