一、解决方案介绍

方案背景

伴随云计算技术的广泛应用，云内安全的保障面临极大挑战。云内业务系统规模庞大，客观存在资产梳理及漏洞管理困难，高危端口和进程、危险账号及配置无法收集，内网安全事件无法快速响应等问题，导致黑客进入内网后横行无阻，对业务带来难以估计的损失。

随着云计算2.0的到来，以微服务、容器、动态编排、服务网格等云原生技术进入人们的视野，对运营商行业产生了重大的技术革命。

云原生在倡导应用敏捷、可靠、弹性、易扩展的同时，也带来了一系列安全问题，尤其是容器安全已成为云原生安全建设中最核心的环节。各组织和企业都在寻求相关的应对措施。

同时，在混合云架构中，公有云、私有云、IDC环境中不同资产面对的威胁种类、频次、等级不尽相同，“无主资产”随时可能成为攻击者入侵的源头，传统的安全边界不复存在，资产暴露面亟需有效收敛。

传统防护方式只能快速隔离或阻断威胁，容易造成黑客攻击行为升级，从手段隐蔽攻击上升到高阶自动化攻击，使得传统安全防护下的业务更易被破坏，对用户造成极大的经济损失和负面的社会影响。

在针对新型攻击的时候，目前通过欺骗诱捕系统、高级威胁检测系统等可以有效提升现网针对新型攻击的安全防护能力，但许多部署上述系统的用户仍在面对新型攻击时候存在较大风险，因为上述系统需要进行提前进行全面的规划部署，无法快速动态响应，无法主动出击。

因此无论是规避日常风险事件，亦或是有效抵御APT攻击，为了守护核心资产安全，云工作负载都需要高效的安全管控措施。

总体设计

针对混合云网络架构中云工作负载的安全需求。长亭科技基于自研牧云（CloudWalker）主机安全管理平台，为用户打造云原生安全防护平台（以下简称“平台”），帮助用户建设以云资产安全为核心，安全事件为驱动的安全运营管理平台。

平台对云工作负载进行持续监测，管理和分析资产状态、入侵事件、漏洞信息，安全合规、威胁情报，修复方案，对安全事件进行全周期持续跟踪管理。安全能力全面覆盖构建、分发、运行三个阶段。平台自适应调度安全探针，快速建立安全管理机制。内置安全监测模型、生命周期管理、风险排序等多种核心引擎，将多元安全数据聚合，自动建立符合组织内部规范的云原生安全管理平台。

平台通过提升安全管理各环节的自动化程度，让用户能够掌握现网安全状况、提升安全和运维工作效率、降低工作难度和成本，同时帮助用户快速形成具有精准预测、实时监测、快速检测、主动欺骗、多维分析、自动响应且能够全面掌握安全态势的安全管理体系，减少攻击者利用的时间窗口，形成安全管理良性循环。

技术架构

本方案中平台采用BSA架构，探针通过Grpc与服务端进行双向通信，通信过程采用双向验证加密，支持采用代理模式部署，探针具备主机探针和平行容器探针两种模式。平台管理端负责安全事件数据存储、分析，内置安全检测引擎。用户通过浏览器访问服务端进行系统管理操作，探针负责数据采集和安全事件检测。 

（平行容器探针模式）

（主机探针模式）

服务内容1 安全资产精细化梳理

平台支持根据运营单位业务架构、组织机构、地域等不同类别建立业务组，对不同单位、部门、科室以及相关业务系统的安全资产及相关安全事件进行全生命周期状态管理以及多维度分析。

平台具备不同层级的业务组目录访问控制策略，可将各部门、业务系统的权限进行自助式分配，为用户提供安全资产及事件自助式管理，也为用户提供统一的资产管理可视化分析视图。所有资产支持添加、删除、修改资产信息。

平台同时提供多种条件筛选过滤，满足用户在海量资产数据中快速查询，支持精准和模糊筛选。平台支持数据下钻到资产详细视图，可详细查看资产详情和安全事件。

平台支持资产精准识别和动态感知，让保护对象清晰可见。平台可识别主机资产（主机、主机进程、主机端口、主机进程）、容器资产（容器、容器进程、主机镜像、仓库镜像、容器进程和网络）、k8s资产（POD、集群、命名空间、部署、服务发现）。

