云原生安全管理平台(CNAPP)
我们的 CNAPP 平台融合了 CSPM(云安全态势管理)、CWPP(云工作负载保护)、K8s 安全、CIEM(云基础设施授权管理)等能力,为企业云原生环境提供从开发到运行的全生命周期安全防护。
企业上云后,安全模型发生了根本变化——以前是”边界防护”(防火墙+WAF),现在是”身份即边界”、“零信任”。CNAPP 是我们面向云原生时代打造的一站式安全平台。
1. 云安全态势管理(CSPM)
- 多云安全配置检查:阿里云、腾讯云、AWS、Azure 的安全配置自动扫描
- 合规基线:CIS Benchmark、等保 2.0、GDPR 的云资源配置合规检查
- 错误配置检测:OSS Bucket 公开访问、安全组全放通、RDS 公网访问
- 自动修复:部分错误配置支持一键自动修复
2. 云工作负载保护(CWPP)
- 主机安全:云主机的漏洞管理、入侵检测、文件完整性监控
- 容器安全:镜像扫描、运行时安全、容器逃逸检测
- 无服务器安全(Serverless):函数代码扫描、权限最小化检查
- 微隔离:东西向流量的可视化与策略控制
3. K8s 安全
- 集群安全配置:API Server、etcd、kubelet 的安全配置检查
- RBAC 权限审计:过度授权的 ServiceAccount、ClusterRole 检测
- 网络策略分析:Pod 之间的网络访问关系可视化
- 运行时安全:Pod 中的异常进程、异常网络连接、敏感文件访问
4. 镜像安全
- 镜像扫描:基础镜像、应用层、依赖包逐层漏洞扫描
- 镜像仓库集成:Harbor、ACR、ECR 的镜像自动扫描
- 镜像签名与可信:只有签名验证通过的镜像才能部署
- 镜像溯源:运行中的容器→对应的镜像→Dockerfile→Git 提交
5. CIEM(云基础设施授权管理)
- 多云 IAM 审计:阿里云 RAM、AWS IAM、腾讯云 CAM 的权限审计
- 过度授权检测:拥有所有资源权限的账号、长期未使用的权限
- 权限使用分析:哪些权限实际被使用了?哪些是僵尸权限?
- 最小权限建议:根据实际使用情况推荐最小权限策略
6. 安全左移
- IaC 安全扫描:Terraform、CloudFormation、K8s YAML 中的安全配置检查
- CICD 集成:在构建流水线中嵌入安全检查,不通过不允许部署
- 准入控制(Admission Control):不合规的 Pod 不允许部署到 K8s
- 安全策略即代码(Policy as Code):用 OPA/Rego 编写安全策略