从Aqua看云原生安全

Posted 2021-07-02 航行资本

 “ 

网络安全行业的标的公司研究主要针对海外的信息安全领域上市公司，为您提供深度、多维度的调研。

 ” 

1. Aqua 概况

Aqua成立5年时间，从容器安全入手逐步打造成具有平台级能力的云原生安全厂商，并获得10亿美金估值，成为独角兽公司。

产品创新、突破性的研究、开源社区项目和产品的可扩展性 是Aqua成长并赢得客户信任的重要支柱。Aqua的客户包括财富500强的20%，世界十大银行中的五家，以及在航空航天、媒体、金融服务、酒店、制药、能源、软件、零售、旅游、食品和政府部门的众多机构。

在2020年， Aqua的付费客户数量增加了一倍，现在已经有超过一半的客户的ARR超过100万美元。对于Aqua未来的发展，CEO Dror Davidoff说：“我们将继续创新，为客户提供最佳的安全解决方案，以推动他们正在进行的云转型。”

2.行业背景

2.1 云安全处高速增长期，2021年达百亿美金级市场

云安全（Cloud Security）是利用云架构下的安全策略、技术产品，保障云计算的可用性、保密性、完整性的一种安全防护手段。从完整意义上说，云安全包括两层含义：一是云计算自身的安全，如云计算应用系统及服务安全、云计算用户信息安全等；二是云安全服务，指传统安全产品的SaaS化，如基于云计算的防病毒技术、挂马检测技术等。

当前云计算在各行各业逐渐落地，特别是中小企业广泛采用云安全服务，云安全市场迎来高速增长期。据Gartner调查报告显示，全球云安全服务市场将保持强劲增长势头，2019年达到78亿美元，同比2018年增长14%；预计到2022年，全球云安全服务市场规模将达到近120亿美元，实现16.3%的复合增长，整体增速高于信息安全总体市场。

2.2 容器安全发展

IDC预测，在未来五年，随着中国企业服务器虚拟化渗透率逐渐提高并且趋向于稳定，虚拟化软件市场的增长将逐渐放缓；而云系统软件和容器基础架构软件则维持高增长，逐渐成为助推软件定义计算软件增长的主要动力。特别是近两年被大家关注的容器市场，更是呈现爆发式增长。

伴随着云原生和混合云的热潮，容器是这两年最被市场所关注，发展速度最快的IT领域之一。容器发展之初，使用者大都集中在互联网企业，大多数传统企业还处于探索和评估阶段，或者借助开源版本尝试小范围部署容器。这两年随着技术方向更加的清晰化，容器相关开源社区积极的拓展生态和技术，企业数字化转型对于敏捷架构和创新的需求，以及在企业中出现了越来越多的最佳实践，容器的商业化市场初见雏形。

容器云架构的敏捷、轻简和高度兼容性使得容器成为云原生生态中最基础的一环，无论是混合云/多云的推广还是DevOps、微服务应用的推进，容器都将扮演至关重要的角色，助力企业数字化转型和降本增效。容器作为一种充满活力和可塑性的技术，其未来的应用前景非常可观。随着容器技术的不断发展，容器云将进一步赋能DevOps、微服务、serverless等云原生应用的进步，更好地服务与网络服务、多云管理和边缘计算等场景。

容器的使用同时带来了容器安全的问题，预计全球容器安全市场规模将从2019年的5.68亿美元增长到2024年的21.78亿美元，在预测期间的复合年增长率(CAGR)为30.9%。由于漏洞和网络攻击的增加、大量提供容器平台的开源供应商、微服务的日益普及、企业间的数字转型的增长以及需要遵守监管政策，全球容器安全市场预计将有显著的增长潜力。通过加速容器的使用和弥合开发和操作(DevOps)与信息技术(IT)安全之间的差距，容器安全使企业能够确保其虚拟容器环境从开发到生产的安全。容器安全平台提供了对容器活动的完全可见性，使组织能够检测和防止可疑活动和攻击，提供透明的、自动化的安全性，同时帮助执行策略和简化法规合规性。

在预测期内，北美将保持最大的市场规模。这些国家在研究和发展活动方面投入了大量资金，从而促进了创新技术的发展。北美容器安全市场竞争激烈，美国、加拿大等国家注重研发和创新。这些国家是各个垂直领域技术的早期采用者。美国和加拿大在零售、金融服务、银行和其他行业，如运输和制造业，也是领先的国家。在预测期内，北美将在所有区域的容器安全市场中占有最高的市场份额。