平台以云资产为核心，建立智能、完备的网络空间资产的管理能力。平台将探针发现的网络空间主机资产信息进行智能整合和统一管理，具备与外部数据源同步的能力，建立包含设备属性、时间属性、空间属性、位置属性等详尽的资产指纹信息，并支持对资产信息的快速检索及定位和统计管理。

平台支持对资产数据的自动去重合并，形成唯一的标准资产数据。平台支持人工导入和数据接口两种方式从第三方系统同步主机资产相关信息；支持标识对外开放合规服务接口，并根据各探针检测的反馈结果对异常端口进行告警。

2 安全风险感知

平台基于安全探针的白盒扫描机制，从服务器内部深度分析运行环境、清点高危资产，同时依托智能的漏洞分析算法以及动态更新的漏洞库，实时精准地全面检测应急漏洞和通用型漏洞，帮助用户实现全程全网的无人值守云工作负载漏洞扫描能力。

应急漏洞重点扫描

通过对全球10年内重大安全事件的持续追踪，长亭安全团队提炼了危害等级高、影响范围大的百余个漏洞，使用环境分析、补丁分析、版本匹配、动态验证等检测方式，为这些漏洞编写了高质量的专项检测规则，有效提升对关键漏洞检测的全面性和准确性。团队为关键漏洞提供高质量的扫描结果信息与POC信息，提高安全应急响应能力，从而缩短漏洞处置周期。

通用漏洞全面扫描

通过长亭安全研究团队持续采集、优化全网漏洞信息，长亭漏洞库目前已积累15w+的通用型漏洞，全面覆盖 CVE、CNVD、CNNVD 漏洞库，实现对服务器漏洞精准高效的持续检测。

镜像安全

镜像扫描在Build、Ship、Run三个环节，对镜像进行持续性的漏洞扫描、木马病毒扫描，从CVE漏洞、木马病毒、敏感信息多个维度分析镜像是否安全，确保镜像部署到生产环境安全。用于快速定位问题并有效解决安全问题。覆盖BUILD、SHIP、RUN的全生命周期的镜像深度检查，支持与 CI 集成。

支持主流仓库镜像扫描，如DockerHub、Harbor等七种仓库；支持对宿主机本地镜像进行扫描。由于镜像复用，率先采用分层扫描技术，为提高扫描效率和加快扫描速度，同时支持扫描规则的自定义。阻止不符合安全要求镜像运行，包括：含高危漏洞镜像、含特定CVE漏洞镜像、含特定版本软件包镜像、含病毒，WebShell镜像、包含敏感信息泄露镜像。

弱口令检测

所有应用的弱口令检测均使用静态检测算法，可自动定位应用对应的落盘文件，智能分析实际存在的应用账号，无需遍历应用账号用户名，大大提升了弱口令的检测速度，同时还可避免对正在运行的关键业务服务造成影响。平台支持通过主动扫描或周期性扫描的方式快速触发弱口令检测，且支持对于已经发现的弱口令事件发起快速复测。平台内置适用于国内用户的Top200常用密码库，同时支持用户根据企业特色自定义用户名或密码字典。

安全配置扫描

平台提供对于常见系统风险与常见业务风险的检测能力，可发现包括账号风险、敏感文件变动、端口异常、权限异常、Web风险、配置不当在内的多种风险信息。

系统补丁检测

平台依托持续更新的补丁库，可快速、精准地发现系统升级所需的重要补丁，帮助用户第一时间发现潜在安全隐患。补丁检测通过探针端识别系统内核、应用程序指纹，并结合指纹信息自动关联匹配官方补丁信息，以补丁视角进行事件聚合，提升漏洞修复效率。

