云工作负载防护

借助 Cortex® Cloud,您可以在整个应用生命周期内确保主机、容器和无服务器部署的安全。
Cloud Workload Protection Platform Hero Front Image

云原生应用程序越来越多地分布在虚拟机、主机、容器、Kubernetes® 和无服务器架构中。对每一种架构独特的安全要求,使得工作负载一致保护成为一项挑战。

跨多云和混合环境保护主机、容器和无服务器

Cortex Cloud 是一个全面的云工作负载保护解决方案,可为云虚拟机、容器和 Kubernetes 应用、无服务器功能以及 AWS Fargate® 任务等容器化产品提供灵活的保护。有了 Cortex Cloud,DevOps 和云基础设施团队就可以采用适合其需求的架构,而不必担心安全性跟不上发布周期或不足以保护各种技术堆栈。
  • 支持公有和私有云
  • 灵活的无代理扫描和基于代理的保护
  • 应用生命周期中集成的安全性
  • 漏洞管理
    漏洞管理
  • 合规性
    合规性
  • CI/CD 安全
    CI/CD 安全
  • 运行时防御
    运行时防御
  • 容器访问控制
    容器访问控制
  • 镜像分析沙盒
    镜像分析沙盒
  • 受信任的映像
    受信任的映像
  • Web 应用及 API 安全
    Web 应用及 API 安全
  • 无代理和基于代理的安全
    无代理和基于代理的安全
解决方案

我们保护云工作负载的方法

漏洞管理

保护云原生应用需要全面了解应用生命周期中的漏洞。Cortex Cloud 可提供集中化视图,帮助在公有云、私有云和内部部署环境中实时为每个主机、容器和无服务器功能的风险进行优先排序。

  • 通过单独的用户界面管理风险

    通过智能风险评分,跨主机操作系统、容器镜像和无服务器功能确定风险优先级。

  • 查看漏洞状态和补救指南

    查看每个 CVE 的详细信息和最新的供应商修复信息,支持所有云原生技术。

  • 警告或防止跨环境的漏洞

    设置精确的策略以提醒或防止易受攻击的组件在您的环境中运行。

  • 在 CI/CD 管道中集成安全性。

    持续监控容器注册表并明确定义可信赖的映像、注册表和存储库。

  • 将数据与现有系统集成

    将漏洞警报集成到常见端点,包括 JIRA®、Slack®、PagerDuty®、Splunk®、Cortex® XSOAR、ServiceNow® 等。

漏洞管理

合规性

云原生应用需要专门构建的控制,以了解合规性状况,并维护动态、短暂基础架构的合规性。Cortex Cloud 可提供主机、容器和无服务器功能合规性状态的实时和历史视图。

  • 从单个解决方案实现合规性

    使用单一仪表盘集中监控合规态势,仪表盘涵盖了主机、容器、无服务器功能以及 Kubernetes 和 Istio®

  • 针对云原生应用使用 400 多种可定制的检查

    涵盖领先的框架,包括 PCI DSS、HIPAA、GDPR 和 NIST SP 800-190,具有预构建的合规性模板。

  • 利用 CIS 基准:

    根据 CIS 基准实施或定制检查,经批准覆盖 AWS®、Docker®、Kubernetes 和 Linux CIS 基准。

  • 确保镜像可信

    使用受信任的镜像以确保应用组件仅源自授权的源。

  • 跨应用程序生命周期集成合规性

    在整个应用程序生命周期中添加合规性检查,以提醒或防止应用中的错误配置进入生产环境。

合规性

CI/CD 安全

为了保护云原生应用的安全,必须在部署之前解决安全问题,并在整个应用生命周期中进行集成。您可以使用一个统一的平台来扩展这些工作,该平台将漏洞扫描和强化检查集成到 CI/CD 工作流中。

  • 关联基础架构和应用风险

    识别代码库中暴露的问题并消除误报,以便更快地确定关键补救措施的优先顺序。

  • 可视化软件供应链

    在整个工程生态系统中创建代码风险和 CI/CD 管道的综合清单。

  • 在开发者工具和中央仪表板中显示扫描结果

    在源位置和聚合视图中查看扫描结果和详细信息。

  • 揭示入侵途径

    理清复杂的关系,帮助识别破坏关键业务资产的途径。

  • 强制执行安全策略以防止构建在管道中向前移动

    在整个应用生命周期中,使用集中的策略精确控制开发管道中的进度。

CI/CD 安全

运行时防御

云原生应用可动态扩展,需要一种现代化、自动化的保护方法,为应用阻止不必要的活动和威胁。有了 Cortex Cloud,无论是在公有云、私有云还是内部部署环境中运行,都能确保主机、容器和无服务器应用程序的安全。

