云原生时代,如何“玩转”容器安全?
来源: 云巴巴 2022-03-31 19:51:02
你可能想象不到,容器技术在企业生产环境中的采用率竟然超过84%?
诞生于20多年前的容器技术,似乎在一夜之间,高歌猛进,迅速进入企业生产环境中,不管是大型企业,还是中小企业,使用率均超过50%。
适应云计算的发展,云原生已经成为加快企业数字化转型的一个不折不扣的风向标,而以容器为代表的云原生技术正在成为释放云价值的最短路径。
从虚拟化到容器技术
容器技术是有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求。从应用和实践的角度来看,容器技术颠覆了应用的开发、交付和运行模式,仅几年便席卷全球。
容器应用之前,云中应用系统多数运行于虚拟机上。
起初在单机时代,硬件购买成本高而且使用率低,当时使用的是主机虚拟化技术。一台物理主机可以被划分为若干个小的机器,每个机器的硬件互不共享,并可以安装各自的操作系统来使用。
随着基于英特尔和AMD的CPU和微软操作系统的x86服务器的出现,以x86架构的硬件虚拟化技术逐渐兴起,可以在不同的虚拟机VM上运行不同的应用,服务器使用率增加。
不过随着用户的需求不断增长,操作系统虚拟化出现了。
操作系统虚拟化,就是由操作系统创建虚拟的系统环境,仿佛在独自占有全部的系统资源,从而实现应用隔离的目的。这种方式中不需要虚拟机,也能够实现应用彼此隔离,操作系统虚拟化就被称为容器(Container)。
容器是云原生的基石之一,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势,而且容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。
正因如此,越来越多的企业选择在生产环境中使用容器架构,根据《中国云原生用户调查报告2020》显示,已经有6成以上的用户在生产环境中运用了容器技术。
然而在使用过程中,由于容器自身的一些缺陷,安全性还是和传统虚拟机存在一些差距,不管是Docker和Kubernetes(K8S),大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。
容器安全带来新挑战
在实现云原生的主要技术中,容器作为支撑应用运行的重要载体,为应用的运行提供了隔离和封装。因此容器的安全与否,直接影响着整个云原生系统的安全性。
不管是特斯拉在亚马逊上的Kubernetes集群被入侵,还是Docker Hub频繁被爆含有漏洞和恶意程序的镜像,都让用户产生了极大的担忧。根据云原生用户调查报告显示,容器的安全问题已成为用户应用云原生的最大担忧,其中63%的用户认为容器安全是紧迫的需求。
常见的容器安全风险主要体现在以下几个方面。
容器逃逸是遇到最多的安全问题。容器逃逸指的是利用虚拟化软件存在的漏洞,攻击者通过容器获取主机权限,可攻击容器所在主机,甚至是该主机上的其他容器。容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。
根据《腾讯云容器安全白皮书》显示,2021年,腾讯云容器安全服务监测到的可疑容器逃逸行为84万次,这样的运营数据也恰好验证了用户对逃逸行为的担忧。
镜像安全仅次于容器逃逸。根据统计数据显示,镜像安全和容器逃逸的关注度几乎不相上下。镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合,用于创建一个或多个容器,它们之间紧密联系,所以镜像的安全性也会影响容器安全。
除了使用包含漏洞的软件之外,镜像在存储和使用过程中也可能被篡改,植入恶意程序影响容器安全。
运行环境没有加固。作为容器的载体,运行环境也是影响容器安全的重要因素,如果运行环境没有加固就会受到攻击。
据调研数据显示,虽然不少企业对容器安全做了部署,但总体比例不高,技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。这种安全管理和运营的复杂性也在一定程度上耗费了企业的人力和时间成本。
腾讯云容器安全服务 TCSS
基于安全能力原生化、零信任等安全设计原则,腾讯云容器安全服务TCSS提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。
TCSS是腾讯在今年7月正式发布的,通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。
1、资产管理
TCSS容器安全服务提供自动化资产清点,包括容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。
2、镜像安全
针对镜像、镜像仓库提供一键检测,支持漏洞、木马病毒、可信镜像等多维度安全扫描。
3、运行时安全
自适应识别黑客攻击,实时监控和防护容器运行时安全,提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。
4、基线合规
基于 CIS Benchmark 的 Docker、Kubernetes 最佳安全实践,提供一键检测和专业修复方案。
云巴巴一直秉持最严谨的态度,选取品质最高的科技产品。我们与国内外知名科技厂商深度合作,包括腾讯、阿里、华为、眼神科技等等,并获得部分厂商金牌代理权限。面向各行各业B端客户,提供全面的科技服务,助力企业数字化轻松转型。
更多产品了解
欢迎扫码加入云巴巴企业数字化交流服务群
产品交流、问题咨询、专业测评
都在这里!
为你推荐
在直播行业,腾讯云直播用这些核心优势助力主播进行直播
直播对于现在很多年轻人而言已经成为了一个并不陌生的词语,我们在直播里进行交流的同时也能发现很多我们在生活中并没有遇到过的事物。虽然我们想要进行一场直播并没有太大的门槛,在一些直播平台上通过一部手机就能进行直播,但是从观众体验等多个方面却并没有让一些问题得到2022-11-23 17:12:41
腾讯云在大数据和企业办公方面的相关产品
腾讯云在大数据方面的相关应用主要有TOD 大数据处理、腾讯云分析、腾讯云搜;而在企业应用方面,在本篇文章中就主要介绍一下腾讯云的云点播和腾讯会议这两个产品。 TOD 是腾讯云为用户可以提供的一套完整的、开箱即用的云端大数据进行处理问题解决中国方案,开发者2022-11-22 14:55:44
腾讯云在AI视觉领域都有哪些成就?分别涉及哪些领域?
腾讯云慧眼底层的技术发展不仅包含了优图提供的AI视觉设计能力,还整合了腾讯公司安全管理平台部AI安全工作团队和云鼎实验室研究提供的多项AI安全问题能力,通过AI+安全的多重环境保护,为各行业企业提供一个智能人脸核身技术,保障水平线上身份信息识别的准确、安全2022-11-23 15:34:38
腾讯云在一下几个方面的战略布局
对于整个渠道采集,数据融合和深厚的垂直行业的发展趋势,如新的电商行业,腾讯云通过开源的建设和中立电子商务解决方案的基础业务帮助。 为社交电商等新模式,针对电商企业进行不同经济发展研究阶段的差异化需求,腾讯云分别推出初创期、成长期和成熟期数据库管理解决问题2022-11-22 15:20:45
腾讯云服务器告诉你稳定又安全的云长什么样?
对于企业应用和存储迁移上云来说,最大的阻力是对安全的顾虑,迁移至公有云,意味着将数据“命脉”交到他人手中,所以对于企业来说,上云就上安全的云,那么安全的云应该是什么样子,腾讯云与腾讯安全告诉你。2022-11-23 11:15:54
严选云产品
领先的企业数字化服务平台
客服电话:400-0972-788
评论列表