合规基线评估

合规基线提供基于国家、行业等安全规范的检测能力，帮助用户快速掌握企业内网服务器资产对于安全规范的满足情况；支持可适用于多种不同操作系统、Web服务、容器服务、数据库等应用的合规检测；支持通过主动核查或周期性核查的方式快速触发基线检测，检测规则可根据主机系统指纹信息自动识别所适用的基线策略。

3 入侵威胁检测

平台快速感知主机以及容器资产入侵行为，提升安全分析与响应能力。入侵检测技术基于异常行为识别入侵，通过资产指纹识别、漏洞评估、Web后门监控、反弹shell监控、后门检测、异常文件操作等安全检测动作识别高级持续威胁攻击。平台支持12项战术场景覆盖，105项技术覆盖，快速感知入侵及异常行为

a)WebShell检测

平台支持JSP、PHP、ASP的 WebShell检测。平台通过分析服务器配置自动定位Web目录，实时对Web目录内的文件进行全面扫描，持续监控Web目录内的文件变动，从而实现对于WebShell 的实时感知能力；使用动态沙箱模拟执行、静态语义分析、静态特征匹配等多种检测算法对Web 脚本深度扫描，提供详细的文件信息与检测依据，支持管理员对 WebShell文件发起隔离。

b)反弹Shell

平台通过对进程行为进行实时监控，发现进程非法Shell连接操作产生的反弹 Shell行为，感知0day漏洞利用行为；对进程变动持续监控，结合深度行为检测算法进行全面检测，及时发现目前已知的所有反弹 Shell 手段，包括Bash 反弹、NC 反弹、Python 反弹、Socat 反弹、Web 脚本反弹、MSF 反弹等。

c)异常行为检测

平台基于进程监控与使用安全Bash双模式驱动，通过持续监控进程创建与监控命令执行事件，分析进程结构与调用关系，精准定位攻击特征，实现对可疑操作的全量检测。同时内置规则检测与智能行为检测双引擎，支持用户自定义检测规则，可检测包括发起攻击探测、清理入侵痕迹、植入后门、读取敏感信息、使用黑客工具在内的多种恶意行为。

d)恶意文件及代码

平台通过安全探针采集文件，上传至服务端，通过内置恶意文件检测引擎进行深度检测分析，识别恶意文件。基于主动全盘扫描与被动持续扫描双模式，平台可以实时监控系统状态；对可执行文件、动态链接库、内核模块、驱动程序等多种文件进行深度扫描。检测方式以长亭自研的恶意文件检测引擎为核心，提供五合一的恶意文件检测能力。检测范围包括但不限于病毒、木马、黑客工具、Rootkit、挖矿程序等。

e)本地提权

通过追踪进程调用关系分析进程树，平台能够实现对于逻辑提权行为的深度检测。依托分析进程及相关可执行文件的执行流程，平台实现对于提权漏洞利用行为的持续检测。

f)暴力破解

通过监控登录行为，对超出阈值的服务错误登录，认定为暴力破解攻击事件，支持阈值自定义和白名单自定义。 实时审计系统认证事件，有效识别异常认证行为，还原暴力破解过程，可精准高效地检测高频暴破、低频暴破、账号暴破、口令暴破、多源暴破等多种暴力破解行为。

g)敏感文件及目录监控

持续监控目录与文件的完整性，支持自定义黑名单和白名单，当文件发生完整性变化时产生安全告警。

h)异常登录

平台能够实时监控异常登录事件，检测的异常登录事件类型包括异常时间登录、异常IP登录、异常用户名登录，支持自定义配置登录时间、登录IP、登录用户名黑白名单；同时给出详细的异常登录事件描述和解决方案。

4 安全事件状态管理

平台可对安全事件进行全生命周期的可视化管理和分析，将管理状态分为：发现，处置，利用，修复，复测阶段。根据不同阶段的安全处置管理状态，平台精细划分安全管理方式，同时也为后续的安全定量分析提供基础属性，为用户提供更加贴近真实网络环境的漏洞定量分析。

