云原生安全新时代
在数字化转型的浪潮中,云原生技术以其弹性、可扩展性和敏捷性,正成为企业应用部署的核心。
明焰CNAPP应运而生,旨在提供一套全面的、一体化的云原生安全解决方案。
云原生安全挑战
资产管理动态性高
云原生架构下的资产快速迭代与动态更新,使得传统的静态资产管理产品难以适应
缺少容器镜像漏洞扫描
传统漏洞扫描主要针对应用和操作系统,但缺少对容器镜像的漏洞扫描能力
东西向流量防护需求增加
传统防火墙主要防护南北向流量,但在云原生环境中,东西向流量(即内部微服务之间的通信)更多,传统防火墙不适用
容器引擎漏洞导致逃逸风险
Docker等容器引擎作为轻量级隔离,与虚拟机不同,容器间共享宿主机Linux内核,隔离程度更低,更容易被攻击者突破并逃逸至宿主机
传统防病毒网关失效
云原生架构内部的病毒传播不会经过外部网关,导致传统的防病毒网关无法发挥作用
NIDS无法检测容器数据包
由于网络入侵检测系统(NIDS)在网络架构中的位置限制,无法检测到容器的数据包
明焰CNAPP解决方案
资产盘点与安全总览
自动盘点容器、镜像、集群、主机等资产,消除暗资产,实时更新资产状态,实现资产管理的精细化
镜像风险一键扫描
提前发现容器镜像中存在的漏洞、木马病毒、敏感信息和弱密码等危险因素,对危险镜像的启动进行有效的策略控制
微隔离策略
支持自动和手动配置网络策略,实现Pod粒度的网络微隔离,通过自动化分析建立网络连接关系,生成并部署符合最小权限要求的微隔离策略
容器逃逸检测
使用大语言模型对海量容器逃逸攻击路径进行分析,实现基于文件挂载错误和命令执行的容器逃逸检测,基于行为模型与特征校验实现容器逃逸的检测与溯源分析
容器风险监听与行为感知
对容器逃逸、反弹Shell、非法提权、恶意挖矿等常见风险行为进行监听和阻断,利用低资源多源点行为数据无损采集技术,实现基于命名空间感知的容器行为识别
基线合规检查
提供自动化检测,满足监管政策与合规性要求,支持CIS发布的各版本基线标准,针对每项标准提供基线检测方法与修复建议
5层架构立体纵深防御
从数据到应用的全方位防护体系
业务应用层
云原生应用和微服务的安全防护
容器运行层
容器运行时的安全监控和防护
编排管理层
Kubernetes等编排平台的安全管理
基础设施层
底层基础设施的安全防护
数据安全层
数据的全生命周期安全保护
灵活的部署架构
适应不同规模和需求的部署方案
管控软件
中央管理控制台,提供统一的安全管理和策略配置
- 安全策略管理
- 资产统一管控
- 告警事件处理
- 合规报告生成
- 用户权限管理
探针软件
轻量级Agent,部署在容器节点上进行数据采集和本地防护
- 实时数据采集
- 本地威胁检测
- 容器行为监控
- 网络流量分析
- 自动响应处置
核心功能
明焰CNAPP提供全面的云原生安全防护能力,覆盖从资产盘点到运行时防护的完整安全生命周期
资产盘点与安全总览
全面盘点云原生环境中的所有资产,提供统一的安全视图
镜像风险一键扫描
深度扫描容器镜像,识别漏洞、恶意软件和配置风险
集群风险检测
Kubernetes集群安全配置检查和风险评估
基线合规检查
基于行业标准和最佳实践的合规性检查
微隔离策略
基于零信任原则的微服务间访问控制和隔离
网络访问关系可视化
直观展示微服务间的网络访问关系和依赖
容器风险监听与阻断
运行时容器行为监控和威胁阻断
产品优势
明焰CNAPP凭借先进的技术架构和创新的安全理念,为云原生环境提供卓越的安全防护能力
网络隔离策略高效自学习
基于流量分析和行为建模,自动生成最优网络隔离策略
- 流量行为分析
- 策略自动生成
- 动态策略调整
- 零信任架构
基于行为模型的容器逃逸检测
通过容器行为基线建模,精准识别容器逃逸攻击
- 行为基线建模
- 异常行为检测
- 实时逃逸告警
- 自动阻断响应
全面的容器安全管理能力
从镜像扫描到运行时防护的全生命周期安全管理
- 镜像漏洞扫描
- 运行时监控
- 合规性检查
- 安全策略管理
微服务隔离策略自动生成
智能分析微服务间通信,自动生成精细化隔离策略
- 服务依赖分析
- 通信模式识别
- 策略自动生成
- 动态策略更新
容器行为感知
深度感知容器内部行为,识别异常活动和潜在威胁
- 进程行为监控
- 文件系统监控
- 网络活动监控
- 系统调用分析
领先的云原生安全技术
通过创新的技术架构和智能化的安全策略,明焰CNAPP为云原生环境提供了前所未有的安全防护能力
让您的云原生应用在享受敏捷性和可扩展性的同时,获得企业级的安全保障。
应用场景
明焰CNAPP在各行各业的成功实践,为不同规模和需求的企业提供定制化的云原生安全解决方案
浙江省体育局
政务云容器安全防护
为浙江省体育局政务云平台提供全面的容器安全防护,确保政务数据安全
解决方案
- 部署CNAPP管控平台,统一管理所有容器资产
- 实施镜像安全扫描,确保基础镜像安全可信
湖南创发集团
云上资产安全管理
为湖南创发集团云原生应用提供全生命周期安全管理
解决方案
- 建立云原生资产清单,实现资产全面可视化
- 实施DevSecOps流程,将安全融入CI/CD管道
道客云安全
云原生管理平台安全赋能
为道客云安全管理平台提供云原生安全能力集成
解决方案
- 集成CNAPP API,增强平台安全检测能力
- 提供容器安全SDK,支持第三方应用集成
中兴通讯
微服务访问控制策略自动化
为中兴通讯大规模微服务架构提供自动化安全策略管理
解决方案
- 部署智能策略引擎,自动分析服务依赖关系
- 实施零信任网络架构,确保服务间安全通信
跨行业成功实践
从政府机构到企业集团,从云服务商到通信设备制造商,明焰CNAPP在各个行业都展现出了卓越的适应性和实用性。
无论您的组织规模大小,我们都能为您提供量身定制的云原生安全解决方案。
技术架构
明焰CNAPP采用分层架构设计,提供全面的云原生安全防护能力
5层架构体系
用户交互层
提供直观的管理界面和操作体验
数据分析层
智能分析和威胁识别的核心引擎
端点监测响应层
实时监控和快速响应的执行层
数据存储层
安全可靠的数据存储和管理
数据收发层
高效的数据传输和通信基础
灵活的部署方式
管控软件
独立部署的管理控制中心
- 基于K8s容器化部署
- 独立集群部署
- 策略管理与下发
- 威胁分析与响应
- 资产管理与监控
- 安全态势感知
探针软件
轻量级的数据采集代理
- 轻量级部署方式
- 实时数据收集
- 静态分析支持
- 资产信息采集
- 网络流量监控
- NetworkPolicy生成