获取更多信息

服务热线：400-188-9287

官网：www.qingteng.cn

总部地址：北京市海淀区创业路8号群英科技园1号楼5层&6层

青藤蜂巢｜上线即安全，完全自适应

www.qingteng.cn

云原生安全平台

首个荣获网络安全卓越验证中心&泰尔实验室双认证

首个通过“可信云容器安全解决方案”评测最高级认证

唯一入选“2021年度云原生技术创新产品”

荣获2021云安全守卫者计划优秀案例

01 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 02

安全研究

《容器安全指南及解决方案》

《容器安全成熟度验证标准》

扫描二维码，查看更多安全研究内容

230

自研代码

万行

50,000 +

最大客户安装Agent数量

年

研发容器安全产品

5

99.9999

Agent稳定性高达

%

1

正常运行时仅消耗单核

%CPU

<40M

正常运行时仅消耗单核

内存

03 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 04

安全挑战

数字化时代，政府、运营商、金融、互联网、生产制造业等众多行业不同程度的将业务进行云化。但仅简单的进

行虚拟化形态的转变，并不能解决传统应用升级缓慢、架构臃肿、无法快速迭代等问题。云原生技术（容器、微

服务、DevOps、Kubernetes等）凭借其敏捷性、可靠性、高弹性、易扩展、持续更新等优势快速兴起。

云原生背景

新形态需要新安全，传统安全防护手段在云原生场景下已然失效。

传统安全防护失效

云原生技术

Kubernetes

容器

DevOps

微服务

防火墙

无法细粒度管理容器环境中海量

东西向流量和复杂业务 终端安全

仅对OS一层有效，无法深入识别

容器内安全问题

安全管理

DevOps下实现全自动化安全管

漏洞扫描 控是极大挑战

传统漏扫仅支持OS/网络层扫描，

无法扫描分层存储的容器镜像

云原生安全挑战

组织挑战 云原生组织协作方式发生变革，云原生采用 DevOps 进行快速开发迭代和持续交付。

交维界面 从开发、测试、运维、生产各司其职 向多部门协作DevOps模式转变

从瀑布式流程交付 向小规模、频繁的交付模式转变

从单体应用 向高内聚、松耦合的微服务架构转变

从数据中心、虚拟机、云平台 向容器云、Serverless服务转变

开发模式

应用架构

运行平台

技术挑战 容器以及容器云逐渐成为工作负载的主流，新技术引入了全新的安全风险。

恶意程序、软件漏洞、敏感信息、不安全配置、仓库漏洞、不可信镜像

微服务漏洞、微服务越权、微服务框架漏洞

容器逃逸、反弹Shell、病毒木马、无文件攻击

未授权访问、K8S权限提升漏洞、开启匿名账号登录、K8S攻击

集群内横向移动、越权攻击

镜像风险

微服务风险

运行风险

基础设施风险

网络安全风险

05 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 06

安全理念 产品概述

产品介绍

青藤蜂巢·云原生安全平台⸺是由青藤自主研发的云原生安全平台，能够很好集成到云原生复杂多变的环

境中，如Kubernetes、PaaS云平台、OpenShift、Jenkins、Harbor、JFrog等。通过提供覆盖容器全生命周期

的一站式容器安全解决方案，青藤蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

产品架构

青藤蜂巢核心架构理念：上线即安全，完全自适应

产品架构由三部分构成：Agent安全探针、Server安全引擎、Web控制中心

青藤“一二四”云原生安全框架，在实战化思想下创新而来，遵循1个体系（DevOps)，聚焦2个方向（DEV-Build

time、OPS-Run time)，立足4个环节（安全开发、安全测试、安全管理、安全运营），覆盖云原生安全整个生命

周期。

SEC

上线即安全（安全左移）+完全自适应（持续监控&响应）

在开发阶段（Dev）

实施“安全左移”，确保上线即安全

在运行阶段（Ops）

实施“持续监控&响应”，确保自适应安全

RELEASE

PLAN

DEV

BUILD TIME

OPS

RUN TIME

CODE

TEST

DEPLOY

MONITOR

BUILD

OPERATE

安全开发

威胁建模

SCA

SAST

安全测试

镜像安全

AST

安全验证

渗透测试

合规检查

安全管控

资产清点

风险检测

WAF/RASP

微隔离

安全运营

入侵检测

安全响应

威胁狩猎

溯源分析

Agent

编排工具

CI/CD

镜像仓库

Console

Docker合规

Console

实时监控

30% 20%

API

Alerting

IAM

AVIRA

雷火引擎

青藤自研病毒引擎

T-Sec 反病毒引擎

ClamAV®

蜂巢·检测引擎

APP APP APP APP

Agent Container runtime

Host OS

HOST/ VM / IaaS

APP APP

Container runtime

Host OS

HOST/ VM / IaaS

GitHub

MESOS

Kubernetes

OPENSHIFT

HARBOR

GitLab

“一个体系、两个方向、四个环节”

