3 月 4 日,北京雅客云安全科技有限公司(简称“雅客云”)基于 KubeSphere 4.0 LuBan 架构开发的云原生安全防护组件正式上架 KubeSphere Marketplace,为用户提供全面的云原生安全解决方案,保护基础设施和应用程序免受网络威胁。
关于赤岩石
赤岩石云原生安全防护系统整合了镜像安全、容器安全、容器微隔离、云原生 WAF,以及云原生TAP多方位安全能力,为用户提供一站式云原生安全解决方案。
- 镜像安全:对构建中、存储中的容器镜像进行安全分析,助力企业构建完备的供应链安全方案;
- 容器安全:快速构建起 Kubernetes 安全解决方案,增强集群和容器的安全性;
- 微隔离:阻止攻击者恶意横向移动,通过细粒度的网络访问控制策略,降低应用的网络攻击面;
- 云原生 TAP:提供 Pod 级别的流量镜像,帮助企业实现云原生场景东西向流量的可视化;
- 云原生 WAF:集群级 / 应用级云原生 WEB 防火墙,自适应防护策略,实时防护应用层攻击。
赤岩石 On KubeSphere
KubeSphere 在容器管理方面的专长,使企业能更高效地处理复杂的容器环境。这种专业性不仅表现在其提供的灵活性和可扩展性上,也体现在如何提升运维效率和系统透明度方面。而雅客云在云原生安全领域的深厚积累,提供了全面的安全解决方案,包括自动化安全检查、持续监控等功能,这对保护企业关键资产和数据至关重要。KubeSphere 与雅客云携手,能够将 KubeSphere 容器平台的安全性提升至新的水平,确保客户的业务在一个更加安全和可靠的环境下运行。
现在,用户可以通过 KubeSphere Marketplace 订阅部署赤岩石云原生安全防护系统企业版,快速为 KubeSphere 平台增加云原生安全能力。部署完成之后,平台管理员可在 KubeSphere 导航栏直接进入赤岩石平台,对云原生化基础设施和应用程序进行安全检查和防护。
通过 KubeSphere Marketplace 进行订阅部署:
在 KubeSphere 导航栏直接进入赤岩石云原生安全平台:
核心功能展示
镜像仓库接入
接入管理能够将镜像仓库中存储的容器镜像信息接入到赤岩石镜像安全系统,以支持后续对仓库镜像的扫描。接入的信息包括容器镜像的 Repository、Tag、Degist 等信息。支持适配多种类型的容器镜像仓库品牌,已适配的有KubeSphere、Docker Registry、Harbor、Jfrog,阿里云 ACR、华为云 SWR。
容器镜像扫描
镜像扫描功能可以将镜像仓库中存储的容器镜像拉取(pull)到本地进行扫描分析,镜像仓库无需部署任何插件程序。使用容器镜像扫描器,可以有效地检测容器镜像中隐匿的应用漏洞、病毒木马、可疑文件等威胁,并为用户输出安全报告。在扫描任务完成后,扫描器会释放扫描任务产生的缓存文件,无需担心磁盘会因为持续扫描镜像而被打满。
合规检查、漏洞管理
基础设施是运行业务应用的载体,安全性尤为重要。能够全面、高效地对 Kubernetes 基础设施进行深入扫描,识别并评估集群和节点潜在的安全风险。借助先进的扫描技术,可以对关键组件进行实时监测,周期的进行合规检查和漏洞扫描,确保用户容器运行环境始终处于安全状态。
容器保护政策
通过对容器中的进程进行精细化管理,确保只有合法且必要的进程能够运行。借助角色访问控制和进程白名单机制,可以有效阻止未经授权的进程启动,降低潜在风险。产品实施严格的文件访问控制策略,对容器内的文件读写操作进行限制。通过设置文件访问权限和实施文件系统的只读挂载,可以确保敏感数据不被恶意访问或篡改,提高数据安全性。
网络微隔离
网络策略功能可以帮助用户定义和实施网络通信规则。例如,用户可以设置哪些服务可以互相通信,哪些服务需要被隔离。这种方式可以帮助用户构建更安全的网络环境,防止潜在的网络攻击。
流量镜像
流量镜像可以将容器的流量进行复制,并将复制出的流量发送到一个指定的地方进行分析和监控。这种方式可以无侵入性地获取微服务之间的交互数据,对于网络安全分析和故障排查等都有着重要作用。因为是复制流量,所以不会影响实际的业务流量,对业务性能无任何影响。
云原生WEB防火墙
应用防护功能通过将 WAF 作为 Sidecar 注入到每个 Pod 中,实现了对单个应用的精细化保护。无论应用如何扩展或移动,Sidecar WAF 都能紧随其后,为应用提供持续的保护。这种设计使我们的 WAF 能够防止各种 Web 应用攻击,如 SQL 注入、跨站脚本(XSS)和其他 OWASP 十大安全风险。
立即体验
赤岩石云原生安全防护系统企业版支持免费试用一个月,试用期内享有原厂技术团队在线 7*24 答疑。