立即咨询

电话咨询

微信咨询

立即试用
商务合作

云原生时代,如何“玩转”容器安全?

2022-03-31

 

  你可能想象不到,容器技术在企业生产环境中的采用率竟然超过84%?

  诞生于20多年前的容器技术,似乎在一夜之间,高歌猛进,迅速进入企业生产环境中,不管是大型企业,还是中小企业,使用率均超过50%。

  适应云计算的发展,云原生已经成为加快企业数字化转型的一个不折不扣的风向标,而以容器为代表的云原生技术正在成为释放云价值的最短路径。

icon 从虚拟化到容器技术

    容器技术是有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求。从应用和实践的角度来看,容器技术颠覆了应用的开发、交付和运行模式,仅几年便席卷全球。

  容器应用之前,云中应用系统多数运行于虚拟机上。

  起初在单机时代,硬件购买成本高而且使用率低,当时使用的是主机虚拟化技术。一台物理主机可以被划分为若干个小的机器,每个机器的硬件互不共享,并可以安装各自的操作系统来使用。

  随着基于英特尔和AMD的CPU和微软操作系统的x86服务器的出现,以x86架构的硬件虚拟化技术逐渐兴起,可以在不同的虚拟机VM上运行不同的应用,服务器使用率增加。

  不过随着用户的需求不断增长,操作系统虚拟化出现了。

  操作系统虚拟化,就是由操作系统创建虚拟的系统环境,仿佛在独自占有全部的系统资源,从而实现应用隔离的目的。这种方式中不需要虚拟机,也能够实现应用彼此隔离,操作系统虚拟化就被称为容器(Container)。

  容器是云原生的基石之一,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势,而且容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。

  正因如此,越来越多的企业选择在生产环境中使用容器架构,根据《中国云原生用户调查报告2020》显示,已经有6成以上的用户在生产环境中运用了容器技术。

  然而在使用过程中,由于容器自身的一些缺陷,安全性还是和传统虚拟机存在一些差距,不管是Docker和Kubernetes(K8S),大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。

icon 容器安全带来新挑战

  在实现云原生的主要技术中,容器作为支撑应用运行的重要载体,为应用的运行提供了隔离和封装。因此容器的安全与否,直接影响着整个云原生系统的安全性。

  不管是特斯拉在亚马逊上的Kubernetes集群被入侵,还是Docker Hub频繁被爆含有漏洞和恶意程序的镜像,都让用户产生了极大的担忧。根据云原生用户调查报告显示,容器的安全问题已成为用户应用云原生的最大担忧,其中63%的用户认为容器安全是紧迫的需求。

  常见的容器安全风险主要体现在以下几个方面。

  容器逃逸是遇到最多的安全问题。容器逃逸指的是利用虚拟化软件存在的漏洞,攻击者通过容器获取主机权限,可攻击容器所在主机,甚至是该主机上的其他容器。容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。

  根据《腾讯云容器安全白皮书》显示,2021年,腾讯云容器安全服务监测到的可疑容器逃逸行为84万次,这样的运营数据也恰好验证了用户对逃逸行为的担忧。

  镜像安全仅次于容器逃逸。根据统计数据显示,镜像安全和容器逃逸的关注度几乎不相上下。镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合,用于创建一个或多个容器,它们之间紧密联系,所以镜像的安全性也会影响容器安全。

  除了使用包含漏洞的软件之外,镜像在存储和使用过程中也可能被篡改,植入恶意程序影响容器安全。

  运行环境没有加固。作为容器的载体,运行环境也是影响容器安全的重要因素,如果运行环境没有加固就会受到攻击。

  据调研数据显示,虽然不少企业对容器安全做了部署,但总体比例不高,技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。这种安全管理和运营的复杂性也在一定程度上耗费了企业的人力和时间成本。

icon 腾讯云容器安全服务 TCSS

  基于安全能力原生化、零信任等安全设计原则,腾讯云容器安全服务TCSS提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。