功能架构

07 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 08

基于云原生安全体系，青藤蜂巢·云原生安全平台的产品架构如下。蜂巢产品主要从安全左移和运行时安全

两个阶段，在容器全生命周期过程中，提供原生的、融合的安全能力。

产品功能

安全左移的核心是安全管理，在应用上线前的早期阶段定位安全问题，在实际落地中通过软件生产过程中安

全检查的卡点来实现，以“准入”+“准出”进行安全管控。

安全左移方案

落地安全左移

在开发环节，确保构建的镜像符合安全规定，镜像即可“准入”到测试环节

在测试环节，确保镜像运行后应用的安全测试正常，镜像即可“准出”发布上线

CI/CD

Host

Kubernetes

蜂巢

Registry

镜像扫描 合规基线 微隔离 容器审计

资产清点 网络可视化

微服务安全 运行风险 运行时安全

Orchestration

Containers CaaS

基础设施安全

镜像安全

使用无害poc方式进行漏洞验证，支持ssh、tomcat等应用弱口令进行无损检测

覆盖Docker、K8S等30+高危漏洞，支持Master API、Kubelet、Docker集群

组件安全检测

合规基线 基于 CIS Benchmark 的 Docker和Kubernetes 基准要求，涵盖多版本主

流操作系统、Web 应用、数据库等

安全问题全方位检测，x86、ARM 架构镜像全栈适配

安全集成 安全检查能力以API、插件的形式集成到生产流程中

容器动态安全检查

微服务安全 自动梳理/发现微服务、自动扫描微服务、内置100+检查规则

安全集群环境

统一安全管理

安全组件库 黄金镜像库

CODE DEV

SAST

SCA

代码提交控制 镜像构建控制

CODE REPO DEV REGISTRY TEST REGISTRY PRO REGISTRY Production

Environment

编排文件检查

镜像扫描

Web漏洞检查

IAST/DAST

漏洞POC/弱口令

应用合规基线

镜像发布控制

DEV BUILD SEC TEST

部署一致性验证

镜像扫描、

yaml检查

镜像启动控制

OPS DEPLOY

安全

依赖

安全

管理

安全

控制点

安

全

工

作

流

DevSecOps

09 青藤蜂巢｜上线即安全，完全自适应

覆盖容器应用程序全生命周期(Build、Ship、Run)安全，及时发现镜像安全问题并进行指导修复。

安全左移方案

镜像安全检查

安装组件

Agent、

Scanner-worker、

CI插件

处理

恢复建议和镜像阻断

配置管理

镜像仓库配置，防护

插件管理，规则、基础

镜像、受信镜像设置

扫描检测

扫描构建镜像、仓库

镜像、宿主机镜像

分析告警

分析是否存在补丁、

漏洞、病毒、敏感信

息、非法镜像

镜像安全问题全方位检测

5w+安全补丁库，有价值、可修复的安全漏洞

四大应用组件漏洞，Python、Nodejs、Ruby、Php

安全补丁：

组件漏洞：

木马病毒： 五大检测引擎，发现镜像中的病毒、挖矿、Web后门

敏感信息： 深入发现敏感信息（SSH-Key、环境变量中用户密码等）

镜像合规检查，规范镜像构建过程

Root、Tag命名规范性，健康检查

license使用合规性

构建文件检查：

开源license检查：

软件应用检查： 检查不允许的软件应用

基础镜像识别： 发现未使用基础镜像构建的业务镜像

X86、ARM 架构镜像全栈适配

支持 Oracle、Fedora、OpenSUSE、Ubuntu、Debian、Photon OS、Alpine

支持X86、ARM架构全栈适配