3.Aqua公司历史沿革成长路线

Aqua成长的5年时间，一共经历了4个阶段。

3.1 云容器安全平台

2016年5月18日，Aqua安全宣布公司正式推出Aqua容器安全平台，是当时业界最全面的容器环境安全解决方案。Aqua容器安全平台为组织提供了在任何时候对软件容器的安全性和合规性状态的完全控制，使他们能够获得基于容器的应用程序架构提供的敏捷性、灵活性和效率方面的好处。

2016年6月20日，在推出容器安全平台一个月后，Aqua宣布了其第一套增强措施，将Aqua安全措施添加到CI管道中

2017年2月2日，AquaSecurity发布其容器安全平台(CSP)2.0版本。AquaCSP 2.0具有容器网络流量自动纳米隔离、跨平台机密管理和敏感数据发现等功能。

2018年3月7日，AquaSecurity宣布其平台的3.0版本，该版本采用了一项新的专利的技术，为在公有云容器即服务(CaaS)环境中运行的应用程序提供运行时安全控制，在该环境中用户不需要管理VM或主机。新版本还引入了超过120个附加功能，扩展了公司的端到端容器安全平台的能力，以满足当今多平台企业客户的需求，从保护构建管道和启用DevSecOps，到运行时保护生产工作负载。Aqua 3.0还引入了大量新的kubernetes原生控件，这些控件利用了最近发布的流行编配软件

2018年4月9日，AquaSecurity宣布提供高级合规功能，作为上月Aqua发布的Aqua 3.0的增强。新的合规性特性使开发和运行容器以满足GRC需求的组织更容易，并持续确定其整个应用程序环境的安全性和合规性状态。

3.2 容器化和云原生应用安全平台

2018年4月17日，AquaSecurity宣布与VMware合作，使客户能够保护跨虚拟机和容器部署的应用程序。

3.3 容器化、serverless和云原生应用安全平台

2018年11月13日，AquaSecurity宣布了其云原生安全平台的3.5版，该版本现在保护广泛的云原生技术，包括使用serverless function的应用程序。客户可以部署端到端安全性，以建立跨容器、serverless容器(如AWSFargate)和serverlessfunction(如AWSLambda)的一致策略实施层。

2019年3月4日，AquaSecurity宣布Aqua云原生安全平台4.0版本的可用性，为serverlessfunction和Linux主机引入新的安全和合规控制。随着企业开发和部署基于云本地微服务的应用程序的速度不断加快，Aqua允许安全团队跨基于虚拟机的容器、容器即服务(containers - As - a - service, CaaS)和功能即服务(功能即服务，FaaS)的混合跨多云和本地环境管理和实施安全策略。

3.4 云原生安全领导者

2019年6月18日，AquaSecurity宣布其云原生安全平台(AquaCSP) 4.2版。AquaCSP 4.2引入了创新的Aqua漏洞屏蔽技术，该技术可以检测和防止针对容器中已知漏洞的攻击。

2019年7月30日，AquaSecurity宣布公开发布AquaSecurity的关键云铸造®(PCF)运行时保护。Pivotal平台的用户可以从PivotalServices Marketplace下载并安装Aqua Security for PCF服务，并部署端到端解决方案，用于扫描、应用程序保证和运行时保护他们的应用程序工作负载。

2019年11月12日，AquaSecurity宣布，通过收购CloudSploit，将其扩展到云安全态势管理(CSPM)。CloudSploit基于saas的平台允许客户在几分钟内监控其公有云账户，提供对其整个云资源的可见性，并减少由于错误配置和漏洞造成的威胁。CloudSploit根据行业标准自动管理云安全风险和基准，以确保合规性，并在企业客户中获得了令人印象深刻的采用。

2020年4月22日，AquaSecurity宣布推出Aqua动态威胁分析(DTA)提供基于容器的环境中对只能对运行的容器使用动态分析才能检测到的复杂的恶意软件的保护,并可作为Aqua原生云安全平台(CSP)的一个选项。公司还宣布增强其CSPMSaaS平台(基于2019年收购CloudSploit)，现在包括AquaDTA、镜像漏洞扫描和对云环境的扩展支持。

