CLOUD NATIVE SECURITY PLATFORM

01 公司介绍

⾏业认可 | 业务覆盖 | 产品体系 | ⻘藤蜂巢

⻘藤云安全（以下简称⻘藤）

成⽴于2014年8⽉，总部位于北京。

在北京、武汉设有研发中⼼，结合20多家省直属

机构，专注于主机安全领域的创新型科技公司。

员⼯600余⼈，其中技术团队410余⼈。为政府、

⾦融、运营商、能源、交通、教育、医疗以及企

业等⾏业⽤户，提供最前沿安全产品、全⽅位安

全解决⽅案和安全运营体系服务。

⻘藤-中国⾃适应安全开创者

开放透明、只争第⼀、追求效率、我

就是⻘藤

价值观

为新技术提供新安全

使 命

让安全之光照亮互联⽹的每个⻆落

愿 景

平安集团、腾讯云、三⼤运营商成为

战略合作伙伴

7年 5轮 融资，总融资⾦额 11.6亿，

包括有红点、红杉、GGV、宽带等知名投资

基⾦

国内唯⼀连续5年⼊选Gartner的CWPP市场指

南和ICT成熟度曲线报告的公司

赛迪顾问在其发布的《中国云主机安全市场研究

报告（2021）》中指出，⻘藤在云主机市场占

有率第⼀

中央政府采购

全国信息安全标准化技术委员会

（TC260）WG5和WG7成员单位

占有率第⼀

战略合作 信安标委

中国信息安全测评中⼼颁发

EAL3+级信息技术产品安全测评证书

(CNITSEC2018PRD0835)

