立即咨询

电话咨询

微信咨询

立即试用
商务合作

云原生时代,如何“玩转”容器安全?

2022-03-31

 

  你可能想象不到,容器技术在企业生产环境中的采用率竟然超过84%?

  诞生于20多年前的容器技术,似乎在一夜之间,高歌猛进,迅速进入企业生产环境中,不管是大型企业,还是中小企业,使用率均超过50%。

  适应云计算的发展,云原生已经成为加快企业数字化转型的一个不折不扣的风向标,而以容器为代表的云原生技术正在成为释放云价值的最短路径。

icon 从虚拟化到容器技术

    容器技术是有效的将单个操作系统的资源划分到孤立的组中,以便更好的在孤立的组之间平衡有冲突的资源使用需求。从应用和实践的角度来看,容器技术颠覆了应用的开发、交付和运行模式,仅几年便席卷全球。

  容器应用之前,云中应用系统多数运行于虚拟机上。

  起初在单机时代,硬件购买成本高而且使用率低,当时使用的是主机虚拟化技术。一台物理主机可以被划分为若干个小的机器,每个机器的硬件互不共享,并可以安装各自的操作系统来使用。

  随着基于英特尔和AMD的CPU和微软操作系统的x86服务器的出现,以x86架构的硬件虚拟化技术逐渐兴起,可以在不同的虚拟机VM上运行不同的应用,服务器使用率增加。

  不过随着用户的需求不断增长,操作系统虚拟化出现了。

  操作系统虚拟化,就是由操作系统创建虚拟的系统环境,仿佛在独自占有全部的系统资源,从而实现应用隔离的目的。这种方式中不需要虚拟机,也能够实现应用彼此隔离,操作系统虚拟化就被称为容器(Container)。

  容器是云原生的基石之一,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势,而且容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。

  正因如此,越来越多的企业选择在生产环境中使用容器架构,根据《中国云原生用户调查报告2020》显示,已经有6成以上的用户在生产环境中运用了容器技术。

  然而在使用过程中,由于容器自身的一些缺陷,安全性还是和传统虚拟机存在一些差距,不管是Docker和Kubernetes(K8S),大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。

icon 容器安全带来新挑战

  在实现云原生的主要技术中,容器作为支撑应用运行的重要载体,为应用的运行提供了隔离和封装。因此容器的安全与否,直接影响着整个云原生系统的安全性。

  不管是特斯拉在亚马逊上的Kubernetes集群被入侵,还是Docker Hub频繁被爆含有漏洞和恶意程序的镜像,都让用户产生了极大的担忧。根据云原生用户调查报告显示,容器的安全问题已成为用户应用云原生的最大担忧,其中63%的用户认为容器安全是紧迫的需求。

  常见的容器安全风险主要体现在以下几个方面。

  容器逃逸是遇到最多的安全问题。容器逃逸指的是利用虚拟化软件存在的漏洞,攻击者通过容器获取主机权限,可攻击容器所在主机,甚至是该主机上的其他容器。容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。

  根据《腾讯云容器安全白皮书》显示,2021年,腾讯云容器安全服务监测到的可疑容器逃逸行为84万次,这样的运营数据也恰好验证了用户对逃逸行为的担忧。

  镜像安全仅次于容器逃逸。根据统计数据显示,镜像安全和容器逃逸的关注度几乎不相上下。镜像是一个包含应用/服务运行所必需的操作系统和应用文件的集合,用于创建一个或多个容器,它们之间紧密联系,所以镜像的安全性也会影响容器安全。

  除了使用包含漏洞的软件之外,镜像在存储和使用过程中也可能被篡改,植入恶意程序影响容器安全。

  运行环境没有加固。作为容器的载体,运行环境也是影响容器安全的重要因素,如果运行环境没有加固就会受到攻击。

  据调研数据显示,虽然不少企业对容器安全做了部署,但总体比例不高,技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。这种安全管理和运营的复杂性也在一定程度上耗费了企业的人力和时间成本。

icon 腾讯云容器安全服务 TCSS

  基于安全能力原生化、零信任等安全设计原则,腾讯云容器安全服务TCSS提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。

