市場上容器執行安全的產品和工具主要分為商業產品和開源工具,商業類的產品根據防護的側重點不同分為通用的容器防護和容器網路的安全產品,但有些產品功能有交叉,很多產品的功能相似,其中neuvector是較少涵蓋網路安全和執行態安全方案的廠商。
通用的容器安全商用產品,側重執行態容器的內部及對外部的攻擊防護
側重容器網路安全的商用產品,主要提供基於七層的安全檢查和防護能力
開源或免費的工具,主要提供單獨領域的安全防護功能
neuvector、varmour、vmware nsx-t data center
aporeto trireme (微分段和工作負載的驗證)、 aqua security microscanner (軟體成分分析)、aqua security kube-bench (cis kubernetes benchmark掃瞄…
對比資料**於gartner
上述主要對比了容器安全相對成熟的廠商商業產品,目前商用產品都在擴充套件其覆蓋容器安全的領域,包括映象掃瞄、合規掃瞄、執行態安全、網路安全、審計、金鑰管理等。其他大多數廠商的產品也都支援對容器內部的安全檢測和防護,其中的主要差異一是機器學習的能力,個別廠家不支援,二是否內建waf防護規則,三是事件的響應能力,包括阻止容器對檔案和網路的訪問。其中neuvector不能對容器檔案的訪問執行阻止,但neuvector可以捕獲網路包執行過濾分析,可以實現七層的安全防護。
除了aqua、twsitlock、neuvector三家功能相對完善之外,其他幾家中stackrox缺失了對主機核心架構的整合配置,但執行態的安全防護功能比較完整,也能支援基於容器身份的隔離和分割槽;sysdig secure執行態不支援惡意軟體掃瞄,不能阻止容器對檔案或網路的違規訪問,但可以執行系統核心加固和提供包捕獲功能;tenable和trend micro功能相對較少。
容器執行態的安全防護主要依賴於防護客戶端,主要的部署架構如以下幾種:
容器的安全應結合自身容器的生命週期和雲原生的整體生態建設,可結合現有的和缺失的安全能力以及可管理的角度統一考慮,主要評估的內容包括:
關於安全產品和安全服務
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
關於安全服務和安全產品
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
騰訊雲安全產品介紹第五章 業務安全產品天御
防刷服務 技術原理 地域屬性 業務屬性 惡意屬性 自然人畫像 qq畫像 裝置畫像 防刷服務優勢 銀行卡支付防盜刷 線上營銷風控 天御反欺詐服務 技術原理 技術優勢 應用場景 產品計費方案 活動防刷 按呼叫次數包年 超出 的按次數區間表月結。註冊保護 提供按次呼叫的包年 登入保護 基於每日防護上限次數...