EAL3+

融资第⼀ 国内唯⼀

市场认可

占有率第⼀

15W+

6,000,000+

1000+

97.18%

>1亿

覆盖⾦融、政企、互联⽹、运营商等多⾏业

业务覆盖

⻘藤万相

主机⾃适应安全平台

安全服务

渗透测试 重⼤活动保障

应急响应 量化评估

产品创新

技术积累

安全服务

⻘藤蜂巢

容器安全平台

⻘藤猎鹰

威胁狩猎平台

⻘藤鹊桥

⾃动化编排响应平台

⻘藤雷⽕

Webshell检测平台

核⼼产品

产品体系

蜂巢·云原⽣安全平台

历经4年打磨，产品

覆盖云原⽣全⽣命周

期安全，持续稳定可

靠运⾏

2021

正式发布⻘藤蜂巢容器安全平台

2019

开始研发容器安全

产品

2018 业务覆盖字节、中国移

动、上交所、吉利汽⻋等

标杆客户

2020

成熟产品

标准定制

⾏业认可

⻘藤蜂巢-市场认可

⻘藤蜂巢-客户案例

国央企 ⾦融 互⾦ 互联⽹ 互联⽹+ 运营商

02 云原⽣安全挑战

云原⽣安全挑战 | 容器⻛险 | 镜像⻛险 | 编排⻛险 | 传统⼿段的不⾜

云原⽣的安全挑战

云原⽣是以容器、微服务、DevOps、不可变的基础设施等技术为基础建⽴的⼀套云技术产品体系。这种颠覆性技术发展的同时，

也带来了对安全的诸多挑战。

CONTAINERS MICROSERVICES

DEVOPS CONTINUOUS

DELIVERY

技术挑战

组织挑战

CONTAINERIZED APPLICATION

新技术，新挑战

OBJECT

STOREAGE

CACHING

DATABASE

Registry

WEB

WEB

SERVER

APP

新的技术引⼊了新的安全防护对象，也带来了新的安全挑战

Foundational

Kubernetes

Host

镜像⻛险

微服务⻛险

运⾏⻛险

基础设施⻛险

⽹络安全⻛险

恶意程序 软件漏洞 敏感信息

不安全配置 仓库漏洞 不可信镜像

微服务漏洞 微服务越权 微服务框架漏洞

容器逃逸 反弹Shell 病毒⽊⻢

⽆⽂件攻击

未授权访问 K8S权限提升漏洞 开启匿名账号登录

K8s攻击

集群内横向移动 越权攻击

Attacker Root 权限运⾏容器 Node

容器⻛险

与物理机、虚拟机、云主机等环境⼀样，基于业务的⼊侵⼿段在容器环境中依然有效。

上传⼀个 webshell 获取容器控制权 获取宿主机操作权限 容器逃逸 控制更多其他容器

容器逃逸

容器的「逃逸问题」，直接影响到了承载容器的底层基础设施的保密性、完整性和可⽤性

Docker Engine

宿主机操作系统

APP

硬件层

APP ⽤户层： 即不同的容器（运⾏时环境），如容器挂载Docker Socket，Privileged特权容器

服务层： 即容器引擎docker，如CVE-2019-5736 runC严重漏洞导致容器逃逸

系统层： 宿主机的操作系统，如CVE-2016-5195 Linux内核脏⽜漏洞导致容器逃逸

Mount

/var/run/docker.

socket

举例：危险配置、危险挂载导致的容器逃逸

• privileged特权模式运⾏的容器

• 容器挂载Docker Socket的情况

• 容器挂载宿主机procfs、mnt等

Docker daemon

Unix socket

/var/run/docker.sock

创建新容器 Mount 根⽬录

APP APP APP APP APP

镜像⻛险

镜像管理⻛险

•

•

镜像安全⻛险

•

•

仓库安全问题

•

Update

Image Register

IMG IMG IMG

Pull

Push

Pull

Pull

Pull

Launch

Launch

Launch

Container

Container

Container

Advertise images

Scenario of vulnerability spread

编排⻛险

集群环境引⼊了k8s编排作为基础设施，新的基础设施带来了新的攻击⼿段。

新的攻击⽬标

l CVE-2019-5736

l CVE-2016-5195

l 恶意挂载

l 特权利⽤

l CVE-2021-30465

l CVE-2020-15257

Web渗透 本地提权 容器探测 容器逃逸 控制集群 隐蔽持久化

l SUID find命令

l cron定时任务

l ⽂件上传

l 命令执⾏

l 反向连接

…

l ps查看进程数

l .dockerenv⽂件

l /proc/1/cgroup⽂件

l API Server未授权访问

l CVE-2018-1002105

l Kubelet 10250端⼝未授权

l ⾼权限的ClusterRole

l SA、secret敏感信息窃取

l Docker in Docker

l K8s影⼦ API server攻击

l ⽆⽂件攻击

新的脆弱⾯ 新的攻击⼿段

⽹络⻛险

k8s中的⽹络是⼀个平⾯⽹络，默认情况下，k8s中的资源不会被⾃动隔离，资源之间可以随意相互访问。

ETCD / MasterNode / Dashboard / Image Registry…

Kubernetes API Server

⼊⼝ Pod ⼊⼝容器

相邻 Pod 相邻容器

Node A

其他 Pod 其他容器

其他Node

Server BS

横向移动⽅式

1、通过应⽤攻击容器

2、通过容器攻击其他容器

3、通过容器攻击宿主机

4、通过容器攻击集群

微服务⻛险

Database

传统架构

Use Interface

微服务架构

Database Database Database Database

Business Logic

Data Access Layer

Use Interface

microservice

microservice microservice microservice microservice

微服务引起暴露⾯增加 服务认证授权机制不当 微服务框架漏洞

随着微服务的增多，暴露的端⼝数量也急剧

增加，进⽽扩⼤了攻击⾯

微服务间的相互认证授权机制更为复杂，⼈为因素导致

认证授权配置错误成为了⼀⼤未知⻛险

微服务治理框架采⽤了⼤量开源组件，⽐如Spring

Cloud、Dubbo等，会引⼊框架⾃身的漏洞以及开源

治理的⻛险。

新的安全组织模式

云原⽣的技术框架背后是对组织协作⽅式的变⾰，从组织责任边界(交维边界)，产品迭代(开发模式)，业务设计(应⽤架构)到 数

据中⼼基础设施(运⾏平台)都产⽣了影响

组织

流程

技术

Software factory

DEV SEC OPS

Mission Application Team

DevSecOps Admin Team

Deployment,

Operations &

Monitoring

Tools

Production

Environment

Operations

Build Test Release & Deliver

Develop

Planning

Tools

Planning

Requirements,

Project Plan, etc.

