企业动态

    “当容器云成为我们数字基础设施标配之时，前所未有的安全挑战正在集中性爆发！”在2025年实战攻防演习期间，中央某金融企业的网络安全负责人小林看着监控大屏，陷入到沉思之中。

    据介绍，这家金融企业在云计算建设一直走在同行前列，然而其大型系统的容器云集群，就如同一座高速运转的数字蜂巢，每天有成千上万个容器POD在进行数据交换，传统安全设备如同守在城门的卫兵，只能时刻紧盯着城外的动静，对城墙内纵横交错的小巷（东西向流量）却束手无策。然而这些占总流量85%的内部通信，正成为黑客潜伏的绝佳通道。让小林更为担忧的还不仅如此，由于容器在云原生环境中的动态性和短暂性，导致基于传统IP属性无法及时定位及溯源历史变更，想追查它们的“前世今生”难上加难。

    “资产类型纷繁复杂、数量庞大，占比大多数的东西向流量却成了监测盲区，内部流量看不清、出了问题还找不到源头，无法溯源——容器云的安全威胁、资产态势、合规情况及风险分析，每一项都让人头疼。”

    就在前几天，该大型客户就遭遇了一起针对云内容器的攻击事件。所幸的是，天眼容器云威胁监测方案通过“流量+资产+风险”三位一体的能力，完美的解决了这个问题，进一步验证了天眼在攻防实战中的全方位能力。

    事件初期，攻击者通过内部一台已被入侵的虚拟机，向容器集群发起横向渗透，流量传感器通过对容器间通信流量的实时监控和深度解析，迅速发现了这一异常的东西向流量，识别出其中包含的恶意攻击特征；由于容器具有动态性强、生命周期短的特点，在攻击发生时，部分容器已发生了动态伸缩，分析平台通过实时拉取所有资产的当前和历史信息，快速锁定了被攻击目标容器，并梳理出该容器的工作负载、关联的宿主机以及依赖的其他服务，为后续的溯源分析提供了清晰的资产脉络，明确了攻击路径和根源，为后续的安全策略优化提供了有力依据，有效提升了平台在云环境下的安全防护能力。

    在整个过程中，天眼容器云威胁监测方案具备“流量+资产+风险”三位一体的能力，体现得淋漓尽致：

    1.智能流量感知：全维度数据采集，构建安全监测的"神经脉络"，容器云流量采集通过DaemonSetPOD方式将预处理后的流量通过VXLAN隧道发送至传感器平台，真正做到：

    零干扰

    需对vSwitch和Node做任何配置、不监听任何端口。

    全自动

    DaemonSetPOD部署运行，随K8s自动扩展。

    零侵入

    不侵入业务POD，可采集所有业务POD及本Node流量。

    2.动态资产测绘：打造安全管理的"数字孪生"

    云原生环境资产动态变化快，容器秒级创建销毁；资产类型多切复杂，包含有容器，节点，工作负载，服务，POD，命名空间等多种资产类型，安全团队常面临“资产黑洞”问题。天眼容器云安全监测技术通过与云杉平台对接，实时拉取资产信息，快速同步资产信息，构建完整的资产清单，识别告警与资产的关联关系。

    3.精准风险洞察：实现安全风险的"先知先觉"

    容器云环境风险来源多样，结合资产数据精准定位威胁，精准定位风险点，通过云原生流量采集获取目标Pod流量，基于网页漏洞利用、Webshell上传、网络攻击等已知威胁检测，以发现容器中的网络攻击、Webshell攻击等行为，在云原生资产管理能⼒⽀持下，不仅能发现⼊侵，还能够提供详细的⼊侵分析，网络威胁监测还能关联到具体发生威胁的POD，从⽽让⽤户精准有效地解决问题。

    天眼容器云威胁监测方案实现“流量+资产+风险”三位一体的能力，通过容器云流量采集看清东西向流量，发现异常行为；通过对云原生资产资产管理实现动态资产盘点，识别告警与资产的关联关系；网络威胁监测关联到具体发生威胁的POD，为溯源分析提供清晰脉络，精准定位运行时风险，为客户提供更丰富、专业的网络威胁检测、响应、溯源、预警为一体化的解决方案。