伴隨著云計(jì)算市場(chǎng)而發(fā)展起來(lái)的，云基礎(chǔ)設(shè)施投資的快速增長(zhǎng)，無(wú)疑為云安全發(fā)展提供土壤。隨著企業(yè)逐漸轉(zhuǎn)向云端部署和容器化應(yīng)用，云原生安全也成為企業(yè)所需要考慮的安全問(wèn)題。

而在云原生應(yīng)用和服務(wù)平臺(tái)的構(gòu)建過(guò)程中，容器技術(shù)憑借高彈性、敏捷的特性，成為云原生應(yīng)用場(chǎng)景下的重要技術(shù)支撐，因而容器安全也是云原生安全的重要基石。

下面德迅云安全就帶大家了解下什么是云原生安全，目前在云原生安全領(lǐng)域中，容器安全存在哪些問(wèn)題。

**云原生安全的定義：**
　　

國(guó)內(nèi)外各組織、企業(yè)對(duì)云原生安全理念的解釋略有差異，結(jié)合我國(guó)產(chǎn)業(yè)現(xiàn)狀與痛點(diǎn)，云原生與云計(jì)算安全相似，云原生安全也包含兩層含義：“面向云原生環(huán)境的安全”和“具有云原生特征的安全”。

　面向云原生環(huán)境的安全的目標(biāo)是防護(hù)云原生環(huán)境中基礎(chǔ)設(shè)施、編排系統(tǒng)和微服務(wù)等系統(tǒng)的安全。在云原生環(huán)境中，安全機(jī)制以云原生形態(tài)為主，例如服務(wù)網(wǎng)格的安全通常使用旁掛串接的安全容器，而微服務(wù)API安全則通常使用微API網(wǎng)關(guān)容器。這些安全容器都是云原生的部署模式，并具備云原生的特性。

具有云原生特征的安全則是指安全機(jī)制具備彈性、敏捷、輕量級(jí)、可編排等特性。云原生是一種理念上的創(chuàng)新，它通過(guò)容器化、資源編排和微服務(wù)重構(gòu)傳統(tǒng)的開(kāi)發(fā)運(yùn)營(yíng)體系，從而加快業(yè)務(wù)上線和變更的速度。這些特性使得云原生安全能夠靈活應(yīng)對(duì)各種安全挑戰(zhàn)，確保云環(huán)境的穩(wěn)定和安全。

云原生安全不僅解決了云計(jì)算普及帶來(lái)的安全問(wèn)題，更強(qiáng)調(diào)以原生的思維構(gòu)建云上安全建設(shè)、部署與應(yīng)用，推動(dòng)安全與云計(jì)算的深度融合。

**云原生安全領(lǐng)域涉及的容器安全問(wèn)題：**

　
1、容器鏡像不安全

　　Sysdig的報(bào)告中提到，在用戶的生產(chǎn)環(huán)境中，會(huì)將公開(kāi)的鏡像倉(cāng)庫(kù)作為軟件源，如最大的容器鏡像倉(cāng)庫(kù)Docker Hub。一方面，很多開(kāi)源軟件會(huì)在Docker Hub上發(fā)布容器鏡像。另一方面，開(kāi)發(fā)者通常會(huì)直接下載公開(kāi)倉(cāng)庫(kù)中的容器鏡像，或者基于這些基礎(chǔ)鏡像定制自己的鏡像，整個(gè)過(guò)程非常方便、高效。然而，Docker Hub上的鏡像安全并不理想，有大量的官方鏡像存在高危漏洞，如果使用了這些帶高危漏洞的鏡像，就會(huì)極大的增加容器和主機(jī)的入侵風(fēng)險(xiǎn)。目前容器鏡像的安全問(wèn)題主要有以下三點(diǎn)：

　　a.不安全的第三方組件

　　在實(shí)際的容器化應(yīng)用開(kāi)發(fā)過(guò)程當(dāng)中，很少?gòu)牧汩_(kāi)始構(gòu)建鏡像，而是在基礎(chǔ)鏡像之上增加自己的程序和代碼，然后統(tǒng)一打包最終的業(yè)務(wù)鏡像并上線運(yùn)行，這導(dǎo)致許多開(kāi)發(fā)者根本不知道基礎(chǔ)鏡像中包含多少組件，以及包含哪些組件，包含的組件越多，可能存在的漏洞就越多。

　　b.惡意鏡像

　　公共鏡像倉(cāng)庫(kù)中可能存在第三方上傳的惡意鏡像，如果使用了這些惡意鏡像來(lái)創(chuàng)建容器后，將會(huì)影響容器和應(yīng)用程序的安全

　　c.敏感信息泄露

　　為了開(kāi)發(fā)和調(diào)試的方便，開(kāi)發(fā)者將敏感信息存在配置文件中，例如數(shù)據(jù)庫(kù)密碼、證書(shū)和密鑰等內(nèi)容，在構(gòu)建鏡像時(shí)，這些敏感信息跟隨配置文件一并打包進(jìn)鏡像，從而造成敏感信息泄露