5 拟态伪装与欺骗

· 拟态安全欺骗，具备自动化、无感知、热迁移攻击流量能力，内置虚拟沙箱，对攻击者的高阶攻击形成无感知的伪装欺骗和诱捕。

· 云工作负载微蜜罐，自定义网络服务和网络响应，通过自身轻量级蜜罐，实现攻击行为的诱捕和溯源。

· 云主机蜜网能力，支持与第三方本地蜜罐、云蜜罐联动，实现全网业务伪装欺骗；通过伪装欺骗吸引攻击火力，捕获和分析攻击者行为，提升主动防御能力。

6 全网情报精准预警

平台具备风险预警能力，通过探针实时精准的采集现网资产状态信息，采集数据包括：资产系统指纹、软件厂商、软件版本、软件版次等信息，自动分析出资产潜在的漏洞信息。平台支持用户自定义管理和发布，预警信息支持推送至类似资产的负责人管理平台，支持对预警漏洞的描述、整改措施、预警等级进行人工自定义，形成风险预警知识库。

同时，平台内置全网威胁情报，情报内容包括：CIDR、Domain、MD5、IPV4、IPV6、URL、EXP、POC以及全网漏洞信息。通过资产与风险状态自动关联全网威胁情报，平台可为异常登录、异常外联、反弹Shell等恶意行为提供基础数据支撑。

国家标准漏洞库

漏洞库覆盖CVE、CNNVD、CNVD条目。平台漏洞库在此基础上进行漏洞库质量优化和提升，使之符合企业用户的要求。平台具有中国国家漏洞库CNNVD兼容性认证，可每天从CNNVD获取最新最全的漏洞信息。当前漏洞库条目数量超过15万条。

全网漏洞利用情报库

情报库验证信息来自互联网常用的漏洞攻击代码共享平台，具备：Metaspoit、Exploit-DB、长亭社区三个不同漏洞验证平台的漏洞验证数据和说明信息。为用户提供发现漏洞后快速验证、快速响应的技术能力，用户可根据所发现的漏洞快速检索对应的漏洞攻击和验证方法。用户可通过CVE编号，POC来源等相关信息快速检索查询漏洞威胁情报数据。

漏洞修复方案库

漏洞修复方案库包括打补丁、组件升级和配置修改。方案库为用户提供可落地执行的修复建议及方案，帮助用户提升修复整改能力，提供不同修复方式和建议。

7 智能安全防护

平台具备五类智能安全防护能力，包括：

· 网络微隔离：支持网络微隔离，自动发现容器内进程之间、容器之间、POD之间、服务之间、节点之间的网络连接拓扑展示，可进行安全策略配置，设置容器之间的入站和出站策略，保证网络安全。

· 文件放篡改：支持自定义目录及文件访问控制策略，具备完整性监控和完整性保护两种模式，持续保护系统关键文件完整性。

· 恶意文件隔离：支持对WebShell、病毒文件进行快速处置隔离，破坏恶意文件运行环境，有效防止恶意文件蔓延。

· 网络自动阻断：支持对暴力破解、反弹Shell、异常登录事件进行自动阻断，有效控制云工作负载安全暴露面。

· 拟态防护：平台具备沙箱环境，当安全事件产生时，自动迁移和代理攻击流量，让攻击行为困于沙箱环境。

8 基于真实状态的风险评价体系

平台支持对安全事件进行更加贴近真实网络环境的漏洞定量分析，漏洞事件是以CVSS漏洞通用评分体系作为漏洞基础分值，然后结合漏洞状态、攻击途径、威胁情报、利用手段、利用情报、资产信息价值等数据，进行多维度加权处理，综合计算出漏洞真实风险值。

入侵检测事件通过多层检测引擎及插件复合检测，评估入侵事件真实程度，有效降低检测误报率，并提供真实的事件危害量化指标。

9 多维度安全可视化分析

平台支持以可视化形式对安全数据及管理指标进行分析展现。支持通过在线数据清单、动态分析图表、附件报告三种形式进行展现。

分析内容包括：资产、漏洞、威胁、风险。以多种视图和角度全面感知安全指标。动态图表以统计分析、对比分析、趋势分析、差异化对比等视角对主机风险指标进行可视化展示。

10 安全稳定的轻量级探针

平台的探针支持安装部署在Linux、Windows、国产化操作系统，只需在宿主机执行一条命令即可自动化安装部署平台的安全探针。针对Linux操作系统，检测探针在运行时无需root权限即可满足一切安全检测需求。

