核心特性
多引擎、灵活策略、开箱即用
云原生
遵循 Kubernetes Operator 设计模式,用户可通过操作 CRD API 对特定工作负载进行安全加固。
多引擎
提供 AppArmor、BPF、Seccomp、NetworkProxy 四种 enforcer,支持单独或组合使用,对容器的文件访问、进程执行、网络外联、系统调用等进行访问控制。
网络代理
通过 Envoy Sidecar 透明拦截容器出站流量,支持 L4/L7/TLS SNI 访问控制、审计日志和策略动态更新,无需重启 Pod。
AI Agent 防护
为 AI Agent 工作负载提供纵深防御——从系统调用到网络协议实施访问控制,有效缓解提示词注入诱��导的工具滥用和数据外泄风险。
默认放行
只有显式声明的行为会被阻断,从而有效减少性能损失并增强易用性。
默认拒绝
实施白名单策略,仅允许显式许可的行为执行,为敏感工作负载提供最强安全保障。
内置规则
提供一系列开箱即用的内置规则,无需专业的安全配置知识即可使用。
行为建模
支持对工作负载进行行为建模,自动生成白名单策略,指导配置遵循最小权限原则。
架构
vArmor 如何保护你的工作负载
vArmor 主要由 Manager 和 Agent 两个组件组成。Manager 负责响应和管理策略对象,Agent 负责管理节点上的 enforcer 和 profile。
vArmor 还支持 NetworkProxy enforcer,通过 mutation webhook 向目标 Pod 注入 Envoy sidecar 代理和 init 容器。Init 容器通过 iptables 规则将出站流量重定向到 Envoy sidecar,后者根据 Manager 生成并通过 ConfigMap 下发的策略执行 L4/L7 访问控制。
用户可以通过 VarmorPolicy 或 VarmorClusterPolicy 对象加固特定工作负载,并决定使用哪些 enforcer 和规则。ArmorProfile CR 作为内部接口用于 profile 管理。
快速开始
几分钟内完成部署
1. 拉取 Chart
helm pull oci://elkeid-ap-southeast-1.cr.volces.com/varmor/varmor --version 0.10.0
2. 安装
helm install varmor varmor-0.10.0.tgz --namespace varmor --create-namespace --set image.registry="elkeid-ap-southeast-1.cr.volces.com"
社区
加入 vArmor 社区