一、产品介绍
尚付云原生保护平台是基于云原生理念构建的安全防护模型,针对云原生应用的生命周期特点,参与了研发构建、安全测试、镜像管控、容器部署、容器运行等多个阶段的安全防护,将安全与开发打通,通过关联运行资产将应用的安全状态进行反馈,推动应用迭代升级,实现高效率的云原生应用安全风险闭环,覆盖DevSecOps的全阶段。
二、产品功能阐述
(一)特点
尚付-云原生保护平台(CNAPP)具有前所未有的安全可见性和管控性,平台运行中打通DevSecOPS和容器云,实现业务全生命周期时间维度的可见性;此外也打通CSPM和工作负载,实现全栈的空间维度的可见性。
尚付-云原生保护平台的产品功能特点主要体现在:
1. 全生命周期可见性
尚付打通了DevOps和容器云,用户可以知道一个项目从编码、构建、分发、测试、部署、运行每个阶段的关键信息,如项目是在哪个代码仓库、最终运行在哪些POD或主机上;也可以支持可视化每个阶段的安全风险,如编码漏洞、镜像漏洞、IAST测试漏洞、部署合规性、运行时入侵事件等,提供前所未有的可见性。
2. 全栈安全保护
尚付打通了CSPM、容器、公有云、私有云的工作负载安全,在一个统一的界面内展现公有云资源如OSS、RDS等基础SaaS业务的配置错误与合规性,展示托管容器云与私有容器平台的安全风险,以及多云、混合云等云主机的安全问题和入侵事件,而不是像传统产品将不同的工作负载分裂在不同的安全产品内。
(二)功能
尚付-云原生保护平台是业界领先的全栈全生命周期云原生保护平台,跨越多云和混合云,从开发扩展到运行时保护基础设施、微服务网络、工作负载以及应用和数据,具有高度集成,广泛兼容的特性。
1. DevSecOps全流程管控
IAC扫描能力
一个错误的IaC(基础设施即代码)模板可能生产上百个危险资源,最终变成上千个运营告警。尚付DevSecOps模块具有以下IaC安全扫描能力:
在代码构建阶段自动识别其中的IaC代码,识别其中的错误代码并修复。
支持Kubernetes Manifest清单文件、Rancher、Docker File、Terraform等多种格式的安全检查。
开源组件安全检测与管控能力
开源组件在软件开发过程中占有重要地位,然而开源组件的风险也随其使用的广泛而逐渐上升,在实际使用过程中常常面临诸多挑战,如安全漏洞、知识产权、软件供应链安全等。
尚付开源组件安全引擎支持开源组件的漏洞风险、license风险检测与管控,多次受到Gartner推荐,能够帮助用户在上线前解决开源组件安全风险。
镜像安全扫描能力
镜像是容器技术的最基本的概念,镜像扫描是发现容器漏洞风险最基础的办法,即使是在Docker Hub 下载的官方镜像中也经常包含大量的漏洞。
尚付-云原生保护平台支持镜像系统漏洞、组件漏洞,也整合了杀毒引擎查杀镜像中的病毒木马挖矿等恶意文件。镜像扫描能力既可以扫描单个的容器镜像,也可以与Harbor、jFrog等镜像仓库对接做全量的扫描。镜像安全扫描,即工作负载安全的左移。在工作负载被部署、运行之前,提前检查了安全性。
自动化IAST安全测试能力
云原生的灵活性,要求安全产品也需要更加适配敏捷环境,尚付IAST安全测试模块,与测试环境集成,无需重放请求、无脏数据、漏洞检测实时响应,所具备的能力受到Gartner多次推荐,能够帮助用户解决上线前安全测试问题。
开发过程与运行时资产互联
尚付打通了DevOps和容器云,让运维人员可以知道代码库的代码运行在哪些节点上,构建成了什么服务,可以知道线上运行的服务是由哪里的代码生成,也可以知道从代码、构建、分发、测试到部署每一步存在怎样的风险。
2. 基础设施安全
CSPM(云安全状态管理)能力
尚付通过CSPM(云安全状态管理)查看组织内的公有云资产,云主机、云存储、云网络等,支持CIS、PCI DSS、等保等多种配置标准对这些资产进行检查,提出不符合安全实践或者不符合法律法规的条目,并提供修正意见。
基础设施基线合规
尚付具备CIS/PCI DSS/HIPAA/NIST等合规基线模板,可帮助企业一键检测编排平台、容器等基础设施的合规性,高度可视化企业整体合规情况,推进云原生环境的合规率。
3. 微服务的网络安全
资产访问关系地图
尚付的微服务网络安全模块可以跨集群、跨命名空间观测学习所有微服务东西向流量,并生成访问关系地图。
基于零信任的微隔离
基于资产访问关系地图,自动生成微隔离策略。隔离策略采用零信任理念,实现基于身份的微隔离,而不是传统的基于IP地址。在学习模式下生成的微隔离策略,随时可以切换到只告警不真正阻断的试运行模式,也可以在确保无误的情况下,切换成阻断模式。
4. 工作负载安全
进程白名单
为了实现版本管理和良好的故障恢复弹性,云原生提出了“不可变基础设施”理念。基于此理念,尚付CNAPP默认使用进程白名单的方式对工作负载进行强有力的安全保护。默安科技认为云原生体系中,进程启动前的管控,更优于进程启动后的异常检测。
容器入侵检测
