Linux Container(简称LXC）容器技术是一种内核轻量级的操作系统层虚拟化技术。Linux Container主要由Namespace和Cgroup两大机制来保证实现。目前最流行的容器化技术是Docker。Docker是在2013年由dotCloud 发起的一个开源项目，使用Go语言进行开发，基于Linux 内核的cgroup、namespace 等技术，对进程进行封装隔离，属于操作系统层面的虚拟化技术。Docker基于LXC的基础上进一步封装，从文件系统、网络互联到进程隔离等等，极大简化了容器的创建和维护，使Docker技术比虚拟机技术更为轻便、快捷。

近年来，容器技术及相关应用得到了国内外越来越多的关注度，研发和应用推广发展势头迅猛，已经形成了较成熟的生态圈。容器技术被广泛接受和使用的同时，容器以及容器运行环境的安全成为了亟待解决的问题。青藤蜂巢·容器安全产品专注于容器安全领域，提供强大的实时监控和响应能力，帮助企业发现和解决风险，保障企业的容器环境安全。

青藤蜂巢·容器安全产品的核心理念，即全生命周期防护及持续的监控与分析，以此保障企业的容器环境安全。

1.全生命周期防护

平台在容器和kubernetes 的安全性方面建立了标准，可在容器应用程序整个生命周期（构建、分发、运行)中保护容器环境安全。

2.持续的监控与分析

持续性监测容器的安全状况，可视化展现企业风险场景。为安全决策者动态展示企业容器环境安全指标变化、安全走势分析，使容器安全清晰可衡量。

运行在底层的【蜂巢】容器安全核心平台架构，是下一代容器安全能力引擎。其插件化的构建方式，不仅具备灵活的扩展能力，同时能实现各功能模块之间无缝联动﹔其分布式的部署方式，能够应对客户大量任务下发和大型攻击来临的海量数据分析处理，并始终保持稳固的性能。

青藤蜂巢·容器安全产品的核心平台架构，主要由Agent，Server，Web三部分构成，为产品服务提供基础、灵活、稳固的核心能力支持。

安装在容器所在宿主机上，Agent 只需一条命令就能在容器宿主机上完成安装，且自动适配各种物理机、虚拟机和云环境。运行稳定、消耗低，能够持续收集容器进程、端口等信息，并实时监控进程调用等行为，还能与Server端通信，执行其下发的任务，主动发现容器中的问题。

Server作为核心平台的信息处理中枢，支持横向扩展分布式部署，能够持续分析检测从各个 Agent上接收到的信息和行为并进行保存，可从各个维度的信息中发现补丁漏洞安全风险和Webshell 写入行为、异常登录行为、异常命令调用行为等异常行为，从而实现对入侵行为实时预警。

以 Web 控制台的形式和用户交互，清晰展示各项安全检测和分析的结果，并对重大威胁进行实时告警，帮助用户更好更快地处理问题，提供集中管理的安全工具，方便用户进行容器相关配置和管理、安全响应等相关操作。

对Agent进行加壳防护，防止被篡改。采用加密传输与服务端通信，保证数据安全。

通过50000+台服务器的运行实践，稳定性高达99.998%·2分钟内离线自动重启机制，保障系统始终处于监测状态。

正常的系统负载情况下，CPU占用率<1%，内存占用<4OM，消耗极低。在系统负载过高时，Agent 会主动降级运行(CPU占用率<1%)，严格限制对系统资源的占用，确保业务系统正常运行。

在企业容器化的转型过程中，对资产“清晰可视，易于查询，实时同步”，已经成为企业在容器安全建设中首先需要解决的问题。 在发生安全事件时，全面及时的资产数据支持，也将大大缩短排查问题的时间周期，减少企业损失。此外，资产信息与补丁、入侵功能协同联动，将帮助用户快速定位问题容器并能够及时查看到容器内的进程、应用详情信息。 自动化构建容器资产相关信息，时刻掌握容器资产变化，使安全不落后于业务。

安全补丁是应对漏洞风险最基础、最有效的办法。但是对于企业来说，进行补丁收集、测试、备份、分发并非易事，甚至补丁本身就有可能成为新的漏洞。 青藤蜂巢·容器安全产品的安全补丁模块主要是为了解决Docker 补丁管理难的问题，通过建立一个智能应用补丁扫描工具，为安全运维人员提供补丁管理、补丁检测以及自动化补丁修复建议。 全生命周期的安全性，涵盖Build、Ship 和 Run环节保证镜像安全。

在资产细粒度清点的基础上，持续、全面、透彻地发现潜在补丁风险。根据多维度的镜像补丁检测和精确的处理建议，帮助用户及时处理风险，限制黑客接触系统、发现漏洞和执行恶意代码，从而大大提高系统的攻击门槛。