蜂巢基于自适应安全理念，针对容器的运行时安全，以工作负载为核心，进行持续监控和响应，完成安全闭环。

运行时安全方案

持续监控&响应

青藤蜂巢｜上线即安全，完全自适应 10

摸清家底，理清系

统脆弱点

系统加固，下发安

全策略，阻断恶意

入侵行为

持续监控运行时

环境，实时发现恶

意行为，进行响应

处理

恶意行为溯源分

析，找到薄弱点进

行修补

微隔离

安全策略

入侵检测

安全响应

资产清点

风险检测

溯源分析

威胁狩猎

策略

持续合规

持续

监控分析

态势调整

策略执行

态势监控

态势调整

发现需求

自适应策略

监控使用情况

管理使用情况

预测感知

防御处置

持续监控

快速响应

运行时安全方案

资产清点与可视化

·资产清点·

自动化构建细粒度资产信息，支持业务层资产精准识别和动态感知，消除资产盲点。蜂巢支持基础资产、应用

资产、Kubernetes资产、Web资产等资产清点功能。

·资产可视化·

监控各类资产变化事件，实时上报容器资产

持续监控资产变化，实时上报

资产自动化盘点：

资产实时上报：

资产种类全： Kubernetes、容器、容器内应用3大类工作负载，15类资产类型，1500+业务应用识别

资产识别粒度细： 深入分析资产，获取资产各项高价值安全数据

镜像 容器 POD Deployment Namespace Cluster

数据库 WEB应用

WEB站点 系统安装包 框架语言包

软件应用 WEB服务

WEB框架

容器 镜像 主机 REGISTRY

Kubernetes

11 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 12

“自适应、自迁移、自维护”网络隔离策略。

运行时安全方案

微隔离

云原生场景的隔离策略

集群内网络隔离：支持设置基于租户、Namespace、Label、Controller、IP/CIDR、镜像隔离策略

集群间网络隔离：支持设置集群与集群、集群与非集群间隔离策略

纯容器场景隔离策略

2

云原生的网络环境

适配underlay、overlay、vxlan、macvlan、ovs等诸多网络架构 3

告警模式，安全设置策略

模拟下发隔离策略，对偏离策略行为实施告警 4

业务视角的网络拓扑关系

基于实际业务的工作负载可视化，展示容器间访问行为 1

13 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 14

DevOps工具链插件式融合

通过Clusterlink组件，获取集群资产，与集群进行集成，实现多集

群管理

提供CI集成插件，实现DevOps镜像扫描能力

开放&融合 无缝集成云原生系统，提供多种数据对接方式与其他安全产品实

现数据联动

多集群统一管理

多租户体系原生适配 支持适配容器云租户体系，不同业务系统可查看管理范围内数据

运行时安全方案

入侵检测

建立模型

业务上线，系统自动

建立模型并记录容器

内行为

投入监测

将学习完成的模型投

入监测

监控异常

监控容器实时行为，

告警违反模型的行为

处理告警

分析告警行为，处理

方式：加入模型、标记

告警、处理容器

检测到入侵事件后，对失陷容器，蜂巢可实现快速安全响应，把损失

降到最低

安全响应

Console

Console

API

Alerting

IAM 雷火引擎 AVIRA

青藤自研病毒引擎

T-Sec 反病毒

引擎

ClamAV®

蜂巢·检测引擎

Jenkins插件

GitHub

CI/CD

Scanner-worker

Adapter

HARBOR

Kubernetes集群

Cluster-link 容器 容器 容器

Host OS

Metal / VM / laaS

Container runtime

