云甲·云原生容器安全管理系统——基于云原生安全（CNAPP）的概念，在整个云原生容器的安全生命周期中，采用自动检测、自动分析、自动处理的方式防御安全威胁。在防护技术上使用漏洞运营、智能检测、机器学习与威胁预测等先进的方法来确保基于DevOps生命周期的容器应用安全。云甲支持主机安全Agent以及安全容器两种部署方式，既能做到对云原生容器的全面保护又能灵活地跟容器编排体系相结合。

采用主机安全Agent和安全容器相结合的技术，既落地了“安全左移”的概念，又能对云原生容器做全面保护，同时能灵活地跟容器编排体系相结合，是云原生应用安全最佳实践。

安全狗云原生安全2.X通过将容器云平台通用安全能力下沉到“N合1”安全基座上，有效避免单品堆叠部署的局限性。一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求，并且安全组件具有稳定、资源占用少、不影响业务等特点。同时可依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案，有效赋能应用安全。可与容器云平台、数字化安全运营平台无缝衔接，数据共享和联防联抗，满足了安全集成协同需求。

关键技术创新包括以下5个方面：

（1）软件资产管理和安全一体化：

覆盖宿主机、镜像、容器、IaC的精细化静态、动态资产采集和安全检测，支撑“底数清、信息全、状态明、响应快”的软件资产及软件供应链安全管理需求，源头早期预防和深度分析的一体化需求。

（2）编排环境适配一体化：

针对国内关基类云原生架构“异构多芯 混合调度”的特性，可提供环境安全自适应一体化的功能，支撑统一的安全策略管理、实施、分析和无缝隙完整覆盖。

（3）工作负载安全一体化：

构建基于“容器侧、主机侧”的“全栈式”“一体化”多维度云原生高级威胁检测技术体系，具有联合发现、协同抵抗的体系化作战的效果。

（4）网络层安全一体化：

采用基于零信任模型和eBPF技术设计开发高性能云原生防火墙实现主机、容器层网络安全一体化。

（5）应用安全一体化：

构建起“里应外合”的无缝衔接方案，可以灵活地保护关键应用程序，而不至于在性能和稳定性方面做出过大的牺牲。

1.“云甲”是以工作负载为中心的安全产品，可在混合、多云数据中心环境中保护主机和容器工作负载，为物理机器、虚拟机、容器和微服务等云原生技术工作负载提供一致的可见性和控制，平台从系统完整性保护、应用程序控制、行为监控、入侵预防和反恶意软件保护的组合来保护工作负载。

云甲通过在云工作负载端构建纵深防护体系，适配多云跨平台的架构，根据需要适配相关的防护插件，并在此基础上建立集中管理实现网络安全大脑，以及构建相关的网络安全应用，对外可提供主机安全、容器安全、微隔离、应用安全、漏洞管理、网站监测、态势感知等安全服务。

2.整体技术框架

云原生安全2.X是安全狗在业界首次提出的概念。在具体落地方面，安全狗也提出了5+X一体化落地架构模型，其中5个安全一体化是基础，是必须要实现的内容，X代表扩展.

云甲V5.0是国内首个实现了云原生安全2.X的五个一体化，以及两个扩展一体化的产品。作为落地云原生安全2.X概念的实际产品，云甲V5.0的“一体化”架构视图。

通过将容器云平台通用安全能力下沉到一个“N合1”安全基座上，云甲在避免单品堆叠部署之余，一个Agent同时覆盖主机安全、容器安全、网络微隔离、多租户、安全策略联邦、云原生安全合规、资产精细化采集等云原生全栈安全需求，且安全组件稳定、资源占用少、不影响业务。云甲以安全大基座的方式支撑了资产管理与安全一体化，环境安全一体化，工作负载安全一体化、网络安全一体化的落地实现。