　　
2、容器生命周期的時(shí)間短

　　云原生技術(shù)以其敏捷、可靠的特點(diǎn)驅(qū)動(dòng)引領(lǐng)企業(yè)的業(yè)務(wù)發(fā)展，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力。在容器環(huán)境下，一部分容器是以docker的命令啟動(dòng)和管理的，還有大量的容器是通過(guò)Kubernetes容器編排系統(tǒng)啟動(dòng)和管理，帶來(lái)了容器在構(gòu)建、部署、運(yùn)行，快速敏捷的特點(diǎn)，大量容器生命周期短于1小時(shí)，這樣一來(lái)容器的生命周期防護(hù)較傳統(tǒng)虛擬化環(huán)境發(fā)生了巨大的變化，容器的全生命周期防護(hù)存在很大變數(shù)。對(duì)防守者而言，需要采用傳統(tǒng)異常檢測(cè)和行為分析相結(jié)合的方式，來(lái)適應(yīng)短容器生命周期的場(chǎng)景。

3、容器運(yùn)行時(shí)安全

　　容器技術(shù)帶來(lái)便利的同時(shí)，往往會(huì)忽略容器運(yùn)行時(shí)的安全加固，由于容器的生命周期短、輕量級(jí)的特性，傳統(tǒng)在宿主機(jī)或虛擬機(jī)上安裝殺毒軟件來(lái)對(duì)一個(gè)運(yùn)行一兩個(gè)進(jìn)程的容器進(jìn)行防護(hù)，顯示費(fèi)時(shí)費(fèi)力且消耗資源，但在黑客眼里容器和裸奔沒(méi)有什么區(qū)別。

　　與傳統(tǒng)的Web安全類(lèi)似，容器環(huán)境下也會(huì)存在SQL注入、XSS、RCE、XXE等漏洞，容器在對(duì)外提供服務(wù)的同時(shí)，就有可能被攻擊者利用，從而導(dǎo)致容器被入侵。

4、容器微隔離

　　在容器環(huán)境中，與傳統(tǒng)網(wǎng)絡(luò)相比，容器的生命周期變得短了很多，其變化頻率也快很多。容器之間有著復(fù)雜的訪問(wèn)關(guān)系，尤其是當(dāng)容器數(shù)量達(dá)到一定規(guī)模以后，這種訪問(wèn)關(guān)系帶來(lái)的東西向流量，將會(huì)變得異常的龐大和復(fù)雜。因此，在容器環(huán)境中，網(wǎng)絡(luò)的隔離需求已經(jīng)不僅僅是物理網(wǎng)絡(luò)的隔離，而是變成了容器與容器之間、容器組與宿主機(jī)之間、宿主機(jī)與宿主機(jī)之間的隔離。

對(duì)于上述的一些問(wèn)題，目前可放心使用的容器安全方案--德迅蜂巢原生安全平臺(tái)

1、針對(duì)鏡像的問(wèn)題，蜂巢鏡像檢查能力已經(jīng)覆蓋到開(kāi)發(fā)、測(cè)試等多個(gè)環(huán)節(jié)中，可快速發(fā)現(xiàn)鏡像中存在的漏洞、病毒木馬、Webshell等鏡像風(fēng)險(xiǎn)。

2、針對(duì)容器生命周期問(wèn)題，蜂巢通過(guò)提供覆蓋容器全生命周期的一站式容器安全解決方案，可實(shí)現(xiàn)容器安全預(yù)測(cè)、防御、檢測(cè)和響應(yīng)的安全閉環(huán)。

3、針對(duì)運(yùn)行安全問(wèn)題，蜂巢通過(guò)多錨點(diǎn)入侵監(jiān)測(cè)分析，實(shí)時(shí)監(jiān)測(cè)容器中的已知威脅、惡意?為、異常事件，以發(fā)現(xiàn)容器中的病毒、挖礦、Webshell等攻擊行為。監(jiān)測(cè)到異常事件后，對(duì)失陷容器快速安全響應(yīng)，把損失降到最低。

4、對(duì)于容器微隔離，蜂巢通過(guò)對(duì)訪問(wèn)關(guān)系的梳理和學(xué)習(xí)，提供自適應(yīng)、自遷移、自維護(hù)的網(wǎng)絡(luò)隔離策略，以及告警”模式，讓用戶放心設(shè)置策略。適配Underlay、Overlay、Vxlan、Macvlan、Ovs等諸多網(wǎng)絡(luò)架構(gòu)，幫助用戶快速、安全地落地容器微隔離能力。

隨著企業(yè)普遍上云，云安全也愈發(fā)重要。我們需要采取有效的策略和技術(shù)手段來(lái)保護(hù)云上安全，應(yīng)對(duì)可能出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-845030.html

到了這里，關(guān)于云原生安全-容器安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！