科创中国

行业领域

电子信息技术,信息安全技术

需求背景

目前行业内产品普遍以监控为主，缺少阻断能力。安全的根本是阻断，无论多完善的监控，也无法替代有效的阻断。因Docker容器的公共性质，导致容器安全参差不齐，很多带有病毒的容器，在企业环境中传播，造成企业服务或企业数据瘫痪泄露，导致企业经济损失。

需解决的主要技术难题

①镜像风险：镜像是容器运行的基础，如果不及时更新或从不可靠的来源获取，可能会导致镜像内含漏洞或恶意文件；

②镜像仓库风险：镜像仓库漏洞和管理问题带来自身安全风险；

③集群风险：k8s组件/runtime组件自身可能存在漏洞，或不安全的配置；容器基于进程的隔离，隔离性较弱；因此可能导致非法提权和逃逸攻击；

④容器网络风险：访问控制粒度无法细化，攻击者一旦进入集群，可以相对容易地进行东西向移动；

⑤应用安全：微服务架构的采用使得API数量剧增，暴露面较传统模式大幅度增加。

期望实现的主要技术目标

步骤一：通过Bwins开发的利用***击穿Docker容器和从Docker容器中逃逸的逻辑技术，获取连接到Linux Docker守护进程； 步骤二：通过连接的Docker守护进程到达控制Linux系统中Docker服务的控制权限； 步骤三：通过docker images命令获取当前docker host上所有的镜像，获取所有镜像中安装包版本即系统版本，对比Bwins-client中的系统及软件漏洞信息，将获取到的Docker镜像中所有漏洞扫描结果，进行风险归类上传至Bwins-server； 步骤四：在接受到启动一个Docker镜像命令请求时，Bwins-client将从Bwins-server获取设置的安全威胁分值占比进行计算镜像安全分值； 步骤五：获取设置的安全启动阈值； 步骤六：对比镜像安全分值与设置的安全启动阈值，借助《DockerHost-Bash安全防护方法》中的远程Bash管控机制，进行该镜像的启用或禁用状态操作。 

需求解析

解析单位：“科创中国”创业投资专业科技服务团（北京创业投资协会） 解析时间：2023-06-05

孙爽

高鹄资本

投资经理

综合评价

Bwins容器安全产品结合零信任体系架构，在宿主机管理身份管理、行为授权、容器进程控制等多个组件采用了零信任体系架构。同时也配备丰富的策略机制，最大程度上解决了在生产实践中的核心问题，让零信任不再只是宣传口号。

查看更多>

处理进度