快速发展的容器技术

随着云计算的深入发展和IT技术架构变革，IT系统云化已成为必然选择，越来越多的组织和企业将系统从传统IT架构迁移至基于云原生应用架构体系下的容器环境。据信通院《中国云原生用户调查报告 2020》显示：60%以上的用户已在生产环境中应用容器技术，80%以上的用户已经使用或计划使用微服务，80%的用户在软件发布时使用过自动化。相比于传统虚拟机，容器作为下一代虚拟化技术，无需独立的操作系统内核就可在宿主机中运行，实现了更高的运行效率与资源利用率，使得更多组织向微服务/DevOps 转型。

容器技术采纳情况

用户使用微服务架构

软件发布方式

来源《中国云原生用户调查报告 2020》

正如云中虚拟机的安全问题一样，在容器技术得到广泛应用的同时，其安全问题也引起了用户的强烈关注。国内外的研究报告中均证实，容器安全问题已成为用户应用的最大担忧。

用户使用容器技术中存在的问题

来源《中国云原生用户调查报告 2020》

98%的用户希望在容器环境中增强安全相关的功能

来源Tripwire《Research State of Container Security Report》

从目前的建设现状来看，容器技术存在的安全问题主要集中于以下方面：

l 组件爆发式增长为应用防护能力提出更高要求

l 容器共享操作系统的进程级隔离环境增加逃逸风险

l 容器的多样化、网络的复杂化导致资产梳理变得困难

l 容器基础镜像来源不安全，镜像传输过程中间人攻击篡改难校验

l 单体应用拆分导致端口数量暴增，攻击面大幅增加，连锁攻破风险高

此外，大多数企业在应用容器技术时多以开源工具为主，缺乏十分成熟的容器安全体系，建立一套面向容器的安全防护技术、产品和解决方案势在必行。

为此，网御星云整合优势资源，凭借多年在容器安全及云原生安全领域的研究和实践运营经验，重磅推出网御星云容器安全管理平台，助力用户实现云原生安全落地。

网御星云容器安全解决思路

网御星云容器安全在架构设计上采用安全左移的思路，投入安全资源和安全能力更有效收敛安全问题，然后将安全能力全面融入到DevOps体系中，实现面向DevSecOps的全生命周期安全防护。具体表现在：

l 全生命周期防护：从容器全生命周期入手，构建 DevSecOps体系

l 安全左移：提前介入安全管控，降低后续安全成本

l 开放性原则：支持将第三方的安全能力集成到容器安全管理平台

l 可扩展性原则：平台应具有良好的扩展性，根据业务发展，弹性扩展安全能力

l 稳定性原则：平台应该具有平台容错和冗余设计，保障系统稳定运行

l 合规性原则：系统设计本身应满足等级保护等相关要求

七大功能护航容器全生命周期安全

基于容器安全建设理念，网御星云容器安全管理平台在构建阶段对镜像进行安全扫描;在分发阶段对镜像进行防篡改，阻止不安全的镜像运行;在容器运行时对异常行为进行检测与防护，对容器网络进行微隔离，对节点和微服务安全进行扫描与防护;在全流程中对容器和基线进行合规检查，从全局视角对资产、网络和安全情况进行可视化展示。

产品架构图

具体来看，网御星云容器安全管理平台以七大功能护航容器全生命周期安全，包括资产管理、镜像安全、集群合规、运行时安全、容器微隔离、微服务治理和CI/CD集成，针对用户痛点，通过容器资产发现、安全可视化、无缝嵌入DevOps流程等方式，实现对容器全生命周期的全局化、自动化安全管控。

Ø 【资产管理】自动梳理资产实现风险可视管理

痛点：容器多样化、网络复杂化导致资产梳理变得困难。

功能：自动梳理资产实现风险可视管理，内容主要包括容器梳理、容器网络梳理、容器标签梳理、编排平台梳理、镜像资产梳理、镜像仓库梳理、微服务梳理等，并且需要根据业务和环境的变化而自动变化，关联安全风险，提供实时资产结果。

Ø 【镜像安全】扫描镜像风险阻断危险镜像运行

痛点：容器基础镜像来源复杂，镜像漏洞可能引发严重的安全风险。

功能：能够对镜像中的恶意软件、木马、病毒等各项安全风险进行安全检测，提供检测报告，并帮助用户修补漏洞。同时阻止高危镜像运行并在镜像传输过程中启动防篡改功能，避免引发严重的安全风险。

Ø 【集群合规】保障容器和集群引擎的安全合规

痛点：容器集群环境配置复杂，易暴露攻击面。

功能：根据CIS标准及自定义标准，对容器和集群中各组件进行安全配置扫描，包括docker引擎、控制平面组件、控制平台配置、节点配置等，帮助用户进行合规配置。

Ø 【运行时安全】监测隔离容器运行时异常行为

痛点：组件爆发式增长对应用防护能力提出更高要求。

功能：容器运行时提供容器的实时入侵检测，发现并阻断异常行为，包括容器逃逸、反弹shell、敏感文件访问和暴力破解等。并支持自定义运行时安全策略与威胁情报联动，保障容器安全运行。

Ø 【容器微隔离】细粒度网络隔离防止威胁扩散

痛点：容器业务依赖关系十分复杂，未知威胁可能蔓延，需细粒度的管控。

功能：提供基于容器或业务的多维网络隔离能力，包括对容器、服务、pod、lable的隔离等，提供可视化网络拓扑，基于自适应、自迁移、自维护的网络隔离策略以便对容器的网络环境进行细粒度管控。

Ø 【微服务安全】发现微服务漏洞阻止风险传播

痛点：单体应用拆分导致端口数量暴增，攻击面大幅增加，连锁攻破风险高。

功能：包括微服务的梳理与自动发现，对微服务API进行安全扫描，发现微服务风险，提供检测报告，并帮助用户修补风险。同时对微服务进行网络隔离，防止连锁攻破，保障微服务安全。

Ø 【CI/CD集成】无缝融合DevOps实现安全左移

痛点：云原生场景的CI/CD过程能够自动完成持续的集成和部署，因此在容器安全技术中对CI/CD过程的集成十分关键。

功能：对如Jenkins、Bamboo等CI/CD工具进行集成，对编译出的镜像自动进行镜像漏洞扫描，并提供镜像扫描报告，配合CI/CD工具实现基于镜像安全基线的合规审计和告警，并提供修改建议。

云原生架构给安全防护带来了前所未有的挑战，容器安全作为云原生安全的技术底座，对云原生安全起到了重要的支撑作用。网御星云容器安全管理平台可适用于容器云、PaaS平台安全防护、PaaS平台行业标准合规以及多租户、多集群、多仓库容器安全等诸多应用场景，在全生命周期防护、安全左移等设计原则的指导下，全力保障容器安全。

目前，网御星云已形成集云安全管理平台、云负载安全防护平台、一体化安全资源池等产品为一体的云安全防护体系，帮助用户安全实现云原生转型，完成从云边界、租户边界、域边界、虚拟机边界到容器边界的整体纵深防御，为用户提供完整、细粒度、智能化云安全解决方案，助力用户安全上云，安心上云。