DevSevOps Ecosystem

Plan

Deploy

Operate Monitor

•

•

•

•

•

•

•

•

•

传统安全防护⼿段的不⾜

传统安全防护⽅法，⽆法深⼊识别到容器中安全问题。

防⽕墙

容器内东⻄向的流量暴增，⽽传统

防⽕墙主要是为了南北向业务模型

设计的，⽆法细粒度管理到容器环

境如此海量和复杂的业务。

终端安全

传统的终端安全产品仅仅对OS⼀

层有效，⽆法深⼊识别容器内的安

全问题。

漏洞扫描

容器镜像分层存储，传统的漏洞扫

描仅仅在OS和⽹络进⾏扫描，⽆

法对容器镜像进⾏扫描。

安全管理

DevOps模式下，流程全⾃动化，

安全由谁发起，安全如何⾃动化管

控，均给企业安全管理带来了极⼤

的挑战。

03 蜂巢·云原⽣安全解决⽅案

产品架构 | 安全左移解决⽅案 | 镜像安全 | 运⾏时安全 | 微隔离

安全开发

•

•

•

安全测试

•

•

•

•

•

安全管控

•

•

•

•

安全运营

•

•

•

•

“⼀个体系、两个⽅向、四个环节”

产品理念

PLAN

CODE DEPLOY

OPERATE

MONITOR

RELEASE

TEST

BUILD

DEV

BUILD TIME

OPS

RUN TIME

上线即安全（安全左移）+ ⾃适应安全（持续监控&响应）

SEC

产品功能架构

蜂巢提供覆盖容器全⽣命周期的⼀站式容器安全解决⽅案，实现了容器安全预测、防御、检测和响应的安全闭环。

CI/CD Registry

Host

Orchestration

Containers CaaS

镜像扫描 运⾏环境安全 运⾏时安全 合规基线 容器审计

资产清点 蜂巢

微服务安全 微隔离

⽹络可视化

安全左移解决⽅案

安全左移的核⼼是做安全管理，在实际落地的时候通过在软件⽣产过程中进⾏安全卡点来实现，同时还要以“准⼊”和“准出”来

进⾏安全管控。

IDE

Git

开发环境

CODE

构建过程

Build Image

推送到仓库

Developer

基础镜像

阻断

安全

Dockerfile配置检查

Yaml配置检查

镜像安全扫描

测试仓库

⾃动化测试

容器应⽤漏洞扫描

容器弱⼝令扫描

合规性检查

推送到仓库

安全

测试环境

准⼊

⾃动化部署

⽣产仓库

⽣产环境

持续扫描和监控⼯作负载

准出

阻断

镜像安全检查

X86、ARM 架构镜像全栈适配

• ⽀持 Oracle、Fedora、OpenSUSE、Ubuntu、Debian、Photon OS、

Alpine等主流镜像OS，同时X86/ARM架构全栈适配

镜像安全问题全⽅位检测

• 5w+ 的安全补丁库，提供有价值、可修复的安全漏洞

• 四⼤应⽤组件漏洞，python、nodejs、ruby、php

• 五⼤检测引擎，发现镜像中的病毒、挖矿、web后⻔

• 深⼊发现镜像中的敏感信息，如ssh-key、环境变量中的⽤户密码

镜像合规检查，规范镜像构建过程

• 镜像是否使⽤root⽤户、镜像tag命名是否规范、是否缺少健康检

• 开源license使⽤是否合规

• 是否使⽤了不允许的软件应⽤

• 识别基础镜像，发现未使⽤基础镜像构建的业务镜像

蜂巢镜像检查 vs 开源扫描器

!"# $%&' ()*+ ,-./ 0123 4567 89:; <=>? @ABC D289 Dockerfile

EFGH

IJ89

KL

MN

Trivy

Anchore

Engine

Clair

Quay

Microscanner

Docker

Hub

相⽐开源扫描，蜂巢的镜像检测能⼒更深⼊、覆盖功能更全。

安全集成

蜂巢提供将安全检查的能⼒以API、插件的形式集成到⽣产流程中去，打破开发运维和安全的⼈员之间的信息差。

