容器运行时的保护（一）| 学习笔记

开发者学堂课程【容器安全与 Palo Alto Networks 解决方案 ：容器运行时的保护（一）】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/628/detail/9878

容器运行时的保护（一）

目录：

一、Runtime 保护

二、由自动生成的 4D 预测运行时模型提供支持

三、取证数据时间轴可让您重播或调查安全事件

四、演示内容

五、代码演示

一、Runtime 保护

自动机器学习以保护您的环境

Runtime Defense 基于自动生成的预测运行时模型来检测正在运行的工作负载和应用程序中的异常，而无需人工千预来创建策略。与其他解决方案不同, Compute 提供了一种使用自动化功能来提供零接触机器学习模式。

利用强大的数据和列入白名单行为的 4D 模型

计算源包括不断更新的恶意软件和 ATP 数据，并根据运行中的容器进行检查以阻止攻击。没有 Runtime 保护 。客户现有的安全解决方案将无法查看正在运行的容器以及针对它们的攻击。

针对容器，主机,无服务的 Runtime 保护

提供了统一的 Defender 框架 ，可跨环境保护您的云本机应用程序。

捕获取证数据以启用事件响应

动将取证数据存储为任何安全事件的部分.井显示事件，终止链和数据时间线以实现无缝事件响应。

//容器运行时，就是基于 runtime 的一个保护，以及做一些演示。runtime 基本上是通过以下四个方面，第一个的话，一直在强调的，是一个自动机器学习的这种方式来保护容器环境。

因为容器的环境，也是反复强调了规模非常大，然后非常的动态环境，那如果不通过机器学习的话，进行手动配置，是一个非常痛苦或者是噩梦般的这样一个体验方式，所以，整个 Twistlock 它的一个很大的一个核心概念，就是希望通过机器学习的方式，来减轻这种安全也好，开发人员的这样一些工作负担。

所以，Twistlock 的话，基于 runtime 的话的保护，也是一个基于自动的机器学习的方式，会来学到整个容器的一个正常的一个工作，形态包括网络的模式，所需要的网络的一些。

东西向的流向也好，南北向的流向会进行学习，同时，对整个容器里面的一些 process，文件系统等等，所谓的叫四季的模型，会建立这样一个整个容器的4D模型来进行工作，不需要有任何的人工来干预，去创建任何的一些策略，只需要打开 runtime 保护，基本上就可以工作了，当然，如果需要特别的去添加一些黑白名单，也是可以。那需要做一些人工的干预，在自动学习到的这个 4D模型，那究竟这4D模型是什么？

会有详细的一个介绍，哪四个方向，其实也有一些容器，去看黑客攻击进来的一些行为，进来了以后，会看到它有一些不断地一些，不同的一些命令也好，不同的方式，想着能够做一些动作，但是，从 lock 里面可以看到，其实所有的行为都被辅导掉了了，因为在进行 runtime 的保护的以后，包括自动学习完了以后，等于把这个容器进行锁定了，任何在允许的这些白名单以外。

它自动学到的这个白名单以外，它自动就会全部捕捞。那所以这也是，整个一个防御的一个理念的一个改变，怎么来针对一这个容器的环境，来进行特定的保护，和传统的做法，有非常大的一个区别。

同时，对 runtime 的保护，也是在 defend 这个框架里面的，也是统一的，对容器主机 serviceless 的这个三个方向，都会进行统一的保护。

另外一个方面，也是很重要的，比较关心的一个方面就是对于一旦发现一些事件以后，怎么能够快速的响应，能够去学到过往的一些日志，进行取证的数据。

那这些取证数据的话，在这个 runtime 这个系列里面，它也会有非常清晰的过去，根据时间线以及这个中指链的这一些数据，进行非常详细的一个过去日志的一个审查报告方便对整个 audit 的团队，提供非常详细的这样一个事件，也帮助这个 securities 的这些工作人员能够快速的去发现问题，去响应这些问题。

二、由自动生成的 4D 预测运行时模型提供支持

机器学习为每个应用程序和流量建立行为模型;从试图防止坏事转变为只允许好事

4D 模型:进程,网络,文件系统和系统调用

//4D 的这个模型，它会通过四个方面，一个是进程，会对整个容器的进程进行学习，以建建立模型，也就是会发现，自动发现有哪些进程是在这个容器里面，是作为一个正常的进程进行运行的。除此之外的话，它会默认的进行过滤。

另外一个方面，就是基于网络，对这个容器里面，专门有一个网络的这样一个配置，也就是说对南北向包括 DNS 的这样一些解析，都有这个会建立一个正常的模型，也可以进行黑名单的这样一个过滤。同时另外一个非常重要的就是文件系统，文件系统的话，比如说黑客黑到容器了以后，需要比如说下载一些文件。

或者手动的在主机上面去创造一些文件，比如说一些恶意的写一些代码，那会对这个文件系统进行读写，这个文件系统，可以把这个容器的文件系统进行锁定，它不能进行任何的写操作，也就这样的话，也就保证了它没有办法去生成一些恶意的代码。

同时，对这个系统的调用，也会进行学习，会看到，有哪些正常的系统调用，包括哪些是恶意的系统调用进行过滤，所以，整个理念也是根据容器的这样一个非常动态的，然后，另外一个方向，就是说每一个容器，它基本上只做非常单一的一件事情，和传统的主机型的传统的虚机也好，主机的也好，这个工作模式是有比较大的不同，它整个是一个微服务的这样一个架构，所以，理念也是阻止坏事变成了我只允许做哪些事情。

这样反而对容器来说，它是更加好好管理，好控制，所以，这也是就是说的就是云原生的这种安全方式，整个从底层的这个设计理念上面就有比较大的一个改变，以来更好地适应这个容器的这样一个环境。