  • 通过单一代理统一保护

    通过单一解决方案提供全面的保护。Cortex Cloud 支持 Linux 和 Windows® 主机、容器和 Kubernetes,以及 PaaS 和无服务器等新兴技术。

  • 自动化安全保护,无需手动操作

    跨流程、文件系统和网络活动自动化基线策略,以实现企业级的安全性。

  • 捕获每个审计或安全事件的详细取证

    在强大的时间轴视图中自动安全地收集取证细节,以实现事件响应。您可以在 Cortex Cloud 中查看数据,也可以将数据发送到其他系统进行深入分析。

  • 防止跨任何环境的活动

    从集中控制台管理运行时策略,以确保安全性始终作为每个部署的一部分。

  • 利用情境丰富的数据为 SOC 团队赋能

    通过将事故映射到 MITRE ATT&CK® 框架,再加上详细的取证和丰富的元数据,消除了 SOC 团队在识别和跟踪短暂云原生工作负载的威胁方面所面临的挑战。

运行时防御

容器访问控制

现代应用需要深入、集成的安全性来保护整个应用堆栈。借助 Cortex Cloud,企业可以利用针对云原生架构优化的安全性。

  • 获得对 Docker 活动的控制

    管理对 Docker 配置、容器、镜像、节点、插件、服务等进行管制的规则,以确保您的环境按您的选择运行。

  • 管理容器的机密内容

    利用与机密管理工具(如 CyberArk® 和 HashiCorp®)的集成,确保您的机密得到妥善管理和保护。

  • 捕获 Kubernetes 审计

    部署专门为云原生技术堆栈构建的安全性。Cortex Cloud 接收 Kubernetes 审核数据并揭露规则,以识别要发出警报的事件。

  • 使用 Open Policy Agent 进行安全部署

    用 Rego 策略语言制定规则,以控制每次部署。

  • 在单个仪表板中查看审核结果

    在单个窗格中显示所有审计警报和活动以进行分析。

容器访问控制

镜像分析沙盒

从外部存储库中安全提取并运行可能包含过时、易受攻击的软件数据包和嵌入式恶意软件的容器映像。借助映像分析沙盒,您可以暴露风险并识别隐藏在软件供应链深处的可疑依赖项,否则静态分析会忽略这些依赖项。

  • 捕获容器的详细运行时配置文件

    通过收集容器在沙盒中运行时发生的进程、网络和文件系统事件,动态扫描沙盒虚拟机中的映像。显示这些事件是为了概述容器在运行时的行为。

  • 评估映像风险

    扫描可疑和异常的容器行为,如恶意软件、加密挖矿程序、端口扫描、经过修改的二进制文件或内核模块修改。

  • 将动态分析纳入工作流程

    通过将镜像分析沙盒集成到 CI/CD 工作流程中,左移容器安全性。

镜像分析沙盒

受信任的映像

并非所有容器映像都享有同等待遇。虽然可以通过外部存储库提取映像,但这会使您容易在最常见的高风险场景下遭到攻击:这些映像可能包含易受攻击的过时软件数据包,并且可能包含嵌入式恶意软件。受信赖的映像是一种安全控件,可让您通过策略声明您信任哪些注册表、存储库和映像,以及在您的环境中启动不受信任的映像时如何响应。

  • 启用针对主要容器风险的关键对策

    定义哪些映像可以在您的环境中运行。指定被认为可信的注册表、存储库和映像。如果运行不受信任的映像,Cortex Cloud 将进行审核、发出警报,还可以阻止容器运行。

  • 建立信任

    通过源点(注册表或存储库)或基础层建立信任。监控主机上所有容器的来源。

受信任的映像

灵活的控制

云工作负载和应用不断发展。企业需要敏捷、集成的控制来确保整个堆栈受到保护。只有 Cortex Cloud 可以灵活地使用无代理和基于代理的保护来满足您的需求。

  • 无代理扫描,轻松获得可视性

    无需部署预防措施或阻截功能即可获得快速可视性。无代理扫描可提供快速评估风险能力,包括已知的 CVE、错误配置和其他安全问题。

  • 基于代理的运行时威胁防护

    统一的代理框架支持纵深防御功能以保护云原生应用。基于代理的保护提供深入的取证可视性和预防策略,以阻截和阻止可疑活动。

  • 统一的控制台和一个策略引擎适用于两种方法

    Cortex Cloud 是业界唯一提供无代理和基于代理安全的解决方案,所有这些都在一个位置进行管理。

灵活的控制

更多云运行时安全功能

AI 驱动的云检测和响应 (CDR)

通过实时保护、检测和响应阻止云攻击。

API 安全

实时发现、剖析和保护 API。

Web 应用安全

在任何公有或私有云原生架构上保护 web 应用程序。

容器和 Kubernetes 安全

从代码到云,借助 Cortex Cloud 保护任何公有云或私有云上的 Kubernetes® 和其他容器平台