Jenkins集成 Harbor集成

开发⼈员还能在CI⼯具中查看镜像检查报告 运维⼈员能在仓库中查看镜像检查报告

容器运⾏⻛险

通过对运⾏的容器进⾏检查，发现镜像中运⾏的应⽤漏洞、应⽤弱⼝令等问题。

唯⼀⼀个 针对运⾏态的容器进⾏⻛险检查

l 使⽤POC⽅式，对容器应⽤是否存在漏洞进⾏验证；

⽀持apache、Shiro、weblogic、FastJSON、java等

多类应⽤。

l 使⽤⽆损检测⽅式，对mysql、redis、weblogic等⼗

多种容器应⽤进⾏弱⼝令检测。

独家

动态安全检查

Host

镜像仓库

容器运⾏环境

静态安全检查

IMG

POC 版本对⽐ 弱⼝令

POC

安全左移-基础设施安全

覆盖docker、k8s等共30+⾼危漏洞

K8s未授权访问漏洞、Docker runc容器逃逸漏洞（CVE-2021-30465）、

Harbor接⼝未授权访问漏洞（CVE-2020-29662）

⽀持对集群组件进⾏安全检测

包括master api、kubelet、docker、runc、containerd、harbor等集群组件

容器漏洞研究分析⼲货⼗⾜

针对每⼀个漏洞，特别是逃逸漏洞，我们的漏洞研究包括详细的漏洞复现、

原理说明、poc、修复建议等。⽤户可以根据此漏洞分析全⽅⾯学习了解该

漏洞是否容易利⽤、是否危险，是否在企业环境中存在，以此来评估企业⾯

对此漏洞问题的处理对策。

微服务安全

原⽣的微服务扫描器

• ⾃动梳理和发现微服务

• 对微服务进⾏⾃动扫描

• 内置 100+ 检查规则和payload，包括

owasp top 10 漏洞

单体应⽤拆分成多个微服务导致端⼝数量暴增，攻击⾯⼤幅增加，连锁攻破⻛险较⾼。因此，我们需要在安全测试阶段，对微

服务进⾏漏洞扫描，发现微服务漏洞、修复漏洞、阻⽌⻛险传播。

返回测试结果

扫描指定service

蜂巢服务端

安全测试

下发扫描结果

上报扫描结果

Service A

Service B

微服务扫描组件 Service C

Cluster-link

合规基线

构建基于CIS Benchmark的最佳安全操作实践检查，帮助企业完善&实施容器合规规范。

150+检查项、集群对象全覆盖

基线任务式管理，⼀键下发

基线规则灵活⾃定义

能够覆盖集群内全部的检查对象：包括k8s master、k8s

worker、docker engine、container、image、集群资源对象

⽀持对基线模版、基线检查项进⾏⾃定义，以满⾜不同⾏

业、不同企业多样化的管理规范

基线采⽤任务检查⽅式，⽤户可灵活针对不同检查对象、不

同业务系统设置灵活的检查任务，以适应复杂的企业环境

镜像运⾏控制

允许⽤户⾃定义规则，阻⽌不符合安全要求的镜像运⾏。

• 禁⽌镜像中存在⽊⻢病毒

• 阻⽌存在特定软件漏洞的镜像

• 阻⽌存在特定软件版本的镜像

• 阻⽌⾮可信镜像

• 阻⽌存在泄密的镜像

• 阻⽌以root⽤户运⾏的镜像

！ 任务构建失败

！ 镜像运⾏失败

以“⼯作负载”进⾏持续的监控和分析为核⼼，来完成运⾏时的安全闭环

• 资产清点

• ⻛险检测

• ⼊侵检测

• 安全响应

• 微隔离

• 安全策略

• 溯源分析

• 威胁狩猎

运⾏时的⾃适应安全

Continuous

Monitoring

and Analytics

可视化⼯作负载

运⾏时层⾯：梳理云原⽣环境⼯作负载，帮助安全⼈员了解运⾏的容器、容器内运⾏的web应⽤、数据库应⽤等

⽹络层⾯：可视化⼯作负载间的访问关系，进⼀步了解业务之间的调⽤关系

梳理⼯作负载内运⾏应⽤ 可视化⽹络关系

主机 REGISTRY

容器 镜像

WEB 应⽤ WEB 框架 WEB 站点

软件应⽤ 数据库 WEB 服务

