一、产品简介

      信达网安容器安全管理平台，专为以Docker 技术核心的微服务、云原生平台安全而设计，全微服务架构，以应用为中心，帮助用户构建全生命周期的容器安全防御体系。

二、详细介绍

      数字化转型的目标是让软件成为企业的核心能力，同时把软件作为数字服务对外输出成为企业的核心业务，最终成为数字原生企业。在这个过程中，应用会更多的迁移到云端，基于云的架构设计和开发模式需要一套全新的理念去承载，于是云原生思想应运而生。云原生既包含技术（微服务，敏捷基础设施），也包含管理（DevOps，持续交付等），是一系列 Cloud 技术、企业管理方法的集合。企业采用基于云原生的技术和管理方法，可以更好的把业务迁移到云平台，从而享受云的高效和按需资源能力，而容器云 PaaS 平台则是云原生应用重要的落地形态之一。

      信达网安容器安全管理平台（Container Security Management Platform）是针对PAAS容器平台的自主安全防护产品，可实现与现有PAAS平台无缝集成，是Kubernetes网络安全的领导者，致力于保障企业级容器平台安全，提供容器镜像安全深度扫描、容器应用可视化，容器运行时入侵检测等等多种安全功能。

图1：容器安全平台产品架构

三、产品优势

1、功能强大

  安全功能覆盖漏洞检测、病毒扫描、运行时入侵检测、基线扫描、安全可视等。

3、部署方便

  全微服务架构，可通过Kubernetes apply 部署文件，进行一键式集群部署。

４、极致轻量

  安全探针容器CPU占用可控制在5%以内。

５、产品稳定

  产品质量严格，基础架构扎实，从架构上考虑服务化、分层设计，从而保证了产品的高可用。

四、功能描述

1、容器镜像安全扫描

　 结合公司多年的安全攻防、运维经验，从CVE漏洞、木马病毒、敏感信息多个维度分析镜像是否安全，确保镜像部署到生产环境安全。

2、容器运行入侵检测

　 核心是负责该检测的自定义eBPF程序。它在内核提供了一个虚拟机，灵活高效的的监控容器内部的安全事件。系统功能包括容器逃逸行为监控、高危系统调用监控、识别特定内核漏洞利用脚本行为、容器内部异常进程监控、反弹shell等。

3、容器安全基线扫描

  支持CIS 容器安全基线标准，扫描包括主机安全配置、docker守护进程配置、docker守护文件配置、容器镜像和构建文件、容器运行时保护、docker安全操作、docker集群配置等。

4、容器运行安全审计

　 支持docker、k8s生命周期安全审计，包括容器、POD创建、运行、停止、销毁等生命周期。

五、产品价值

1、完整的容器生命周期安全

  产品提供了基于全生命周期的容器安全解决方案，覆盖容器的整个⽣命周期，即构建、分发、运⾏三个阶段。以应用为中心、轻量级、保障容器静态资源及运行时安全的分布式安全防护。

２、加速应用安全开发和部署

  容器分发阶段的自动化容器安全控制，避免不安全的镜像分发到生产环境。

３、提升基础架构的利用率

  全微服务设计、轻量级探针、多租户架构，帮助用户实现安全、密集的“多租户”计算环境。

容器安全管理平台
C ontainer Security Management Platform