2020年7月21日，Aqua Security宣布其Aqua平台的两个新版本，以及公司的核心产品的几个更新。Aqua Wave是一个仅提供saas的产品，它提供了一个集成的、易于部署的解决方案，在构建应用程序和部署应用程序的基础设施时保护它们。Aqua Enterprise既提供自托管服务，也提供SaaS服务，它增加了跨当今现代IT环境所使用的技术堆栈在运行时保护工作负载的新功能。

2020年10月27日，AquaSecurity宣布了一套新的Kubernetes原生安全功能，提供了一个整体的方法来保护在Kubernetes上运行的应用程序，跨越应用程序生命周期的开发、部署和运行阶段。该公司还宣布了其云安全态势管理(CSPM)解决方案的重要新特性。这些新功能将集成到Aqua的云原生安全平台中，涵盖了跨容器、虚拟机和serverless function的部署选项。

2021年3月16日，AquaSecurity宣布其原生云安全平台现在可以在Arm®驱动的设备上运行时保护容器和虚拟机(VM)工作负载。这使得Aqua的客户能够利用arm提供的跨云基础设施、edge和物联网平台的主机和设备提供的高密度和成本效益，包括来自亚马逊网络服务(AWS)的AWS Graviton2实例。随着arm在云原生和物联网计算空间中的服务数量的增加，Aqua的客户将继续选择优化其云原生应用程序的成本和性能，同时享受跨所有架构的统一、一致的安全性。

4. 融资历史

Aqua截止目前已进行过6轮融资，最后一轮以10亿美金的估值融资1.35亿美金。

5. 核心产品

Aqua目前的核心产品主要围绕 工作负载防护，基础设施防护和建设流程防护。

5.1 工作负载防护-使用具有即时可见性和实时检测和响应的粒度控制，保护VM、容器和serverless的工作负载

5.1.1 容器安全平台的三大特点：降低风险并保证容器化应用的合规性、减轻供应链攻击和零日攻击、跨平台和格式保护容器

Aqua基于不断更新的漏洞数据聚合源流(CVEs、供应商建议和专有研究)扫描容器镜像，这确保了最新的、广泛的覆盖，同时最大限度地减少误报。此外，发现恶意软件嵌入，OSS许可证和配置问题，进一步减少攻击面。

同时Aqua使用静态和动态扫描的结果创建灵活的镜像保证策略，以确定允许哪些镜像通过管道并在集群或主机中运行。保证策略基于漏洞评分或严重程度、恶意软件严重程度、敏感数据的存在、root权限或超级用户权限的使用等的进行组合。

容器安全平台中的AquavShield是一个独特的补偿控制无法修复的漏洞(或那些难以快速补救)的工具。它充当一个虚拟补丁，防止某个特定漏洞被利用，并提供对这种利用的可见性。在面临大量漏洞的组织中，Aqua vShield有助于降低风险，并有效地确定修复优先级。

平台同时配有基于镜像的数字签名，Aqua通过阻止对运行中的容器更改其原始镜像来增强容器的不可变性。这个特性可以防止大量的攻击，包括零日攻击。额外的运行控制允许检测和阻止可疑行为，如端口扫描，连接到可疑的IP地址，和DDos攻击。

嵌入的Aqua的行为分析使用了先进的机器学习技术来分析容器的行为，创建一个只允许观察的行为和访问的模型。这包括文件访问、网络访问、卷挂载和系统调用使用。减少容器的攻击面，提供了另一层防御。

并且，Aqua通过将容器网络限制为基于应用程序身份和上下文定义的纳米隔离来限制攻击的“爆炸半径”。自动发现网络连接，并获得建议的上下文防火墙规则，允许基于服务身份，url或ip的合法连接。阻止或警告未经授权的网络活动。Aqua工作负载防火墙可以与Weave和Flannel等K8s网络插件以及Istio等服务网络无缝对接。

5.1.2 虚拟机安全平台三大特点：评估云虚拟机配置，确保合规、实时监控和虚拟机保护、防止入侵和保护数据

VM安全平台可获取系统和应用程序配置违规的警报，通过使用内置的和自定义的配置检查为vm定义一个合规性基线，检查对齐不合规性vm的修正步骤。 同时防止指定用户和/或用户组对主机的访问，监视文件和目录的读、写和修改操作，跟踪用户访问、尝试登录和完整命令参数。并且监视和执行Windows注册表中的更改，安全Windows注册表关键字、值和/或路径属性上的选定操作，审计特定的进程和Windows用户。