Kubernetes集群

Cluster-link 容器 容器 容器 容器

Container runtime

Metal / VM / laaS

Agent Host OS

蜂巢Server

部署方案

已知威胁

实时已知特征检测：容器内文件、

代码、脚本等 恶意行为

基于恶意行为模式定义，实时并

持续性检测容器、编排工具内的

攻击行为

未知威胁

容器进程行为、网络行为、文件行为的监控/学习，建立容器行为模型，分析异常偏离行为，

发现未知入侵威胁

·安全响应·

15 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 16

产品优势与服务客户 应用案例

产品优势

服务客户

完整的

覆盖容器全生命周期，实现业务

上线即安全

安全的

230万行自研代码，均经过严格

SDL审核 原生的

云原生化部署，业务功能设计贴

合云原生特点

先进的

自动化、可视化网络拓扑展示，融

合企业环境的安全左移解决方

案，精准先进的入侵检测

已覆盖国央企、金融、运营商、互联网等100+头部客户

金融

解决方案

通过使用蜂巢产品，对该银行的Docker和K8S编

排工具进行合规性检查，包括容器安全配置的各

个方面。同时，自动进行周期性检测，生成规范化

的报表，可视化基线检查结果，对每一个检查项都

有清晰检查详情和代码级修复建议，满足监管要

求。通过审计日志记录所有容器内发生的事件、事

件类型、操作的用户和时间，追溯日常操作，对安

全事件分等级进行响应。

建设价值

通过自行修复不合规项，实时识

别和防止违规行为的发生，确保

该银行的云原生应用满足安全

监管的合规要求。

某银行运行着6000多个容器，100多个移动银行和在线支付的关键应用，

存在大量敏感的数据。银行的安全，不仅要满足国家和金融行业强监管的

合规要求，也要做到完全可视、安全控制。

现状需求

17 青藤蜂巢｜上线即安全，完全自适应 青藤蜂巢｜上线即安全，完全自适应 18

应用案例

运营商

应用案例

解决方案

通 过 蜂 巢 的 超 融 合 部 署 模 式，覆 盖 L i n u x 和

Windows操作系统全部服务器，实现一个服务端，

一个Agent，同时防护主机和容器安全。细粒度、自

动化、持续性的清点业务资产信息，包括数据库应

用、运行应用、Web应用等，可视化容器内资产的

访问关系，全部资产关联关系一目了然。

建设价值

通过青藤蜂巢有效提升了资产

的识别能力，通过资产信息采集

和分析，快速完成资产核查，很

好地掌握了资产的变化，消除资

产盲点，支持该运营商数以万计

的互联网业务运转。

某运营商在全省拥有10多个市分公司和60多个县（市）分公司，部分业务

存储于主机，部分业务存储于容器，导致主机、容器内的资产信息不明，且

有Linux和Windows两种不同的操作系统，安全落后于业务，导致业务运

行缓慢。

现状需求

互联网

解决方案

通过青藤蜂巢，在镜像构建时就对镜像进行扫描，

在检测到漏洞、错误配置、威胁等问题时会通过蜂

巢控制台向操作管理员进行提示。同时，也支持扫

描镜像仓库和节点镜像。在集群中启动新容器时，

按计划、按需进行镜像扫描，及时返回漏洞数据，

直观、完整查看扫描结果。在运行时安全阶段，自

动检测正在运行的容器，对容器任何操作执行最

低权限要求，确保镜像不变性。

建设价值

相较于传统扫描工具流程，过去

需要用将近1小时的漏洞扫描缩

减为6分钟，效率提升10倍，误

报率明显降低，实现降本增效。

某互联网企业，专注于智能终端产品研发，部署了超过130,000个容器。

企业业务体量巨大，可用的容器镜像数量呈现指数级增长，单月从镜像仓

库中拉取镜像的最高峰值更是达到18,000次。镜像安全问题值得重视。

现状需求