Steven
作者Steven2022-08-24 21:39
IT顾问, steven

容器云安全现状分析和发展趋势

字数 6312阅读 1540评论 3赞 12

本文为云原生应用创新实践联盟——容器云安全课题组生产内容,相关专家如下所示,更多内容可点击此处进入云原生应用创新实践联盟进行查看。
  ① 待课题组专家审核
  ② 待课题用户组织评议(欢迎各位在下方评论区提出您的宝贵意见)

执笔专家:
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家,专注于容器云、微服务、DevOps、数据治理、数字化转型等领域,对相关技术有独特的理解和见解。擅长于软件规划和设计,提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容,受到了广泛关注和肯定。
刘斌 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家, 清华大学工程管理硕士,中移信息云原生安全专家,信通院容器云原生安全规范主要编写者之一,云安全联盟( CSA )专家会员,曾在小佑科技担任产品总监。持有 EXIN DevOps Master 、 PMP 、 CCSK 、 CISP 、 AWS SAP 等各类认证,在安全产品与解决方案有超过 10 年的探索和实践。
顾问专家
罗文江 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长,招商银行云计算架构师,当前从事银行私有云和公有云基础设施、以及混合云架构的建设,参与包括容器云等相关云服务的规划、技术选型、架构设计和实施,以及业务连续性等保障体系的建设工作。

摘要:

基于云原生容器技术的容器云日益成为企业基础设施平台,但容器云的安全现状却不容乐观,容器云安全认知的匮乏,标准规范的不成熟,产品竞争激烈但同质化严重等使当前面临着诸多问题,容器云安全产品在具备镜像安全扫描、运行时入侵检测、合规检测等核心功能之外,微隔离、部署形态等也和容器云安全密切相关。容器云安全成为云原生安全的核心内容。未来容器云安全将会在深度和广度上继续发展,为企业云原生体系的打造更安全的基础设施。

容器云技术在弹性和效率上的巨大优势,使其日益成为主流的 IT 基础设施。根据 Gartner 的预测,到 2025 年,云原生平台将成为 95% 以上的新数字化计划的基础,而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设,其安全的重要性也水涨船高,安全厂商与各企业的安全运营部门都开始在这个方向投入。

容器云安全不止是容器本身的安全,还包括镜像安全、编排(如 K8s )安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应,也包括对开发生成的制品进行检查,防患于未然。虽然安全左移并非新概念,但容器云的安全建设相对传统云平台的安全建设,会更注重全生命周期。

一、容器云安全现状

1、安全风险不容乐观

据《 Sysdig 2022 云原生安全和使用报告》显示,超过 75% 的运行容器存在高危或严重漏洞、 62% 的容器被检测出包含 shell 命令、 76% 的容器使用 root 权限运行。在我们之前接触的用户案例中,也存在不少企业的容器云允许 kubelet 被匿名访问,或者整个容器云平台没有任何防护措施,处于 “ 裸奔 ” 状态。诸多信息都表明企业的容器云存在较大安全风险,需要谨慎对待。

早在 2018 年,某著名车企部署在 AWS 上的容器集群曾遭黑客植入挖矿木马。 2021 年初,又有一家企业的 Kubernetes 集群遭攻击团伙 TeamTNT 入侵并植入挖矿木马。 2021 年 4 月 1 日,程序审计平台 Codecov 遭攻击,黑客利用 Codecov 的 Docker 镜像创建过程中出现的错误,非法获取脚本权限并对其进行修改,最后将信息发送到 Codecov 基础架构之外的第三方服务器,影响数万名客户。

从重保的角度来看,相对往年 2022 年 8 月份举行的攻防演练( HVV )明确了容器失陷的扣分标准,每失陷一个容器扣 10 分。基于集群与容器的数量关系,如果整个集群被攻陷,丢分会非常严重。