安全探针支持通过服务端对探针端进行停用和降级操作。通过在线数据清单持续监控探针状态，保证探针可用性。

平台的探针检测策略支持基于业务组派发和管理，可基于不同网络环境和宿主机性能，灵活调配检测策略；支持安全探针策略模板的管理，能够增、删、改、查安全探针策略模板信息；提供安全探针策略模板的创建、策略模板推送和安全探针策略模板的应用，根据策略模板实现定制化检测分析。

探针CPU占用低于2%，内存消耗小于80MB。

11 平台开放性

平台开放API标准接口，接口丰富，满足多种环境，满足安全大脑多维度的分析需求。API接口传输数据内容包括：用户属性信息、角色权限、日志内容、日志类型、日志大小、漏洞数据、资产数据、状态数据等不同类型数据。

客户案例分享

案例一：某运营商用户的混合云环境中部署了2000+服务器探针和1000+容器探针，与安全大脑平台、CI流程进行能力和数据联动，有效打通开发和安全运营流程，将安全动态关联至安全、开发、运维角色。部署至今已检测到脆弱性1500余个、异常事件85次，成功阻断200余次威胁事件。有效解决混合云架构中云原生环境工作负载的安全保障与安全管理难题。

案例二：某运营商用户根据网络区域业务和安全防护需求的差异，在生产网、测试网区部署平台，引入拟态伪装欺骗能力。对业务资产进行精细化自动梳理，提升云工作负载安全预警、检测、防护、响应能力。同时借助拟态防护功能，成功捕获WebShell、恶意文件攻击手段，形成主被动融合式云工作负载拟态防护体系，全面提升内网威胁检测与防御能力。

案例三：某运营商用户，基于实际主机及容器安全需求，覆盖主机及容器整个生命周期，即构建、分发、运行三个阶段。以云工作负载资产为中心，轻量级保障主机及容器静态资源及运行时安全的分布式解决方案。针对应用漏洞、不安全配置、入侵攻击、网络行为，提供覆盖主机及容器全生命周期的持续性安全防护。

二、目标客户群体

采用混合云、私有云、公有云的行业客户。

三、解决方案解决的问题

该方案通过建设云原生安全防护平台，围绕主机资产、容器资产安全生命周期，通过事前预警评估、事中监测分析、事后防御响应赋予云工作负载更为细致的风险感知策略、更为精准持续的入侵监测能力、更为全面的态势分析能力、更为快速的响应处置能力。在应对多维度威胁的同时，通过资产全面管理、容器安全全生命覆盖、多维度入侵检测、威胁情报共享、多层级风险感知，本平台帮助用户快速处置云工作负载安全问题，构建轻量级、智能化的云工作负载安全系统。

· 事前预警评估 ：提供资产盘点、风险全面感知、安全基线核查、漏洞补丁管理、弱口令检测等预防能力；

· 事中监测分析 ：提供对WebShell、反弹Shell、恶意文件、命令审计、本地提权、异常登录的智能检测实时防御能力；

· 事后防御响应 ：提供对恶意文件、入侵攻击、web后门、网络异常文件篡改的处置防御能力。

该方案基于长亭科技自研牧云（CloudWalker）主机安全管理平台，充分发挥长亭科技安全产品能力与安全服务能力，为用户快速打造夯实的云安全管理体系提供强有力的技术支撑和安全保障，提高攻击门槛，为安全管理组织网络发展持续赋能。

高效率：平台通过安全探针实时监控与保护云资产，快速感知资产基础状态以及安全状态指标，通过平台化、信息化手段持续保护服务器资产。

高协同：用户长期以来针对安全事件检测与管理存在数据分散，管控困难的问题。通过平台可以降低安全事件信息共享和业务协同难度。为用户提供标准管理平台，实现安全事件集中发现、统一存储、分权管理。

