云原生时代，如何“玩转”容器安全？

 

  你可能想象不到，容器技术在企业生产环境中的采用率竟然超过84%?

  诞生于20多年前的容器技术，似乎在一夜之间，高歌猛进，迅速进入企业生产环境中，不管是大型企业，还是中小企业，使用率均超过50%。

  适应云计算的发展，云原生已经成为加快企业数字化转型的一个不折不扣的风向标，而以容器为代表的云原生技术正在成为释放云价值的最短路径。

从虚拟化到容器技术

    容器技术是有效的将单个操作系统的资源划分到孤立的组中，以便更好的在孤立的组之间平衡有冲突的资源使用需求。从应用和实践的角度来看，容器技术颠覆了应用的开发、交付和运行模式，仅几年便席卷全球。

  容器应用之前，云中应用系统多数运行于虚拟机上。

  起初在单机时代，硬件购买成本高而且使用率低，当时使用的是主机虚拟化技术。一台物理主机可以被划分为若干个小的机器，每个机器的硬件互不共享，并可以安装各自的操作系统来使用。

  随着基于英特尔和AMD的CPU和微软操作系统的x86服务器的出现，以x86架构的硬件虚拟化技术逐渐兴起，可以在不同的虚拟机VM上运行不同的应用，服务器使用率增加。

  不过随着用户的需求不断增长，操作系统虚拟化出现了。

  操作系统虚拟化，就是由操作系统创建虚拟的系统环境，仿佛在独自占有全部的系统资源，从而实现应用隔离的目的。这种方式中不需要虚拟机，也能够实现应用彼此隔离，操作系统虚拟化就被称为容器(Container)。

  容器是云原生的基石之一，在云原生环境中直接运行于主机内核之上，具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势，而且容器化使开发过程中快速集成和快速部署成为可能，极大地提升了应用开发和程序运行的效率。

  正因如此，越来越多的企业选择在生产环境中使用容器架构，根据《中国云原生用户调查报告2020》显示，已经有6成以上的用户在生产环境中运用了容器技术。

  然而在使用过程中，由于容器自身的一些缺陷，安全性还是和传统虚拟机存在一些差距，不管是Docker和Kubernetes（K8S），大多数企业都遇到过不同程度的安全问题，如何保障容器安全，已成为企业最关心的问题。

容器安全带来新挑战

  在实现云原生的主要技术中，容器作为支撑应用运行的重要载体，为应用的运行提供了隔离和封装。因此容器的安全与否，直接影响着整个云原生系统的安全性。

  不管是特斯拉在亚马逊上的Kubernetes集群被入侵，还是Docker Hub频繁被爆含有漏洞和恶意程序的镜像，都让用户产生了极大的担忧。根据云原生用户调查报告显示，容器的安全问题已成为用户应用云原生的最大担忧，其中63%的用户认为容器安全是紧迫的需求。

  常见的容器安全风险主要体现在以下几个方面。

  容器逃逸是遇到最多的安全问题。容器逃逸指的是利用虚拟化软件存在的漏洞，攻击者通过容器获取主机权限，可攻击容器所在主机，甚至是该主机上的其他容器。容器共享宿主机操作系统内核，隔离性方面存在缺陷，将会造成容器逃逸。

  根据《腾讯云容器安全白皮书》显示，2021年，腾讯云容器安全服务监测到的可疑容器逃逸行为84万次，这样的运营数据也恰好验证了用户对逃逸行为的担忧。

  镜像安全仅次于容器逃逸。根据统计数据显示，镜像安全和容器逃逸的关注度几乎不相上下。镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合，用于创建一个或多个容器，它们之间紧密联系，所以镜像的安全性也会影响容器安全。

  除了使用包含漏洞的软件之外，镜像在存储和使用过程中也可能被篡改，植入恶意程序影响容器安全。

  运行环境没有加固。作为容器的载体，运行环境也是影响容器安全的重要因素，如果运行环境没有加固就会受到攻击。

  据调研数据显示，虽然不少企业对容器安全做了部署，但总体比例不高，技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。这种安全管理和运营的复杂性也在一定程度上耗费了企业的人力和时间成本。

腾讯云容器安全服务 TCSS

  基于安全能力原生化、零信任等安全设计原则，腾讯云容器安全服务TCSS提供容器资产管理、镜像安全、运行时入侵检测等安全服务，保障容器从镜像生成、存储到运行时的全生命周期，帮助企业构建容器安全防护体系。

  TCSS是腾讯在今年7月正式发布的，通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全，帮助企业快速构建容器安全防护体系。

1、资产管理

  TCSS容器安全服务提供自动化资产清点，包括容器、镜像、镜像仓库、主机等关键资产信息，帮助企业实现资产可视化。

2、镜像安全

  针对镜像、镜像仓库提供一键检测，支持漏洞、木马病毒、可信镜像等多维度安全扫描。

3、运行时安全

  自适应识别黑客攻击，实时监控和防护容器运行时安全，提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。

4、基线合规

  基于 CIS Benchmark 的 Docker、Kubernetes 最佳安全实践，提供一键检测和专业修复方案。

  云巴巴一直秉持最严谨的态度，选取品质最高的科技产品。我们与国内外知名科技厂商深度合作，包括腾讯、阿里、华为、眼神科技等等，并获得部分厂商金牌代理权限。面向各行各业B端客户，提供全面的科技服务，助力企业数字化轻松转型。