  TCSS是腾讯在今年7月正式发布的,通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。

1、资产管理

  TCSS容器安全服务提供自动化资产清点,包括容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。

2、镜像安全

  针对镜像、镜像仓库提供一键检测,支持漏洞、木马病毒、可信镜像等多维度安全扫描。

3、运行时安全

  自适应识别黑客攻击,实时监控和防护容器运行时安全,提供入侵检测、容器逃逸、进程黑白名单、文件访问控制等安全功能。

4、基线合规

  基于 CIS Benchmark 的 Docker、Kubernetes 最佳安全实践,提供一键检测和专业修复方案。

  云巴巴一直秉持最严谨的态度,选取品质最高的科技产品。我们与国内外知名科技厂商深度合作,包括腾讯、阿里、华为、眼神科技等等,并获得部分厂商金牌代理权限。面向各行各业B端客户,提供全面的科技服务,助力企业数字化轻松转型。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

热门数字化产品

微加云学院企业培训平台微加云学院企业培训平台,多种培训模式,满足不同需求,培训更灵活,实时掌握学习进度,自动生成学习数据,帮管理者提升培训效果。提供高质量的培训课程,解决企业内部讲师少、课程研发能力弱的问题,将反复型培训流程化,提高效率,高性价比工具,降低培训成本。
智引科技智塑云MES系统智引科技智塑云MES系统,工艺巡检,自由定义间隔时间保存生产工艺以备追溯,工艺数字化,工艺参数异常监控,工艺参数变动历史记录。采取“统一备份”的机制,做到及时、安全的数据备份, 同时减轻了数据备份的工作量。
网易瑶台网易瑶台,通过AI算法加持,只需要一张照片即可生成个性化形象,并支持200+维度的自由捏脸,打造元宇宙专属虚拟角色。基于分布式服务框架,支持十万虚拟角色实时在线,通过AOI(感兴趣区域)机制,实现万人同屏下虚拟角色间可见、可交互。
京东科技言犀数字人京东科技言犀数字人提供产品、服务、运营、营销场景的智能化方案。言犀虚拟主播电商应用场景及数据沉淀,保障品牌直播效果。言犀虚拟主播操作简单,功能强大,拥有业界一流智能化水平。库内通用形象丰富,且持续更新,可按需定制品牌专属数字人。
内训宝企业在线培训系统内训宝企业在线培训系统拥有清晰、流畅、稳定的视频课程播放功能,视频/讲义-键切换的播放模式,满足不限终端、不限地点的学习需求,支持视频课程及PDF、PPT等文本课程学习,视频支持MPEG1、AVI、 FLV、 MPEG4、WMV、RM、QUICKTIME等主流视频格式。深入教育培训场景,体验全新学习形式。全面多终端智能学习及量身定制服务。
为你推荐
2025腾讯产业合作伙伴大会|云巴巴荣获双项大奖,载誉而归

1月16日,2025腾讯产业合作伙伴大会在三亚召开。云巴巴,荣膺“2024腾讯云卓越合作伙伴奖—星云奖”和“2024腾讯云AI产品突出贡献奖”双项大奖

2025-01-17
如何选择高效的企业知识管理方案?腾讯乐享+DeepSeek让知识库活起来!

如何让AI变得又聪明又懂企业,真正成为企业数字化转型的生产力引擎?

2025-04-01
40万条信息被卖!物流行业如何自救?网宿云WAF三招筑牢物流Web防线

在物流行业实践的基础上,网宿云Web应用防火墙(WAF)凭借部署简易、精准防护、弹性架构、智能双引擎等核心能力,为其他数据密集型行业构建全场景安全防线,其技术优势深度适配各行业数字化转型需求。

2025-04-01
流量贵、复购低,外呼系统怎么选?慧博AI外呼解决方案,转化率提升200%!

慧博科技电商智能 AI 外呼解决方案,作为全渠道电商AI智能外呼系统,聚焦电商核心痛点,解析慧博AI外呼如何通过全渠道引流、智能触达、数据追踪三大能力,帮助企业实现高效增长。

2025-03-31
企业英语培训选型全攻略,如何挑选最适合您企业的英语培训伙伴?

云巴巴将会根据当前市场上所拥有的培训厂商,帮助大家解析主流厂商的核心价值,为企业提供选型的参考。

2025-03-31
查看更多