  TCSS是腾讯在今年7月正式发布的,通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。

1、资产管理

  TCSS容器安全服务提供自动化资产清点,包括容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。

2、镜像安全

  针对镜像、镜像仓库提供一键检测,支持漏洞、木马病毒、可信镜像等多维度安全扫描。

3、运行时安全

  自适应识别黑客攻击,实时监控和防护容器运行时安全,提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。

4、基线合规

  基于 CIS Benchmark 的 Docker、Kubernetes 最佳安全实践,提供一键检测和专业修复方案。

  云巴巴一直秉持最严谨的态度,选取品质最高的科技产品。我们与国内外知名科技厂商深度合作,包括腾讯、阿里、华为、眼神科技等等,并获得部分厂商金牌代理权限。面向各行各业B端客户,提供全面的科技服务,助力企业数字化轻松转型。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

热门数字化产品

绿云软件酒店管理系统绿云软件酒店管理系统,符合大住宿业数字化建设集中化、一体化、平台化、大数据发展趋势,稳定、经济、开放,支持集中+分布式混合部署。基于绿云开放平台,行业上下游合作伙伴均可接口对接,形成智慧互联 。无须担心“数字孤岛”,各系统和场景的数据在保证安全的前提下互联互通 。
阿里云无影云电脑阿里云无影云电脑(WUYING Workspace)是一种易用、安全、高效的云上电脑,支持快速便捷的创建、部署和统一运维管控。自带多重安全管控能力,支持随时随地访问,资源灵活弹性。广泛应用于安全办公、协同研发、教育实训、私域运营、分支门店、客服办公等。
腾讯云实时音视频TRTCTRTC 源自 QQ 音视频团队,是基于 QQ 20多年来的音视频技术积累,在腾讯云上部署售卖的 RTC 云服务。TRTC 支撑了腾讯会议、微信群直播、微信视频号直播、企业微信直播、腾讯课堂、全民K歌等业务是腾讯集团丰富的音视频场景的最佳实践输出。
上讯信息敏捷数据脱敏系统SDM敏捷数据管理平台软件(ADM)是上海上讯信息技术股份有限公司(以下简称“上讯信息”)自主研发的,主要面向金融、运营商、政府、能源、医疗等行业打造的全生命周期数据安全管理软件产品,用于数据备份、备份数据恢复验证、测试数据交付和静态数据脱敏等应用场景,可为企业上、中、下游数据的高效使用和安全管控提供一套整体解决方案。
腾讯云微搭低代码WeDa腾讯云微搭低代码是高效、高性能的低代码开发平台。腾讯云微搭低代码以云开发作为底层支撑,通过行业化模板、拖拽式组件和可视化配置快速构建多端应用(小程序、H5 、PC Web 应用等),免去了代码编写工作,让您能够完全专注于业务场景。
为你推荐
2025腾讯产业合作伙伴大会|云巴巴荣获双项大奖,载誉而归

1月16日,2025腾讯产业合作伙伴大会在三亚召开。云巴巴,荣膺“2024腾讯云卓越合作伙伴奖—星云奖”和“2024腾讯云AI产品突出贡献奖”双项大奖

2025-01-17
传统AI代码工具效率低下?TAPD MCP Server让开发效率与质量双倍飙升

腾讯TAPD作为国内领先的敏捷研发管理平台,可以说是最早拥抱MCP的研发管理工具之一,凭借其全生命周期的研发管理能力,成为AI代码助手的“最强外挂”,其创新功能直击开发痛点。

2025-04-25
如何提升政企客户服务效率?协同管理+规模触达成政企服务质量选型新标准

基于预设规则和对象特征,让消息推送更智能更精准,帮助企业打通内外部系统的数据系统,实现更多灵活、更个性化的营销和服务能力开发。

2025-04-25
如何利用数据分析做好活动营销?海纳嗨数让活动策划执行更加高效便捷

海纳嗨数凭借其专业的数据分析能力,为企业提供从数据采集到深度洞察的一站式解决方案,助力活动策划与执行实现质的飞跃。

2025-04-25
复杂网络环境下,如何通过弱网加速与源站高可用技术架构保障业务零中断?

网宿科技全站加速产品以弱网优化与源站灾备技术矩阵,构建全链路加速体系,通过核心技术为多场景提供端到端保障,实现弱网效率跃升、源站切换无感,助企业突破网络桎梏。

2025-04-24
查看更多