KUBERETES

资产可视化

清楚的梳理业务中有多少个集群，集群中有多少命名空间和控制器，运

⾏了多少容器，是由什么镜像运⾏起来的，容器具体跑了哪些进程，监

听了哪些端⼝。遇到⼊侵事件的时候，能够很清晰的知道失陷位置，以

及可能覆盖的影响范围。

资产⽴体化呈现，清晰了解⻛险影响范围 通过梳理资产，进⾏软件治理

通过对运⾏的哪些应⽤、中间件以及数据库的进⾏清点，发现其

安装路径，版本信息和配置情况，形成清晰的应⽤资产台账，更

好地去落地应⽤的治理。

镜像 容器

Pod

Deployment

Cluster

Namespace

资产可视化

资产⾃动化盘点

监控各类资产变化事件，实时上报容器资产

资产实时上报

持续监控资产变化，实时上报，确保资产与实际环境⼀致⽆偏差

覆盖资产种类全

覆盖k8s、容器、容器内应⽤3⼤类⼯作负载，15类资产类型，⽀持

1500+业务应⽤识别

资产识别粒度细

对每类资产进⾏了深⼊分析，获取资产相关的各项⾼价值的安全数

据。例如web站点，深⼊识别站点类型、域名、⽤户、站点⽬录等

信息

⽹络关系可视化

化繁为简，真正从业务视⻆展现访问关系，更⽅便运维/安全理解。

weaveScope 视⻆-杂乱的业务关系

⽹络关系可视化

化繁为简，真正从业务视⻆展现访问关系，更⽅便运维/安全理解。

蜂巢视⻆-清晰的业务关系

微隔离

蜂巢的微隔离策略，是原⽣⾃适应容器多变的环境的。通过对访问关系的梳理和学习，提供⾃适应的、⾃迁移的、⾃维护的⽹

络隔离策略，帮助⽤户快捷、安全地落地容器微隔离

提供业务视⻆的⽹络拓扑关系

• 基于实际业务的⼯作负载可视化展示容器间的访问⾏为

覆盖各种云原⽣场景的隔离策略

• 集群内⽹络隔离：可设置基于namespace、label、

congtroller、IP/CIDR的隔离策略

• 集群间⽹络隔离：可设置基于集群与⾮容器集群，集群与外

部⽹络之间的隔离策略

• 纯容器场景的隔离策略

提供“告警”模式，让⽤户放⼼设置策略

• 针对⼯作负载提供“仅告警”业务模式，不下发实际的隔离策

略。⽽是模拟下发的情况，当发现偏离策略的⾏为则进⾏告

警提示。

未知威胁

漏洞利⽤

容器逃逸

K8S恶意命令

反弹Shell

Websbelll

病毒检测

⼊侵事件

异常检测

恶意⾏为检测

已知威胁检测

对容器内进程、⽹络等⾏为进⾏学习建⽴模型，从

⽽发现异常⼊侵

基于对恶意⾏为模式的定义，对容器及编排

⼯具内的⿊客攻击⾏为进⾏实时检测

对容器内的⽂件、代码、脚本

等进⾏已知特征的检测

⼊侵检测

采⽤多锚点的分析⽅法，实时检测容器中的已知威胁、恶意⾏为、异常事件

⼊侵检测-已知威胁检测

利⽤⻘藤五⼤检测引擎，实时发现容器中的病毒、挖矿、webshell等已知威胁

搭载⻘藤⾃研发的Webshell检测引擎，不依赖正则匹

配，⽽是通过把复杂的变形和 混淆回归成等价最简形

式，然后根据AI推理发现Webshell中存在的可疑内容

雷⽕·AI-Webshell 检测引擎

结合多个杀毒引擎，查杀率⾼，对多种病毒⽊⻢程序都

能进⾏检测。其中由⻘藤⾃主研发的杀毒引擎，对挖矿

⽊⻢、蠕⾍病毒、⿊客⼯具等都能进⾏有效的检测。

病毒⽊⻢多检测引擎

动静检测结合

精准识破变形 即插即⽤ ⽆需⻓期训练

⽀持PHP\\JSP\\JSPX等多种类型

⼊侵检测-恶意⾏为检测

提供多锚点的基于⾏为的检测能⼒，能够实时、准确地感知⼊侵事件，发现失陷容器。

容

器

⼊

侵

场

景

提权 （如利⽤脏⽜漏洞）

安装恶意后⻔

端⼝扫描

……

Web RCE检测

暴⼒破解检测

web后⻔检测 反弹shell检测

利⽤ web 漏洞发起远程攻击 上传 Webshell

发起反弹获取容器控制权

对安装了SSH 的容器进⾏爆破，以获取容器控制权