在赋能应用安全方面，云甲依托外联WAF、API安全网关和内联RASP虚拟补丁引擎形成“里应外合”一体化方案，将具有漏洞预防、业务访问授权、数据脱敏、应用合规基线等普遍性、共性需求应用安全能力下沉到PaaS层的安全基座，赋能对象包括传统单体应用，也包括微服务应用。这样降低应用自身安全类功能的开发成本，整体提高应用开发效率和安全性，同时解决了老旧应用安全加固免改造的难题。

云甲可同时推送数据和开放威胁阻断类、排查验证类的API接口，与容器云平台、数字化安全运营平台无缝衔接，数据共享和联防联抗，满足了安全集成协同需求。

就云甲V5.0的资产管理和安全一体化、工作负载安全一体化和网络层安全一体化三个方面进行应用场景举例。

1 资产管理和安全一体化

在资产管理和安全一体化方面，云甲V5.0的技术实现逻辑原理,云甲的“资产管理和安全一体化”技术实现原理图 .

第1个亮点：多来源、多渠道自动化静态资产、动态资产采集和管理一体化，以及基于流量的漏管资产发现机制，确保底数清。

第2个亮点：资产画像，基于融合数据的基础上，对镜像、容器、pod、集群对象，从资产属性、漏洞隐患、安全事件等三大维度构建画像模型打标签，并进一步提供资产一键搜等高级分析功能。比如排查Log4j这样的0day资产，用户点击一键搜就能在一个界面查看到具有0day漏洞Log4j多个版本影响到哪些镜像、哪些正在运行的容器、pod，哪些namespace，以及相关的service、ingress。

(1）资产一键搜 

可以快速定位问题资产，评估漏洞影响规模，并生成漏洞风险报告，大幅度降低漏洞平均响应时间

（2）资产画像 

融合分散孤立各类静态、动态和关联媒介类数据，从资产基础信息、漏洞风险和安全事件三维度构建画像标签算法，整体状态一目了然。

第3个亮点：纳管资产一体化安全检测。云甲V5.0是国内首个支持软件供应链安全图谱，以扩展检测基础设施即代码的产品。这两个功能在实战场景中发挥着重要的作用。

如图2-8所示，云甲V5.0构建组件依赖关系链图谱，完整可视化全栈软件供应链，以及间接依赖软件包的漏洞风险。

云甲V5.0采用漏洞情报库帮助用户确定漏洞的优先级，帮助用户修复“真正需求修补”的漏洞，而不盲目关注所有的漏洞。安全狗的漏洞情报运营体系整体设计，某客户依托漏洞情报库的协助，在漏洞治理方面取得显著的成效。

云甲V5.0的软件供应链安全图谱结合漏洞情报库可以高效提升漏洞修复率，如果没有完整的可见性或整个依赖树的指导，漏洞将无法检测或修复，并进行漏洞利用预防。安全狗云甲一体化软件供应链安全解决方案提供了一直到叶节点的完整依赖扫描，以确保组织能够了解每个潜在的漏洞来。

云甲V5.0软件资产管理与安全一体化的第3个创新针对的是传统的 SBOM 不包括云基础设施资源以及客户对其云基础设施风险不可见等系列问题。云甲实现了将基础架构中的资源即代码 （IaC） 进行检查并生成 SBOM 的功能，并进一步提供了开源许可证、漏洞和错误配置等风险信息，以便组织可以了解软件的法律和安全风险。因此，云甲支持用户在早期代码/构建阶段掌控全栈风险，尽早采取预防措施。

2.工作负载安全一体化

云甲V5.0工作负载安全一体化的创新提出“N合1”安全Agent大基座的架构设计思路。如下图所示。云甲在每个节点上部署一个轻代理软件，同时覆盖宿主机和容器工作负载的一体化安全防护目标。

一 是在防护部位角度，从“应用侧、容器侧、主机侧”，从内往外层层设防、层层监控；

二 是威胁检测、防护和响应技术角度，采用了恶意程序静态、动态检测一体化；基于规则和特征库的威胁检测、与基于AI算法模型的检测技术和基于进程行为模型基线的手段一体化。

