1、下一代云安全，探索从代码到云的云上统一安全探真科技2023年12月1日云应用安全挑战解决方案总结和展望代码到云的智能化目录Content云应用安全挑战生成式AI助推应用市场快速发展安全团队在开发速度与确保应用程序安全速度之间的差距中挣扎人工智能对未来经济影响巨大2030-13万亿美元AI copilot提升应用开发速度65%应用迭代速度更快云应用安全挑战攻击者利用AI导致威胁更频繁安全团队需要不断创新来应对新威胁网络攻击门槛进一步降低更多的攻击工具层出不穷更容易利用漏洞业务云基础设施代码订单商品目录vmcontainerserverless云应用安全挑战在应用生命周期中安全风险倍增云环境的复杂

2、性放大了一个组件的漏洞风险组件运行时云基础设施代码云应用安全挑战点对点的安全产品导致告警难以处理点对点的安全产品导致大量无关联的告警无法区分真实威胁和虚假告警scaiacsastiastvulnearbility managementcspmciemcwpwaascdr代码到云的智能化代码到云智能化把应用从开发环境到运行时环境连接在一起，将警报置于丰富的上下文中，优先考虑最重要的问题，并提供有效预防和阻止风险的措施。统一的应用防护平台提供丰富上下文的平台探真-代码到云的解决方案统一的应用防护平台贯穿应用生命周期cspm云上安全防护容器安全防护平台网络微隔离CDRPowered By Tenso

3、rsecurity构建Structure运行Working交付Deliver供应链安全运行时安全仓库代码Pod1.PodnNode1ATT&CK威胁检测Pod1.PodnNode1CI流水线镜像构建扫描及阻断云安全态势感知资产发现可视化合规基线集群安全系统管理事件关联、处置蜜罐主动防御自适应免疫防御CI镜像构建镜像仓库镜像可信分发镜像部署上线阻断镜像仓库安全扫描微隔离容器安全-云原生全生命周期能力覆盖Powered By Tensorsecurity常规的镜像扫描器针对海量镜像扫描耗费大量资源及时间，如何避免？探真分布式镜像扫描器支持万级别流水线接入，秒级别完成扫描-零摩擦技术特点代码buil

4、d镜像镜像内容分析检测漏洞敏感文件威胁情报中心生产仓库容器安全-为流水线设计的分布式镜像扫描器Powered By Tensorsecurity镜像仓库Warehouse镜像仓库扫描器Scanner探真管理控制台Console业界领先的仓库镜像安全，全自动化扫描与管理，可视化界面。支持企业复杂环境，多环境，多机房，多级仓库，支持数十万镜像扫描与管理。系统软件漏洞扫描软件制品（Java,go,node.）依赖漏洞扫描敏感文件识别扫描器能力异常环境变量不合规软件不允许的开源许可主流编程语言主流第三方框架扫描策略自定义镜像仓库支持Docker RegistryHarbor V1/V2Huawei-S

5、WR阿里云-ACKJFrog扫描器支持水平扩展平均4秒扫描一个镜像容器安全-业界领先的镜像安全扫描能力Powered By Tensorsecurity恶意镜像泛滥，如何管控公司内部员工从不可信的渠道拉取镜像？网上下载的镜像非法上传的镜像非授权渠道的镜像拥有合法签名的镜像开发镜像构建镜像仓库平台导入签名密钥容器安全-可信镜像安全分发Powered By TensorsecurityATT&CK 威胁检测通过规则库匹配，使用 eBPF/Kernel Module 实时监控、分析容器运行时状态发现容器内、容器主机及容器网络异常。云原生主动防御采用云原生蜜罐技术，容器环境放置诱捕容器，对网络攻击行为

6、诱导，阻止或延缓其对业务容器的攻击。已知威胁未知威胁AND自适应免疫防御通过容器的不可变性，在容器节点上扫描镜像层级(Layer)生成其包含的二进制可执行文件的特征白名单。在运行时阶段自动学习资源的行为画像，构建其行为基线，检测画像外的异常行为。文件读写、命令执行可执行文件、系统调用容器安全-运行时威胁检测Powered By Tensorsecurity优势特点基于容器不可变性探真事件关联分析分布式扫描器镜像本地基层存储Linux KernelK8s Node探真管理控制台基于容器不可变性容器安全-自适应免疫防御-1Powered By TensorsecurityCSPM-解决方案架构检测

