3 月 4 日，北京雅客云安全科技有限公司（簡稱“雅客云”）基于 KubeSphere 4.0 LuBan 架構開發(fā)的云原生安全防護組件正式上架 KubeSphere Marketplace，為用戶提供全面的云原生安全解決方案，保護基礎設施和應用程序免受網(wǎng)絡威脅。

關于赤巖石

赤巖石云原生安全防護系統(tǒng)整合了鏡像安全、容器安全、容器微隔離、云原生 WAF，以及云原生TAP多方位安全能力，為用戶提供一站式云原生安全解決方案。

• 鏡像安全：對構建中、存儲中的容器鏡像進行安全分析，助力企業(yè)構建完備的供應鏈安全方案；
• 容器安全：快速構建起 Kubernetes 安全解決方案，增強集群和容器的安全性；
• 微隔離：阻止攻擊者惡意橫向移動，通過細粒度的網(wǎng)絡訪問控制策略，降低應用的網(wǎng)絡攻擊面；
• 云原生 TAP：提供 Pod 級別的流量鏡像，幫助企業(yè)實現(xiàn)云原生場景東西向流量的可視化；
• 云原生 WAF：集群級 / 應用級云原生 WEB 防火墻，自適應防護策略，實時防護應用層攻擊。

赤巖石 On KubeSphere

KubeSphere 在容器管理方面的專長，使企業(yè)能更高效地處理復雜的容器環(huán)境。這種專業(yè)性不僅表現(xiàn)在其提供的靈活性和可擴展性上，也體現(xiàn)在如何提升運維效率和系統(tǒng)透明度方面。而雅客云在云原生安全領域的深厚積累，提供了全面的安全解決方案，包括自動化安全檢查、持續(xù)監(jiān)控等功能，這對保護企業(yè)關鍵資產(chǎn)和數(shù)據(jù)至關重要。KubeSphere 與雅客云攜手，能夠將 KubeSphere 容器平臺的安全性提升至新的水平，確保客戶的業(yè)務在一個更加安全和可靠的環(huán)境下運行。

現(xiàn)在，用戶可以通過 KubeSphere Marketplace 訂閱部署赤巖石云原生安全防護系統(tǒng)企業(yè)版，快速為 KubeSphere 平臺增加云原生安全能力。部署完成之后，平臺管理員可在 KubeSphere 導航欄直接進入赤巖石平臺，對云原生化基礎設施和應用程序進行安全檢查和防護。

通過 KubeSphere Marketplace 進行訂閱部署：

在 KubeSphere 導航欄直接進入赤巖石云原生安全平臺：

核心功能展示

鏡像倉庫接入

接入管理能夠將鏡像倉庫中存儲的容器鏡像信息接入到赤巖石鏡像安全系統(tǒng)，以支持后續(xù)對倉庫鏡像的掃描。接入的信息包括容器鏡像的 Repository、Tag、Degist 等信息。支持適配多種類型的容器鏡像倉庫品牌，已適配的有KubeSphere、Docker Registry、Harbor、Jfrog，阿里云 ACR、華為云 SWR。

容器鏡像掃描

鏡像掃描功能可以將鏡像倉庫中存儲的容器鏡像拉?。╬ull）到本地進行掃描分析，鏡像倉庫無需部署任何插件程序。使用容器鏡像掃描器，可以有效地檢測容器鏡像中隱匿的應用漏洞、病毒木馬、可疑文件等威脅，并為用戶輸出安全報告。在掃描任務完成后，掃描器會釋放掃描任務產(chǎn)生的緩存文件，無需擔心磁盤會因為持續(xù)掃描鏡像而被打滿。

合規(guī)檢查、漏洞管理

基礎設施是運行業(yè)務應用的載體，安全性尤為重要。能夠全面、高效地對 Kubernetes 基礎設施進行深入掃描，識別并評估集群和節(jié)點潛在的安全風險。借助先進的掃描技術，可以對關鍵組件進行實時監(jiān)測，周期的進行合規(guī)檢查和漏洞掃描，確保用戶容器運行環(huán)境始終處于安全狀態(tài)。

容器保護政策

通過對容器中的進程進行精細化管理，確保只有合法且必要的進程能夠運行。借助角色訪問控制和進程白名單機制，可以有效阻止未經(jīng)授權的進程啟動，降低潛在風險。產(chǎn)品實施嚴格的文件訪問控制策略，對容器內(nèi)的文件讀寫操作進行限制。通過設置文件訪問權限和實施文件系統(tǒng)的只讀掛載，可以確保敏感數(shù)據(jù)不被惡意訪問或篡改，提高數(shù)據(jù)安全性。

網(wǎng)絡微隔離

網(wǎng)絡策略功能可以幫助用戶定義和實施網(wǎng)絡通信規(guī)則。例如，用戶可以設置哪些服務可以互相通信，哪些服務需要被隔離。這種方式可以幫助用戶構建更安全的網(wǎng)絡環(huán)境，防止?jié)撛诘木W(wǎng)絡攻擊。

流量鏡像

流量鏡像可以將容器的流量進行復制，并將復制出的流量發(fā)送到一個指定的地方進行分析和監(jiān)控。這種方式可以無侵入性地獲取微服務之間的交互數(shù)據(jù)，對于網(wǎng)絡安全分析和故障排查等都有著重要作用。因為是復制流量，所以不會影響實際的業(yè)務流量，對業(yè)務性能無任何影響。

云原生WEB防火墻

應用防護功能通過將 WAF 作為 Sidecar 注入到每個 Pod 中，實現(xiàn)了對單個應用的精細化保護。無論應用如何擴展或移動，Sidecar WAF 都能緊隨其后，為應用提供持續(xù)的保護。這種設計使我們的 WAF 能夠防止各種 Web 應用攻擊，如 SQL 注入、跨站腳本（XSS）和其他 OWASP 十大安全風險。

立即體驗

赤巖石云原生安全防護系統(tǒng)企業(yè)版支持免費試用一個月，試用期內(nèi)享有原廠技術團隊在線 7*24 答疑。