尚付整合了机器学习模型和杀毒引擎,对容器内的进程进行运行时异常检测,与进程白名单管理一起协同工作,确保业务安全。
资产准入控制
尚付提供包含几十种策略的镜像启动控制,防止没通过安全扫描的镜像上线运行。特别的,镜像如果进行了SCA扫描或者IAST扫描,在启动控制阶段会携带应用层的安全信息,进行准入控制,打破了常规的只能基于镜像系统漏洞、组件漏洞管控的传统,在业界尚属首次。
5. 应用与数据安全
声明式云原生WAF能力
尚付CNAPP为云原生微服务提供了声明式的原生WAF能力。部署应用时,只需要添加moresec.cn/waf-inject-enable:“true”标签,该应用启动时即自动获得了WAF保护,安全保护成为了一个需要即可获得的资源。
微服务API治理功能——API自动发现和保护
WAF在保护应用安全的同时,自动分析发现微服务提供的API,并为API提供专有的保护,比如基于IP地址或者API某参数的阈值控制,比如API某些参数的高级格式控制,也可以基于学习引擎发现API中流动的敏感数据是否符合安全是否符合法律法规。
(三)兼容性
尚付-云原生保护平台具有高度集成、广泛兼容的特点,支持多种环境、多种场景下的业务运行。
1. 云环境
自建K8S、阿里云ACK、腾讯云EKS、亚马逊EKS、RedHat OpenShift、Rancher
2. 网络CNI
Flannel、Cilium、 Weave、Calico、 阿里云CNI、腾讯云CNI、亚马逊CNI
3. 运行时场景
Dockerd、Containerd
4. 镜像仓库
Harbor、jFrog
5. CI/CD流水线
Jenkins、Gitlab
三、产品创新性
尚付云原生保护平台(以下简称“尚付CNAPP”)率先在业界实现两大维度的可见和管控,通过在一个统一的产品内,提供跨越多云的全生命周期、全栈的安全保护,给用户带来前所未有的安全可见性和管控性,大幅降低对云原生这种极其复杂的业务系统提供保护能力的成本。
(一)全生命周期可见性
尚付打通了DevOps和容器云,用户可以知道一个项目从编码、构建、分发、测试、部署、运行每个阶段的关键信息,如项目是在哪个代码仓库、最终运行在哪些POD或主机上;也可以支持可视化每个阶段的安全风险,如编码漏洞、镜像漏洞、IAST测试漏洞、部署合规性、运行时入侵事件等,提供前所未有的可见性。
(二)全栈安全保护
尚付打通了CSPM、容器、公有云、私有云的工作负载安全,在一个统一的界面内展现公有云资源如OSS、RDS等基础SaaS业务的配置错误与合规性,展示托管容器云与私有容器平台的安全风险,以及多云、混合云等云主机的安全问题和入侵事件,而不是像传统产品将不同的工作负载分裂在不同的安全产品内。
四、市场应用价值
在全球数字化转型浪潮席卷之下,云原生应用、容器技术被广泛接受和使用,容器环境的部署越来越常见,并逐渐成为包装、交付和部署新型应用的主流方式,根据《中国云原生用户调查报告(2021年)》数据显示,已经有70%的用户在生产环境采用了容器技术,45%的用户已经将容器技术用于核心生产环境。
当技术架构以及应用模式发生了变革时,新的安全风险也随之而来,安全性是企业云原生化转型的关注的重点,有68%的受访企业表示将在未来一年内开展云原生安全能力建设,半数以上受访企业关注容器安全、微服务、容器入侵检测、代码安全扫描等问题,但企业在云原生安全领域的能力建设尚处初期,技术门槛较高,仍有20%受访企业无任何防护能力。
云原生由从最开始概念初创、技术发端,经过了长期发展,在技术层面从围绕容器及K8s技术开始,全面延伸到应用、数据、AI、边缘计算等各个领域,成为了全栈技术;在产业实践层面,云原生的应用早已经从互联网企业延伸到各个行业,包括金融、汽车、政府等。 随着云原生技术的不断成熟和应用的不断深入,未来在云原生安全领域将会释放出更大的红利,千行百业的云原生化转型将会对云原生安全保护技术提出大量的运用需求,以保障企业与社会的数字化加速发展。
默安科技的尚付云原生保护平台自今年3月份发布以来,在政府、运营商、金融、汽车等行业进行全面推广,尤其是在新能源汽车、金融等领域开始大规模试用,客户反馈情况较好,下半年正在陆续商用并进行营销推广。
五、行业认可
自今年3月份尚付发布以来,默安科技在云原生与云安全领域的专业实力获得了国内外专业机构与行业媒体的多次认可:
入选安全牛《中国网络安全行业全景图》云原生安全领域代表厂商;
入选Freebuf《CCSIP 2021中国网络安全产业全景图》云原生安全领域代表厂商;
获得中国信通院云原生安全产品检验证书;
成为云原生计算基金会(CNCF)成员单位;
入选中国信通院2022年度“云原生产品目录”;
以尚付为核心的云原生安全解决方案获得2021-2022年度第十届云计算大会“云鼎奖”优秀解决方案奖;
2022网络安全创新成果大赛入围奖。
未来,默安科技仍将精益求精,对尚付进行持续的产品升级赋能,获得更多客户与业界认可。
年度优秀安全产品
默安尚付云原生保护平台
登陆即可获得 8 次投票机会