某天回家，开门一看发现家里的柜子被人翻了一遍，你意识到家里进小偷了。但这只是给了你线索，其实你并不知道这个人是怎么进来的，也不知道拿走了什么东西，也不清楚是否安装了窃听器和摄像头......

青藤云安全创始人&CEO张福以这样形象的比喻描述现在安全感知能力多能达到的效果，这对于企业安全来说还远远不够。4月25日下午，青藤云安全发布了青藤云安全发布青藤蜂巢·容器安全产品、青藤星池·大数据分析平台两款新产品，以及等保2.0解决方案。其中青藤星池·大数据分析平台主打安全回溯，让企业知道“小偷”是怎么进来的以及拿走了什么东西。

面向未来推容器安全产品

2014年Gartner提出面向下一代的安全体系自适应安全(Adaptive Security)，该理念认为云时代的安全服务应该以持续监控和行为识别为核心引擎，覆盖预测、防御、监控、回溯四个周期，可自适应于不同基础架构和业务变化并形成统一安全策略，才能应对未来更加隐秘、专业的高级攻击，张福将之用在主机这个位置，青藤云安全的产品是关于主机安全。

青藤云安全在产品上追求极致比较克制，2014年成立，2018年才正式发布产品，2016年青藤云安全成为十年来第一家也是唯一一家入选Gartner全球安全市场指南的中国初创公司，与Symantec、McAfee等国际知名安全公司并列，并且一发不可收拾，连续三年入选Gartner全球安全市场指南，与国际安全公司一较高下。

这次一口气推出了两款产品和一个解决方案，也延续了惯有的克制，同时张福也阐述了青藤云安全的产品演进逻辑，一是向深度去，能力变强；二是向闭环走，将自适应安全预测、防御、监控、回溯的闭环不断完善，而由于市场上防御类产品较多，目前青藤云安全不做防御类产品。

比如青藤万相·主机自适应安全平台通过多年的打磨都在向着深度演进，而此次推出的青藤蜂巢·容器安全产品是一个提前布局的产品，已经准备了两年。张福认为目前在中国，越来越多的人想要把现有业务从物理的环境上换到云上，或从云上换成容器的形态，这个迁移的过程和流程需要一定的时间，所以现在容器安全应该算是早期市场。

不过容器市场未来有广阔的前景，根据451 Research 2018年11月对应用容器的市场监测研究，容器应用市场将在2022年创造43亿美元的收入，容器安全市场也将水涨船高。

青藤蜂巢·容器安全产品在技术实现上采用了Agent-Server的技术架构，Agent运行在容器的宿主机上，和Docker daemon跑在同一层。Agent主要做了三件事情，第一是基础信息的获取，通过Docker Engine本身的API来获取容器运行的状态信息，第二是镜像扫描能力，通过Agent能够来扫描主机上镜像的相关信息，第三是对容器的运行状态进行相应的监控，通过对于容器进程进行相应的hook以及监控发现容器运行的相关信息。

张福介绍青藤云安全四年时间的技术积累，80%-90%是可以复用到容器安全产品中，只要适配容器新的形态即可，未来也会把网络侧的分析加进来做成一个比较综合性的产品。与此同时，青藤蜂巢和青藤万相可以相结合为客户提供统一管理服务。

现在容器主要以开源为主，而开源和闭源并不是青藤云安全重要的考虑维度，更看重市场占有率，如果某些商业容器产品发展起来了，也会支持。

安全闭环之难

打造安全闭环不会一蹴而就，是一个长期的事情。

“简单来说自适应安全是一种新的安全理念和框架平台，我们做了四年，实现了自适应安全里面的一个部分，做了这么多的功能，就是为了实现感知能力，感知能力就是指现有的产品能够发现资产、清点资产，发现漏洞、黑客等。”张福如是说。

以前的安全产品如防火墙、WAF、IDS、堡垒机主要是偏防御和加固，这类产品只是尽可能把黑客挡在外面，或者尽可能缩小风险，无法在出事之后完整回溯。一旦被黑，也不知道黑客干了什么，假设在服务器上没有装Agent，连一点回溯可能性都没有，即便是有了Agent，也只是有了回溯的可能性，青藤星池·大数据分析平台基于青藤云安全感知能力、提供的线索，将过程回溯分析出来，要在未来几年里解决回溯问题。

关于溯源张福强调“因为我们有Agent，相当于有摄像头在房间里，可以回放录像，看干了什么，以前的安全相当于守门大爷，即便是大爷发现家里被偷了，报警，问大爷小偷在家里干了什么，他也不知道。”而且不同于其它安全厂商基于流量做溯源，青藤星池·大数据安全平台是基于行为特征来做。

目前青藤星池·大数据安全平台可用来记录攻击者在服务器上的行为，以便后续去进行回溯、还原以及取证。青藤星池·大数据安全平台已支持操作审计日志、网络连接日志、系统登陆日志、账号变更日志、进程启动日志、DNS解析行为日志六种日志的记录。

不仅如此，青藤星池·大数据安全平台已经可以做到基于机器学习的智能化自动分析。打个比方，每一个程序员或者是运维人员，他们输入命令是有个人习惯的，当记录下每一条命令的敲击时间和频率，并进行大数据的机器学习，便可以做行为预测和统一分析。当操作人员换人了，或者说是一个黑客进来了，即便用相同的IP地址、主机名字，但他的键盘敲击习惯与上一个人不同的，通过青藤星池·大数据安全平台，可以做到清晰地预测和感知。

张福表示，通过现有主机安全的日志集中在一起，进行清晰预测和感知，甚至做出阻断是未来安全分析的必备技能。

此外面对即将推出的等保2.0，国内各大安全厂商争相推出解决方案。青藤云安全此次推出的的云等保2.0解决方案主要针对于安全计算环境部分。基于测评机构，监管机构，以及云租户相应的痛点，提供了CWPP（Cloud Workload Protection Platform）产品。主要是通过云工作负载的全面监控，从而解决测评机构和监管机构的难点，以及云租户、云平台合规的诉求。这款产品基本覆盖了通用要求中身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范，以及资源控制六个部分。通用计算会牵扯到虚拟机、虚拟设备、以及业务系统安全，这个产品几乎解决了所有合规的问题。

张福介绍早几年的时候，企业对在核心的服务器上装Agent还有顾虑，从去年开始都开始逐渐接受，从国外的趋势来看主机安全也变越来越重要。他一直强调主机是一个核心的位置，主机安全是一系列的产品，容器安全是其中一个。四年的时间他不断打磨安全感知能力，如今向着溯源、响应的安全闭环前进，可能又是几年的打磨与耕耘。

今年3月份张福在接受T媒体采访时说过接下来的三年是公司的关键期，“三年决定生死，再三年决定了能做多大。”这对于目前在互联网、金融行业积累了一定数量客户，与腾讯云、平安等达成战略合作的青藤云安全来说可能过于言重，但这表达了张福的迫切之情，本次发布的产品和解决方案是其面向未来的一次出击，但于公司发展而言，产品之外，团队、市场的发展节奏也至关重要。

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。