云工作负载保护平台 (CWPP)

只需单击几下即可监控多云架构中的运行时保护,并访问实时警报、合规性状态和资产覆盖范围。掌控您的集群和命名空间安全。

安排演示

eBPF – 行业标准工作负载保护

多云漏洞

CWPP 确保在混合、多云环境中保持一致的可见性和控制力,从而减轻与不同服务器工作负载相关的漏洞。

应用程序 Pod 漏洞

AccuKnox 的 CWPP 利用 KubeArmor 并防止潜在的漏洞,防止攻击者访问应用程序 pod 并尝试远程执行代码。

检测并响应模型挑战

与其他运行时安全引擎不同,由于攻击缓解得太晚,它们会给人一种虚假的安全感,而由 AccuKnox 创建的 KubeArmor 可以对零日攻击进行内联缓解。

现代化工作负载保护

AccuKnox 的 CWPP 中的 eBPF 和 BPF LSM 提供了现代化工作负载保护,无需更改内核源代码,在提供增强的安全性的同时保持了用户友好的界面。

一体化CNAPP平台
整合分散工具链

基于代理的低入侵CWPP平台

强化应用程序、实施零信任、确保安全弹性

  • 我们的 CWPP 基于符合 NIST 指南和 Gartner 推荐的零信任原则。
  • 我们预测、调整并提供主动补救措施以防止云攻击。
  • 保护您的工作负载
  • 自动生成零信任策略
  • 支持自定义且精细化的策略控制(观察/审计、执行)
  • 零误报,减少警报疲劳
  • 基于 MITRE、NIST、CIS、PCIDSS 的加固策略

独特的 CWPP 产品

结合主动安全、内联修复和内核功能有效扩展的先进技术,为云工作负载保护树立新标准。

应用程序行为

  • 发现运行在公有云、私有云、本地环境(虚拟机/裸机)或 Kubernetes 和容器化环境中的工作负载行为。
  • AccuKnox 根据应用程序可观察性自动检测并推荐行为策略。
  • 明确规定文件系统、进程和网络的访问权限。

应用微分段

  • 基于 Pod 级隔离实现微分段,提供精细化控制与应用感知策略。
  • 检测需要网络访问的具体进程并进行谨慎的白名单配置。
  • 从 CNI(类型无关)中提取网络信息,构建 L3、L4 和 L7 层的理解。
  • 通过隔离工作负载,防止横向移动和未经授权的访问,确保工作负载安全。

应用强化

  • 提供基于行业领先合规框架(如 CIS、MITRE、NIST-800-53 和 STIGs)的现成强化策略。
  • 通过基于阻止的建议减少攻击面,保障工作负载安全。
  • 集群自动推荐,可自定义调整。
  • 使用内联缓解方法阻止所有违规行为。
  • 支持微调和创建个性化策略。

网络微分段

  • 帮助发现运行在公有云、私有云、本地虚拟机/裸机或 Kubernetes 编排及未编排的纯容器化集群中的工作负载应用行为。
  • 基于应用可观测性自动检测并推荐行为策略。
  • 明确文件系统、进程和网络的访问权限。

零信任在工作负载安全中的主要用例

自动发现零信任策略

根据标准合规性框架自动生成强化策略。我们的系统能够根据常见的合规性框架(例如 MITRE、NIST、PCI-DSS 和 CIS)建议强化策略。

自定义零信任策略

使用策略编辑器工具个性化策略创建。

内联修复

通过内联补救措施确保应用程序正常运行时间和零信任状态,通过制定强大的声明性策略,可以针对 APT 漏洞和 log4j 等运行时攻击执行内联补救措施。这种方法有助于维持应用程序的正常运行时间和零信任状态,确保其持续受到保护。

网络微分段

隔离工作负载和限制流量以防止恶意横向移动的过程变得简单。为了防止恶意横向移动,隔离工作负载和限制流量的能力非常重要。

深受全球创新者的信赖

FAQs

产品常见问题与回答

AccuKnox CWPP 在最低可能的粒度级别提供微分段,这也是 Kubernetes 中最小的执行单元,即 pod。

我们的 CWPP 解决方案可帮助您识别来自 pod 的进程执行请求、pod 尝试在内部或外部建立的网络连接以及 pod 正在访问的系统。

通过观察特定 pod 的行为并限制该行为,以使其按照预期的流程/事件/流量流程运行,人们可以通过创建白名单策略并审核/拒绝其他所有内容来制定最不宽松的安全态势。

KubeArmor 是针对 Kubernetes 和云原生应用程序的安全解决方案,可帮助保护您的工作负载免受攻击和威胁。

通过提供一套基于行业领先的合规性和攻击框架(如 CIS、MITRE、NIST-800-53、STIG 和 30 多种合规性)的强化策略。

这些政策旨在帮助您以符合这些框架和推荐的最佳实践的方式保护您的工作负载。

Accuknox CWPP 解决方案提供了一个发现引擎代理,可以评估您的工作负载的安全态势并自动发现将工作负载置于最不宽松模式所需的策略集。

我们的 CWPP 工具还提供了一个共享信息代理,它收集有关集群的信息,例如 pod、节点、命名空间等。

策略发现引擎使用由共享信息代理传递的工作负载和集群信息来发现策略。

AccuKnox 支持:

  • SaaS、PaaS、IaaS
  • AWS、GCP、Azure
  • Kubernetes – 完全支持
  • 无服务器 – 支持 Fargate 和 ECS

使用 AccuKnox,您可以设置对资产或资产组的监控,以便在观察到其元数据(软件版本等)的变化时收到警报。

我们的漂移检测功能本质上是在监控扫描之间发生变化的合规性检查(通过/失败)。

我们收集 KubeArmor 和 Cilium 生成的警报和遥测数据。这些警报是我们 CWPP 产品的一部分。这些警报是针对违反/遵守政策的事件生成的。

对于这些警报,也可以通过 Slack、电子邮件等渠道启用通知。

提供零信任安全解决方案
来保护私有云和公共云

立即试用