而且可以获得运行在单一/混合云上的云虚拟机的完全可见性，自动执行基于虚拟机服务的网络防火墙规则，以及IP地址和域名(DNS)和云属性。

5.1.3 Serverless安全平台三大特点：减少来自serverless function的风险、保护AWS Lambda应用程序、集中安全性和合规性

Aqua serverless安全平台允许在构建function时通过扫描function将安全性左移到开发的早期阶段，缩短了安全问题的修复周期。提供了本地插件和CLI工具，可以在Jenkins、Bamboo和AzureDevOps等CI工具中自动扫描。作为构建过程中的一个步骤，开发人员可以在熟悉的环境中查看扫描结果和建议。

Serverless function的一个关键风险是提供过多的权限，这样会造成许潜在的攻击者获得额外资源的访问。Aqua通过标记过度提供的权限，以及监视未使用的权限和角色来防止这种情况的发生，将权限减少到最需要的程度。

通过Aquaserverless安全平台灵活的保护策略，可以根据其安全状况和符合可接受的风险水平设置策略，以确定哪些功能是符合要求的，并授权部署。包括漏洞得分、权限、恶意软件和其他与安全相关的配置问题。 平台同时使用Aqua的小内存、高性能优化和自动部署的NanoEnforcers来保护运行时的功能。Aqua可以阻止代码注入尝试和未经授权的可执行文件，还可以使用嵌入的蜜罐检测漏洞迹象(IoCs)。

5.2 基础设施防护-自动化公有云IaaS和Kubernetes基础设施的合规性和安全性 

5.2.1 Aqua CSPM三大特点：了解不同云账号的风险和合规状况、在配置错误被利用之前修复它们、部署CSPM来增强云原生安全性

Aqua CSPM会获取映射到公有云的互联网安全中心(CIS)基金会基准测试并经其认证的报告，以评估云帐户的安全性并确保合规。 同时通过为选中的检查授予特定的和临时的身份验证访问，选择要自动修复的配置。 工具会在部署应用程序之前，检查 Terraform 和 AWS CloudFormation 模板以了解安全问题。应用 “ 左移 ” 安全性降低生产中的风险和安全事件。支持对 PCI-DSS 、 HIPAA 、 well - structured Framework 、 GDPR 和自定义合规性需求使用现成的扫描和报告。报告可以按地区、云提供商服务类别 ( 例如， AWSEC2 、 AWSS3) 、严重级别等导出为 CSV 或 PDF 。还可以为特定类型的检查和条件构建自己的自定义警报， 实时获得所有云控制平面 API 调用的可见性。根据安全专家创建的开箱即用规则分析事件，以了解安全敏感的更改或潜在的恶意活动，而不需要额外的配置。

Aqua的CSPM产品的核心是基于CloudSploit开源项目。开源提供了对为什么、什么以及如何测试云账户的完全透明性。通过其可扩展的插件架构，用户可以开发新的或更新现有的插件，以满足任何新出现的或客户特定的需求。

5.2.2 K8s集群安全平台三大特点：自动化Kubernetes安全配置和合规性、控制舱部署基于k8s的风险、使用驱动K8s准入控制器的细粒度策略保护整个集群

平台与正在运行的K8s集群的动态地图交互，突出显示并评估Kubernetes的安全风险。获取名称空间、部署、节点(主机)、容器和它们来自的映像的实时可见性，以及名称空间之间和名称空间内部的网络连接。

左移工作负载安全性，并获得工作负载安全性姿态的清晰视图。在Open Policy Agent (OPA)的支持下，新的Kubernetes 保证规则允许应用多个开箱即用的规则或使用Rego表达式添加自定义规则。

根据镜像内容和配置以及Pod属性，控制Kubernetes工作负载的安全状态。配合Aqua的形象保证政策，防止不安全和不合规的工作负载的部署。

根据基于研究的最佳实践，评估K8s中用户和受试者的权限和特权，并获得补救建议，以尽量减少接触。不断减少角色和服务帐户特权配置过度的风险，减少对Kubernetes安全专家的需求。