云甲可应对运行时安全。通过静态检测和动态监控检测容器运行时的已知风险和未知风险。静态检测优势：Webshell、弱口令、应急漏洞；动态监控优势：实时逃逸、进程RCE、暴力破解。

场景1：云甲支持基于“静态扫描”和“动态实时防护”，可及时发现Webshell以及挖矿木马，并对它们进行信任、隔离、下载、删除等操作。

场景2：针对“植入内存木马攻击”，云甲支持通过“内存马检测”功能进行威胁检测。

攻击方视角：运用“WEB应用漏洞”与“可引发容器逃逸的配置缺陷”进行渗透攻击。

防守方视角：“一体化”的运行时威胁攻击

总体来说，云甲可形成多维度实时威胁检测，对容器逃逸、无文件/无恶意软件攻击快速发现，以及横移攻击的感知和自动化响应阻断。

3. 网络层安全一体化

云甲V5.0进行了云原生网络层底层技术创新，开发了新一代高性能一体化云原生防火墙。对于Kubernetes集群中不支持Kubernetes NetworkPolicy的Pod，云甲也能实施RBAC（基于角色访问控制）和ABAC（基于属性访问控制）相结合的网络流量管控策略。此创新点满足有“高度合规监管，技术安全性、稳定性、网络延迟和资源消耗要求严格”特点的银行、电力等核心业务系统在云原生化升级过程中对多模网络场景下网络访问控制的严苛需求，兼容国产信创环境。

第1个创新：解决了在业务峰值期间防火墙自身资源开销高、网络延迟大、网络吞吐下降等影响业务应用的问题。

云甲V5.0是业界首个提出“访问控制策略快调度、容器间非法访问数据包少跑动”设计思路，如图2-17所示。

首先基于eBPF 技术一体化覆盖主机层和容器层数据包检测，然后从数据包发送侧对数据包进行访问策略检查与控制，相对当前主流云原生防火墙基于传统的防火墙技术在接收侧对数据包进行访问策略检查与控制，云甲V5.0实现了非法访问数据包不出容器且无需封包、或SNAT转换的效果，极大的减少数据包在虚拟网络设备（比如：Veth pair、OVS等）上传输的数量和性能消耗。

云甲V5.0新一代云原生防火墙技术解决了当前云原生防火墙在业务峰值期间自身占用CPU、内存、IO等资源开销高、网络延迟大、网络吞吐下降等影响业务应用的问题；同时也解决了云原生防火墙对国产信创环境和Underlay 网络方案的CNI插件兼容性差、定制改造成本高的问题。

第2个创新：采用零信任模型实现统一安全策略协同。

云原生架构下的访问控制整体需求从底层到高层依次包括：K8S L3-L4层的（网络访问控制策略）、K8S L7层服务网格（服务访问控制策略）、业务应用层的业务访问控制策略、数据层数据访问控制策略，这个四个层面访问控制策略虽然抽象粒度不同，但本质上在技术层面是有相互关联的.

云甲V5.0网络层访问控制策略支持包括用户属性、环境属性和资源属性等丰富的上下文信息，支持用户制定覆盖四个层面的综合性访问策略和自动化联防联抗策略，实现访问控制策略统一协同。

云甲V5.0访问控制策略实现采用了RBAC（基于角色访问控制）和ABAC（基于属性访问控制）结合的零信任访问控制策略实现模型，支持各类策略作者使用高级声明性语言表达、定义、管理具备上下文感知的策略，以适应环境或数据的变化，从而实现高级自动化，可扩展性更强、更方便，支持更加细粒度控制和根据上下文动态执行。解决了云原生东西向流量访问关系复杂、快速变化和访问控制策略需动态频繁调整的场景下，用户无法根据用户属性（比如：访问者进程运行用户、角色或组、特权账号、弱口令账号等）、环境属性（漏洞、安全状态、安全事件等）、资源属性（创建日期、资源所有者、文件名和数据敏感性等）基于零信任模式制定综合性访问策略和自动化联防联抗的难题。