本文为云原生应用创新实践联盟——容器云安全课题组生产内容，相关专家如下所示，更多内容可点击此处进入云原生应用创新实践联盟进行查看。
  ① 待课题组专家审核
  ② 待课题用户组织评议（欢迎各位在下方评论区提出您的宝贵意见）

执笔专家：
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家，专注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。
刘斌 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家， 清华大学工程管理硕士，中移信息云原生安全专家，信通院容器云原生安全规范主要编写者之一，云安全联盟（ CSA ）专家会员，曾在小佑科技担任产品总监。持有 EXIN DevOps Master 、 PMP 、 CCSK 、 CISP 、 AWS SAP 等各类认证，在安全产品与解决方案有超过 10 年的探索和实践。
顾问专家
社区ID:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。

摘要：

基于云原生容器技术的容器云日益成为企业基础设施平台，但容器云的安全现状却不容乐观，容器云安全认知的匮乏，标准规范的不成熟，产品竞争激烈但同质化严重等使当前面临着诸多问题，容器云安全产品在具备镜像安全扫描、运行时入侵检测、合规检测等核心功能之外，微隔离、部署形态等也和容器云安全密切相关。容器云安全成为云原生安全的核心内容。未来容器云安全将会在深度和广度上继续发展，为企业云原生体系的打造更安全的基础设施。

容器云技术在弹性和效率上的巨大优势，使其日益成为主流的 IT 基础设施。根据 Gartner 的预测，到 2025 年，云原生平台将成为 95% 以上的新数字化计划的基础，而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设，其安全的重要性也水涨船高，安全厂商与各企业的安全运营部门都开始在这个方向投入。

容器云安全不止是容器本身的安全，还包括镜像安全、编排（如 K8s ）安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应，也包括对开发生成的制品进行检查，防患于未然。虽然安全左移并非新概念，但容器云的安全建设相对传统云平台的安全建设，会更注重全生命周期。

一、容器云安全现状

1、安全风险不容乐观

据《 Sysdig 2022 云原生安全和使用报告》显示，超过 75% 的运行容器存在高危或严重漏洞、 62% 的容器被检测出包含 shell 命令、 76% 的容器使用 root 权限运行。在我们之前接触的用户案例中，也存在不少企业的容器云允许 kubelet 被匿名访问，或者整个容器云平台没有任何防护措施，处于 “ 裸奔 ” 状态。诸多信息都表明企业的容器云存在较大安全风险，需要谨慎对待。

早在 2018 年，某著名车企部署在 AWS 上的容器集群曾遭黑客植入挖矿木马。 2021 年初，又有一家企业的 Kubernetes 集群遭攻击团伙 TeamTNT 入侵并植入挖矿木马。 2021 年 4 月 1 日，程序审计平台 Codecov 遭攻击，黑客利用 Codecov 的 Docker 镜像创建过程中出现的错误，非法获取脚本权限并对其进行修改，最后将信息发送到 Codecov 基础架构之外的第三方服务器，影响数万名客户。

从重保的角度来看，相对往年 2022 年 8 月份举行的攻防演练（ HVV ）明确了容器失陷的扣分标准，每失陷一个容器扣 10 分。基于集群与容器的数量关系，如果整个集群被攻陷，丢分会非常严重。

由此我们可以得出结论，不管是真实的网络攻击，还是攻防演练，亦或是合规检查，容器云安全均处于重要位置，企业安全建设部门应当给予足够重视。

2、标准规范不断成熟

早期的容器云安全是缺少国内规范和标准的，厂商与用户只能参考 CIS 的两个 Benchmark ，包括 K8S 和 Docker 。但随着需求旺盛，相关机构开始组织行业专家编写相关规范，以指导相应的安全建设和产品研发。

• 2020 年，信通院发布容器安全标准，并据此推出可信容器云认证；
• 2021 年，信通院发布云原生架构安全白皮书；
• 2022 年， CSA 大中华区发布了云原生安全技术规范（ CNST ），同时联合公安部第三研究所发布了针对云原生和云应用的安全可信认证。
• 2022 年，公安三所编写等保 2.0 的容器云安全增补部分（征求意见稿）。

除此之外，各个行业或企业也在根据自身特点进行标准制定。

标准规范的推出和成熟，侧面反映了其必要性和重要