根据CISKubernetes Benchmark，通过超过100次单独检查、每日扫描和详细的发现报告，自动执行Kubernetes环境的合规性检查。利用Aqua广泛使用的开源Kube-Bench工具。

运行Kubernetes集群的自动渗透测试，识别针对真实攻击向量的弱点。通过防范外部攻击来补充配置检查和最佳实践。利用Aqua行业领先的开源Kube-Hunter工具。

实现对Kubernetes安全事件的可见性，以促进合规性、取证和事件响应。事件日志记录包括各种特定于kubernetes的信息，例如pod名称、类型、部署和名称空间数据、用户访问和容器启动/停止。

使用Aqua基于身份的防火墙在集群内或跨集群执行容器级网络规则。使用它无缝连接K8s网络插件，包括Weave,Calico, Flannel和Contiv。可视化网络连接，自动映射连接，并基于Kubernetes名称空间、集群和部署创建规则。

5.3 建设流程防护-将安全左移，将威胁和漏洞扼杀在萌芽状态，使DevOps能够及早发现问题并快速修复

5.3.1 动态威胁分析-已嵌入不同安全平台产品

Aqua的CyberCenterfeed每天更新，提供广泛的操作系统和编程语言覆盖，应用程序依赖检测，并基于协调多个来源(NVD、供应商建议和Aqua研究)的专有算法减少误报。 扫描 CI 管道中的容器镜像和功能，对违反规则的策略的容器发出警告或失败，向开发人员提供直接和及时的反馈。与 Jenkins 、 Azure DevOps 、 Bamboo 、 GitLab 等原生集成。

持续有效地扫描注册表和功能，以持续看到漏洞和风险态势，应用更新的威胁情报来识别新受影响的包和应用程序。 获取每个漏洞的可操作的补救信息。按照说明在源头进行补救，选择使用 Aqua vShield 进行缓解，或确认漏洞将其补救推迟到指定时间。

全面扫描虚拟机镜像，容器镜像和serverless function的OSS许可问题，隐藏的恶意软件，配置问题，和过度提供的权限。使用Aqua灵活的保证策略，为每个发现工件设置阈值，将其标记为不符合，并阻止它们通过管道进入生产。

5.3.2 漏洞扫描（DTA）三大特点：Aqua DTA直接从注册表和CI管道扫描指定的映像，防止恶意映像被部署到生产环境中，并“向左移动”事件响应

检测明确的泄露(IoCs)指标，如容器转义、反向shell后门、恶意软件、加密货币矿工和代码注入后门，并提供对所有活动的全面跟踪。 Aqua DTA 将检测到的行为分类为 MITREATT@CK 框架的类别，使 SecOps 和取证团队能够看到整个杀伤链，并理解和支持他们的安全基础设施中的弱点。

跟踪并在地图上显示容器和外部目的地(包括文件下载、C&C服务器和数据过滤目的地)之间的所有通信。 通过自动扫描云注册表和映像，增强云安全最佳实践，确保没有恶意或脆弱的工作负载部署到基于云的集群中。

5.3.3平台集成管理

Aqua收集镜像、容器、编排器和主机上的实时颗粒数据，提供作为事件记录的数据流，并可以通过我们的众多集成之一发送到SIEM、分析或监控工具。当违反安全策略时，Aqua会收集所有相关的元数据，包括用户上下文、Kubernetes上下文(名称空间、节点、pod)、镜像和注册表上下文——以确定违反的位置和来源。同时Aqua与堆栈无缝集成，跨云原生生态系统，链接云原生应用程序生命周期的所有阶段使用工具，大大降低用户使用学习成本。

资料来源：Aqua官网，Crunchbase，IDC

voyagers partners

               

免责声明

*本公众号仅作为学习和研究使用，不构成对任何人的投资和建议，您直接或间接基于本公众号内容做出的投资应自行承担风险，航行资本及作者不对此承担任何责任。

*以上信息均为航行资本基于网络公开信息渠道整理，航行资本不为以上信息的真实性、准确性做任何保证。

*本公众号上所转载或引用内容均标注来源及出处，仅代表原作者本人，不代表航行资本立场。转载或引用内容的版权归原作者所有。如涉嫌侵权，请及时联系我们，我们将及时更正或删除有关内容。

*如需转载本深度调研，或对以往调研内容感兴趣，请联系：zhihouchen@voyagers-partners.com。