通过docker、k8s 未授权访问下载恶意容器

容器逃逸检测

敏感⽬录访问

……

⼊侵检测-异常检测

容器运⾏时的⾏为模式相对固定，蜂巢通过对其进程、⽹络、⽂件⾏为进⾏学习、建⽴稳定的容器模型，进⽽针对不符合模型

内的⾏为进⾏监控告警，从⽽发现未知的⼊侵威胁。

我们根据同⼀个命名空间下的镜像为维度，建⽴模型，这样模型不会随

着容器漂移和消亡，依然能继承和应⽤同⼀镜像的模型。

以镜像维度建⽴模型，原⽣适应容器环境

针对发现的异常⾏为，提供标记、处理、加⼊模型三种⽅式，可及时阻断

异常或纠正误报、完善模型。

提供多种异常处理⽅式

进程

⽂件

⽹络连接

异常⽂件写⼊

蜂巢 业务模型

不符合模型

异常进程启动

异常访问

⽣成

恶意⾏为处理

完善模型

阻断进程

阻断容器

…

安全响应

检测到异常⼊侵事件之后，对于失陷容器，提供快速进⾏安全响应，把损失降到最低。

控制容器

• 隔离容

• 暂停容器

• 杀容器

控制容器内⾏为

• 阻断进程

• 隔离⽂件

• 封禁IP

控制容器的⽹络访问

• 不允许有问题的⼯作负载

进⾏访问和被访问

安全体系联动

实现云原⽣安全与其他安全产品的联动 , 建设全⽅位⼀体的安全体系。

Console

Alerting

SIEM

CMDB

IAM/ldap

syslog

邮件系统对接

资产API

⽤户管理API

l ⼊侵事件syslog

l 容器内进程启动⽇志

l K8s API⽇志

蜂巢Server

容器内进程启动⽇志 K8S api ⽇志

安全体系联动-容器⽇志

蜂巢可以作为云原⽣环境的抓⼿，收集集群中的各类⾏为数据，并提供数据⽅便对接到客户分析平台。

全⾃动化、细粒度的对⼯作

负载进⾏分析，并可视化⼯

作负载之间的⽹络访问⾏

为。

提供多锚点的基于⾏为的检

测能⼒，能够实时、准确地

感知⼊侵事件，并快速进⾏

安全响应处理。

能集成到企业的DevOps流

程中，实现覆盖容器全⽣命

周期的安全⻛险管理。

能实现与企业安全体系联

动，以实现信息共享，协同

作战。

看得清 管得了 防得住 能融合

云原⽣安全要求

04 部署与集成

产品部署⽅案 | Agent运⾏机制 | 产品集成 | 我们的优势

产品部署⽅案

Adapter

Scan-worker CI/CD Jenkins 插件

Alerting

API

IAM

Console

蜂巢检测引擎

Container runtime

Host OS

Metal / VM / laaS

Cluster-link

KUBERNETES 集群

T-Sec 反病毒引擎

雷⽕引擎

⻘藤⾃研病毒引擎

蜂巢SERVER

Container runtime

Host OS +

Metal / VM / laaS

Cluster-link

Agent

KUBERNETES 集群

Agent 运⾏机制

稳定可靠

蜂巢的Agent是基于⻘藤的万相的agent体系上构建，该架构体系下的Agent已在200万+业务服务器上稳定运⾏实践过，可靠性⾼达99.98%

⽆驱动、⾮侵⼊式运⾏

蜂巢Agent不采⽤任何驱动，是⾮侵⼊式的运⾏⽅式，不会对系统造成影响

运⾏性能消耗低

蜂巢Agent性能消耗低，正常运⾏时，仅消耗单核10%的CPU、低于100M内存；最⼤消耗也仅占单核50%的CPU、低于500M内存

业务繁忙时，优先保障业务运⾏

当Agent负载过⾼时，Agent会主动降级或者重启，给业务运⾏让出资源，优先保障业务运⾏

安全

蜂巢Agent与服务端通信采⽤加密传输，保障数据安全；同时Agent本身⽆任务暴露端⼝，⽆法被外部访问

蜂巢Agent，是⼀个轻量级Agent，经过 1,000,000+ 台服务器的稳定运⾏实践，可靠性达99.98%。