由此我们可以得出结论,不管是真实的网络攻击,还是攻防演练,亦或是合规检查,容器云安全均处于重要位置,企业安全建设部门应当给予足够重视。

2、标准规范不断成熟

早期的容器云安全是缺少国内规范和标准的,厂商与用户只能参考 CIS 的两个 Benchmark ,包括 K8S 和 Docker 。但随着需求旺盛,相关机构开始组织行业专家编写相关规范,以指导相应的安全建设和产品研发。

  • 2020 年,信通院发布容器安全标准,并据此推出可信容器云认证;
  • 2021 年,信通院发布云原生架构安全白皮书;
  • 2022 年, CSA 大中华区发布了云原生安全技术规范( CNST ),同时联合公安部第三研究所发布了针对云原生和云应用的安全可信认证。
  • 2022 年,公安三所编写等保 2.0 的容器云安全增补部分(征求意见稿)。

除此之外,各个行业或企业也在根据自身特点进行标准制定。

标准规范的推出和成熟,侧面反映了其必要性和重要性,也为

试读部分结束,继续阅读

此内容为“云原生应用创新实践联盟”用户的专属内容

云原生应用创新实践联盟用户组是基于联盟课题方向、集结各行业技术领域的企业用户的用户组织。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

12

添加新评论3 条评论

nicolgnicolg基础架构工程师, 华夏银行股份有限公司
2022-11-07 16:53
本文作者从容器云面临的安全风险现状,行业标准规范的不断成熟与完善及同业产品竞争的角度出发,结合自身多年的安全领域实践经验,从甲方用户的角度探讨了容器云安全产品应该具备的三大功能特点,进一步分析了现有微隔离产品相对合理的实现模式及优劣势,容器云安全产品的主流部署形态及择优适用方案,本文紧密结合市场上容器云安全产品的特点,强调了减少对开源工具依赖的重要性,个人认为,随着容器云安全需求的持续增长,同时无论甲方或者乙方,都需要在内部舍得投入成本,不断培养既懂容器又懂网络安全的专有人才,各家需要结合自身实际情况选择适合的容器云安全建设方案,不断优化升级,同时在实现容器云安全功能方面追求质量而非拼凑产品工具数量。本文观点具有前瞻性,对促进容器云安全产品的开发与应用都有很好的参考价值!
ghl116ghl116软件开发工程师, 兴业数金
2022-10-30 16:23
自2016年国家颁布《网络安全法》,网络安全已经上升到了国家战略层面。随着容器云技术的普及,容器云已成为企业重要的基础设施之一,容器云安全也越来越受到大家的关注。作者从事容器云安全领域多年,对于容器云安全产品具有丰富的设计和运营经验,本文从容器云安全现状、容器云安全产品、开源社区发展和发展趋势四个方面进行了介绍,重点对云安全产品的核心功能,微隔离和部署形态进行了阐述和分析,提出了自己的观点,具有非常好的参考价值。
ltzxlwj700mltzxlwj700m系统工程师, 中*银行
2022-10-28 17:29
【文章价值点】作者详细介绍了容器云安全的现状、产品,重点介绍了容器云安全产品的部署形态。本文内容翔实,多角度、多层次分析了不同容器云安全产品的优点与缺陷,同时给出建设性意见。 【个人看法】容器云在急速发展,随着创新的步伐不断加快,需要开发出新的技术和工具来帮助企业紧跟技术的发展。面向云原生环境,不能生搬硬套传统云计算环境的安全方案,必须做出优化升级。想要在云时代保持竞争力,企业应该专注于构建云原生应用程序,并使用合适的云原生安全平台来帮助保护它们。
Ctrl+Enter 发表

本文隶属于专栏

趋势观点
本专栏的文章全部来自国内外行业或领域一线最强实践专家的深刻洞察,他们的分享如同为正在摸索前进的更多同行和企业带来一盏明灯。他们的观点也为企业迎接趋势挑战、克服各种困难提供了最好争议的标的。希望有更多一线最强实践专家加入趋势观点栏目,你们是推动中国企业IT应用最值得尊敬的人。

容器云管理平台选型优先顺序调查

发表您的选型观点,参与即得50金币。

作者其他文章

相关文章

相关问题

相关资料