持续性监测所有容器的安全状况，图形化展现企业风险场景。为安全决策者动态展示企业安全指标变化、安全走势分析，使安全状况的改进清晰可衡量。为安全运维人员实时展示风险分析结果和风险处理进度，提供专业可视化的风险分析报告，使安全管理人员的工作价值得到可视化呈现。

主动、持续地监控所有主机和远程镜像仓库中镜像安全补丁风险和容器引擎本身补丁风险等，进行风险分析准确定位最急需处理的风险，帮助企业快速有效解决潜在威胁。另外，安全团队持续关注国内外最新安全动态及补丁利用方法，不断推出最新安全补丁的检测能力，实现紧急安全事件快速响应。

快速的扫描方式，较低的性能消耗：青藤蜂巢·容器安全产品的安全补丁扫描过程基于Agent对Server端的数据上报，扫描速度很快且Agent 的处理机制并不会对服务器有过多的性能消耗。补丁数据支持API集成：安全补丁数据提供API接口，用户可结合自身业务情况，获得清点的数据，进行二次开发。

全生命周期的安全性

产品从容器应用的构建、生成、运行角度出发，检测镜像安全性以保证容器应用程序全生命周期的安全性。主要体现在运行中容器镜像检测、远程镜像仓库扫描以及容器引擎本身的补丁检测等产品能力。

持续的补丁检测能力

在CI/CD过程中仅对容器进行一次扫描是不够的，在生产环境中部署容器镜像后可能发现新的CVE和漏洞。青藤蜂巢·容器安全产品持续更新漏洞数据库，并与集群中的容器镜像进行匹配。一旦发现影响正在运行的容器的任何新镜像补丁信息，用户将收到通知，而不必定期重新扫描。

全面的补丁数据呈现

深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，结合系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

灵活快速的检索方式

客户可根据需求灵活的显示列表数据，定义自己的表格显示。系统提供基于安全场景的筛选方式，如支持按CVE编号进行检索等，帮助用户迅速定位镜像和其安全补丁信息。

传统的入侵防护方案能够很好地抵御已知的攻击，但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。青藤蜂巢·容器安全产品将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。 产品结合系统规则，白名单，基准和行为建模来自适应识别运行时容器环境中的威胁。

多锚点的检测能力 多锚点的检测方式指通过多维度的感知网络叠加能力，对攻击路径的每个节点都进行监控，基于入侵事件行为进行检测。支持的入侵事件类型包括:反弹检测、Web后门、本地提权、暴力破解、恶意命令执行。多锚点的检测能力能够帮助用户尽可能多的发现容器环境中可能存在的入侵事件。

通过实时监控登录行为，可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为。

通过对用户进程行为进行实时监控，结合行为的识别方法，及时发现进程的非法Shell 连接操作产生的反弹Shell行为，有效感知“ODay"漏洞利用的行为痕迹，并提供反弹Shell 的详细进程树。

通过自动化地监控关键路径，结合正则库、相似度匹配、沙箱等多种检测方法，实时感知文件变化，从而能够及时发现Web 后门，并对后门影响部分进行清晰标注。

青藤蜂巢·容器安全产品紧跟监管政策，不断推出与等级保护、CIS标准对应的基线。企业可使用合规基线模块，一键自动化进行检测，基于产品提供可视化基线检查结果和代码级的修复建议，用户可以自行修复不合规项以满足监管要求。同时，结合企业个性化应用场景，产品还可为用户提供基线定制开发服务，以快速匹配各行业、各企业安全配置需求。基于CIS Benchmark，为用户提供最佳合规操作实践。

青藤产品运营团队持续关注爆发的各类新型入侵攻击行为、“ODay"漏洞等，第一时间对入侵行为深度剖析建模，将解析后的入侵行为判断规则加入系统规则库中。

通过捕获入侵事件发生前的关联进程事件，深入抓取入侵事件的详细信息，并以可视化的方式展示，帮助用户分析入侵行为的攻击链路和了解整体环境的入侵情况。灵活的入侵告警设置： 用户可对系统上报的告警事件、通知渠道以及告警的接收用户等进行自定义的设置，满足用户对安全事件告警的管理需求。

青藤云安全是国内首家自适应主机安全公司，运用独创的下一代安全技术，为企业提供精准、高效、可扩展的主机安全产品和专业服务;以服务器安全为核心，构建基于业务端的安全联动平台，为用户提供稳固、持续性的安全防护。 中国第一也是唯一入选 Gartner 全球安全市场指南的安全初创公司， B+轮融资获大湾区共同家园领投3亿元人民币。