低成本：通过平台聚焦人员精力，使专业的安全人员摆脱安全事件发现技术细节以及安全事件数据检索和分析工作，聚焦精力在安全事件响应工作，持续提升安全能力和管理效率。

四、创新性、先进性说明

云原生安全防护平台依托创新算法的安全架构及功能，可有效解决传统主机入侵检测与分析类产品对于新型网络入侵技术所缺乏的应对检测手段，并通过高效的预防、检测、防护和响应能力，帮助企业快速精准地发现、解决全网安全威胁和入侵事件。

1.多种入侵检测算法交叉验证，精准度高

本平台结合静态分析、行为分析、动态沙箱模拟等多种手段对入侵行为进行深度检测，检测范围可全面覆盖高强度攻击与高隐秘性攻击手法；采用触发式被动检测技术，实时判断恶意行为，秒级上报安全事件；支持对关键行为进行自动隔离、手动隔离、自动封停等操作。

所有入侵检测功能均具备高度自定义的能力，对于不同的服务器支持设置不同的检测策略，允许用户在内置的检测算法之外补充自身企业特有的检测规则。

2.自动检测与分析容器安全

本平台集主机安全与容器安全为一体，无需单独部署，即可实现对容器内部安全事件的全面监控与深度防护能力；支持对容器资产进行资产监测、漏洞检测、配置核查、入侵检测，对云工作负载进行全面安全管控。

且平台支持与CI集成，在构建及分发阶段及时对镜像进行扫描，最大化安全左移。

3.探针非Root权限运行，“零”影响系统

本平台独具特色的探针设计架构，在运行阶段为系统的稳定性和安全性提供多重保障。使用基于 Capability 的非 Root 权限，实现轻量级运行，既能使探针具有强大的安全监控能力，又能保证探针行为对操作系统“零”影响。

探针的分层设计架构具备良好的调度机制，可严格控制对CPU、内存、磁盘、网络等资源的占用：通常情况下CPU使用率< 2%，内存使用率<80M。系统提供资源使用阈值自定义能力，用户可根据实际业务情况，灵活分配探针资源，减少不必要的资源消耗。

4.实时精准溯源，保障漏洞修复

本平台支持记录发生在云工作负载上的多种原始事件，包括：命令执行记录、进程启动记录、账号变更记录、系统登录记录、端口监听记录等。发生攻击后，用户可通过以上原始记录完整还原黑客的入侵行为，从而发现问题，实现攻击复盘和精准的攻击溯源，并有效推进漏洞的修复工作。

5.拟态安全防护与欺骗，主动+被动联动防护

1) 抑制黑客高阶攻击

拟态防护不同于现有针对黑客的安全防护手段，不会直接让攻防进入激烈的对抗，而是利用动态接管攻击连接的方式，将其诱捕至主动仿真沙箱中，让其无法确认是否为真实业务，延长攻击，抑制其进行高阶攻击手段，尽可能保障客户真实业务安全。

2) 秒级攻击流量拟态防护

使用拟态防护可以有效提升安全响应和处置能力，从黑客攻击发生到攻击被接管实现秒级零感知切换，让受保护业务在面对不确定威胁时能持续安全运行。

3) 零成本主动仿真蜜沙箱

无需额外支出沙箱交付成本，直接通过拟态防护功能生成相关主动仿真沙箱，并根据不同业务形态动态变更实现真正主动仿真沙箱，从而弥补传统蜜罐体系缺失的真实性和主动性。

4) 全量攻击追踪溯源

通过拟态防护无感牵引黑客攻击后，所有黑客的攻击操作都将会被全量记录，形成有效的溯源记录。可以利用溯源记录追踪溯源黑客，并且提升用户整体安全入侵防护能力，查漏补缺。

6.具备智能调度、动态水平扩展的集群部署能力

本平台基于K8S的长亭自研滑板车底座，具有自动装箱、自由伸缩、水平扩展、智能调度计算资源的特点。功能模块均支持高可用，依赖分布式底座实现业务迁移。全新的集群架构可提供更加稳定、安全的云原生保护平台。