本文为云原生应用创新实践联盟——容器云安全课题组生产内容，相关专家如下所示，更多内容可点击此处进入云原生应用创新实践联盟进行查看。
   ① 已通过课题组专家审核
   ② 待课题用户组织评议（欢迎各位在下方评论区提出您的宝贵意见）

执笔专家：
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家 ，注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。

顾问专家：
社区ID:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。
常青 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家，中国光大银行信息科技部，主要负责项目管理和开发安全体系建设方面的相关工作。主要擅长web应用安全威胁与防治，容器云安全风险排查与评估。

摘要

本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结和思考，仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技术体系中的关键技术，对其的不同定位会带来安全规划的不同要求。云原生安全和传统安全能力的需求也有不同，因此认识到容器和云原生安全的特点来规划容器云安全，会更有针对性。本文的方案可以作为容器云安全规划时的参考，同时需要理解笔者所整理的《你需要知道的云原生架构体系内容》和《云原生架构实施路线图》，才能更好的理解本文内容。

越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用，而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理工具平台，使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架构上来说，围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和容易实施的方案。

一、容器云定位

不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准化的运行时环境来说，它支撑的是应用生命周期过程中的运行阶段的需求。最初笔者提出的“以应用管理为核心”的容器云平台建设思路，也在信通院刚刚发布的《云原生 新一代软件架构的变革》白皮书中的“一个中心”得到了体现。因此可以说容器云平台是应用运行时的支撑和管理平台。不过要实现应用的可见性、可管理性等，需要围绕容器云平台构建额外众多的基础设施工具和平台支撑，比如日志平台、监控平台、认证权限平台、消息平台等等。需要将容器云平台置于整个云原生DevOps体系之中，它承担的是应用生命周期过程中的运行阶段。在这个体系中，每个平台、组件和工具都会涉及安全的问题。而安全又分了不同的层次和机制，比如认证授权、加密解密、网络防护、病毒防护、应用安全等等；采用容器又带来了新的对象、新的流程和新的问题，比如镜像安全、容器安全、DevOps安全等。这是一个相互关联、相互影响而又相辅相成的一个体系。

笔者一直也在思考如何来规划容器云平台的安全。一直想解决的一个问题是：安全团队通过传统安全工具和方法扫描出来的漏洞如何和跟应用管理人员直接关联。采用大二层网络，服务的IP对所有人是可见的。由于传统网络安全往往是基于IP的机制，比如防火墙、白名单设置等，而容器带来了新的机制，容器IP往往是变化的，而服务是弹性的、可迁移的，往往不会和某个固定IP关联。这和传统的网络安全管理模式是冲突的。从安全团队角度，他们扫描出来的存在漏洞的容器由于IP的可变性无法直接和应用关联，不得不通过容器云平台来查询、关联到应用、中转给应用运维人员。团队之间的协调是需要