7、对象数据收集资产元信息快照Datalake云资产管理告警管理数据安全AI赋能配置合规能力中心层资产清点资产更新资产管理行为告警配置告警威胁狩猎数据泄露检测敏感数据检测恶意文件检测修复优先级分析合规配置检测合规标准管理应用Security Graph风险报告多云管理k8sVMware异常修复建议威胁关联分析自定义策略最佳实践DataBaseVPCPowered By TensorsecurityCSPM-核心能力对云上资产的配置、漏洞、敏感信息及恶意程序等威胁和风险进行监测发现将云环境的基础信息和业务信息关联结合，以可视化的呈现方式，帮助用户快速发现并定位问题通过对云上不同服务进行脚本化编排，自

8、动化地发现云环境中关注的已知问题，并按照预期方式对问题进行修复处理。根据AK/SK，自动对云上资产进行持续性清点更新，实现多云环境下资产管理。支持等保2.0二级、等保2.0三级、HIPAA、PCI等一系列合规标准进行合规检查利用大模型对丰富的上下文进行学习，快速提供修复优先级推荐，帮助用户迅速聚焦高风险问题，提升运营效率。Powered By TensorsecurityCSPM-核心应用场景：云合规安全检测、配置错误检查对象存储 OSS 所有 Bucket 权限不能设置为公共读写、公共读CDN未使用 HTTPS 协议MySQL 的 TCP 端口 4333 或 3306 对公众开放安全检测规则

9、库EKS集群配置为使用KMS对Kubernetes未加密Elasticsearch 的 TCP 端口 9200 对公众开放Docker端口2375或2376是否对公众开放EC2未使用 SSH 密钥对登录对象存储 OSS 所有 Bucket 权限不能设置为公共读写、公共读CDN未使用 HTTPS 协议MySQL 的 TCP 端口 4333 或 3306 对公众开放云上资产检测报告EKS集群配置为使用KMS对Kubernetes未加密Elasticsearch 的 TCP 端口 9200 对公众开放Docker 端口 2375 和 2376 对公众开放EC2未使用 SSH 密钥对登录安全检测Pow

10、ered By TensorsecurityCSPM-AI智能对话助手加持，人人都是安全运维专家利用大模型对丰富的上下文进行学习，快速提供修复优先级推荐，让用户能迅速聚焦高风险问题，辅助用户进行修复决策，提升运营效率。Powered By Tensorsecurity网 络 微 隔离面向有大规模网络内部安全管理需求；有多云、混合云业务架构统一网络管理需求；容器网络、主机容器混合访问流量管控需求的客户。具备自动化标识 业 务 资产、业务脆弱性集中管控、细粒度网络隔离等多种安全能力。全网业务流量关系，自动化构建面向业务的微隔离策略，智能化推荐实时威胁告警，可视化告警无策略、未执行策略、网络风暴配置

11、问题，自动化发现智能化的的隔离策略构建跨地域的多云、混合云业务场景下，统一的微隔离策略覆盖度分析策略应用看板、流量关系看板、流量阻断看板、容器业务看板无策略、未执行策略、网络风暴配置问题，自动化发现爆破行为、端口扫描等横向潜伏渗透的前期嗅探行为发现可视化的隔离效果分析细粒度网络隔离动态多变的云环境、容器环境下，复杂业务系统的应用级网络隔离跨中心统一管控针对多云、混合云等大规模集群虚拟化系统执行统一的安全策略微隔离-基于身份ID的细粒度微隔离Powered By Tensorsecurity自动响应处置安全左移自动告警阻断流水线，自动告警阻断资源部署支持入侵攻击告警阻断，如漏洞利用、暴露破解、端

12、口扫描等支持后渗透攻击告警阻断，如勒索攻击、挖矿、异常登录、本地提权、反弹shell、后门程序等丰富的处置方案，如网络隔离，进程查杀、进行行为阻断。多维度的规则化触发式强制阻断或隔离，以满足在诸如：护网、应 急 响 应、病毒爆发等场景下自动化响应处置的需要，做到风险 暴 露 面的快速收敛和对攻击威胁扩散的有效限制。CDR-可扩展自动响应等安全能力，实现安全闭环具备丰富上下文的平台特征三：全方位的安全视图cve-xxx漏洞代码部署commit版本制品运行时工作负载将安全堆栈与诸多参数相互关联，包括配置错误、漏洞、曝露、身份，以及敏感数据。通过分析相关警报的组合，安全视图提供了有关形成攻击路径的洞察力总结与展望代码到云的智能化是一种范式转变，是一种全面的方法，承诺重新定义组织如何保护其应用程序和云环境。它连接了应用程序风险、安全信号和整个应用程序生命周期中的运行环境这些至关重要的要素，提供可操作的上下文。代码到云智能代表了下一代云安全的方向。