Steven
作者Steven2022-09-14 10:11
IT顾问, steven

容器云安全挑战和攻防应对

字数 4606阅读 3767评论 3赞 9

本文为云原生应用创新实践联盟——容器云安全课题组生产内容,相关专家如下所示,更多内容可点击此处进入云原生应用创新实践联盟进行查看。
  ① 已通过课题组专家审核
  ② 待课题用户组织评议(欢迎各位在下方评论区提出您的宝贵意见)

执笔专家:
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家 ,注于容器云、微服务、DevOps、数据治理、数字化转型等领域,对相关技术有独特的理解和见解。擅长于软件规划和设计,提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容,受到了广泛关注和肯定。

顾问专家:
罗文江 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长,招商银行云计算架构师,当前从事银行私有云和公有云基础设施、以及混合云架构的建设,参与包括容器云等相关云服务的规划、技术选型、架构设计和实施,以及业务连续性等保障体系的建设工作。
王蕊 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家, 北银金科云计算应用部资深架构师,从事企业级系统开发,架构设计工作10余年,曾就职于Sun中国工程研究院,IBM全球解决方案服务部,Watson医疗等部门。在Cloud和微服务等主流技术和大型系统现代化改造,微服务,云原生系统设计领域有丰富经验。

摘要

基于弱安全容器技术实现的容器云平台自身存在动态难跟踪、敏捷快速迭代、更多风险来源和更大攻击面等问题,在面对日益严峻的安全环境,需要持续不断的增强安全意识,改进安全防护方法,应对安全挑战。本文引入了ATT&CK攻防框架,有助于深入了解容器云安全体系和攻防应对,同时也基于笔者个人理解提出了攻防应对的步骤。

由于容器在隔离和安全性方面存在的天然缺陷,随着安全攻防的演练和安全意识的提升,容器的弱安全性和分布式复杂性成为容器企业级应用的阻碍,容器云采用面临着安全挑战。如何使企业在云原生时代具备容器安全防护能力是推进容器云企业级应用的一个重要方面。

一、容器云安全特点

云原生环境下和传统以安全域划分实现安全管控的方法有所不同。网络安全域划分限制了云原生的弹性和扩展性能力。云原生消除了这种硬网络边界,通过软件来定义边界和网络,对网络安全能力、身份认证和权限管控提出了更高的要求。容器云作为云原生应用的部署运维平台,居于云原生技术架构的中心。容器的弹性、生命周期短、轻量和数量众多、故障自愈(异常重启迁移)等也使容器安全具备动态、敏捷迭代、更大攻击面、难以跟踪等特点。

1. 动态难跟踪
采用容器最核心的是用其按需弹性伸缩的能力,所以也使容器云环境持续在动态变化中。容器云环境中容器可能不断地被创建和销毁、自我复制、从一台节点迁移到另外一台节点等。这和传统服务器上部署一个或几个固定的应用或组件是不一样的,管理方式也面临着挑战,安全的防护意识和手段也需要变革。动态变化的容器安全除了通过安全左移尽可能消除安全漏洞外,也需要将传统通过防火墙、黑白名单等静态安全防护方式转变为多种手段的实时检测和防护。

2. 敏捷迭代
轻量的容器适合承载微服务化应用,以支持应用快速变更、敏捷迭代、弹性可扩展性等需求。采用DevOps 化的应用发布非常频繁,可能是传统应用发布方式的几倍、几十倍甚至几百倍等。容器安全漏洞往往通过快速发布一个修复了漏洞的新的版本来替换,而不是为容器安装补丁。提升了业务服务的迭代速度。

3. 更大的攻击面
云原生架构体系涉及的技术和组件众多,容器云平台自身也拥有众多的开源组件

试读部分结束,继续阅读

此内容为“云原生应用创新实践联盟”用户的专属内容

云原生应用创新实践联盟用户组是基于联盟课题方向、集结各行业技术领域的企业用户的用户组织。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

9

添加新评论3 条评论

ghl116ghl116软件开发工程师, 兴业数金
2022-10-30 21:12
云原生时代下,使企业在具备容器安全防护能力是推进容器云企业级应用的一个重要方面。作者从容器云安全特点和容器云安全挑战两个方面出发,展开进行了分析,并基于ATT&CK攻防框架,提出了4个方面的攻防应对的解决思路,分别是:知己知彼、 选择合适的架构和方案、选择合适的应对技术和持续演练、总结和改进。本文对于企业增强安全意识,改进安全防护方法,应对安全挑战,具有很好的指导价值。
笑笑笑笑软件架构设计师, 三一
2022-10-29 15:17
在《容器云安全挑战和攻防应对》这篇文章中,作者首先列举了容器云安全的几大特点: 1.动态难跟踪 2.敏捷迭代 3.更大的被攻击面 (如果操作系统内核漏洞、组件漏洞、log4j漏洞、k8s漏洞、SpringCloud漏洞等) 4.更多的风险来源(基础镜像) 然后枚举了容器云安全的挑战 1.安全防护意识挑战 2.安全防护方式挑战 然后提出了借鉴ATT&CK框架,提供了云安全攻防应对方法1.知己知彼 对容器云上的资产进行梳理 2.选择合适的架构和方案,作者在规划自己公司的容器云安全架构时,采用了纵向分层、横向分段的安全网络方案。同时建议以下点位做安全检查: 代码安全检查、流水线镜像安全检查、镜像仓库镜像检查、节点镜像检查、容器运行时镜像检查等。 3.选择合适的应对技术,根据安全网格划分,针对性的选择合适技术,就是熟悉ATT&CK框架每项攻击技术MITRE提供的应对方法Shield防御技术。 4.持续演练、总结和改进。
ltzxlwj700mltzxlwj700m系统工程师, 中*银行
2022-10-28 10:32
【文章价值点】作者针对当前容器云自身的安全缺陷,介绍了容器云安全体系和攻防应对方案,对于容器云企业级应用很有借鉴意义。文章内容详实,介绍了云原生环境的安全特点,由于容器自身特点导致容器安全具有动态、敏捷迭代、攻击面大、难跟踪等特点。基于此类问题,作者描述了容器云安全面临的诸多挑战。最后,结合ATT&CK框架,作者整理出4种容器云安全攻防应对方案。 【个人看法】云原生时代,容器云安全领域面临巨大挑战,也充满了机遇,如何应对诸多安全问题,需要更对的人参与进来集思广益。
Ctrl+Enter 发表

本文隶属于专栏

最佳实践
不同的领域,都有先行者,实践者,用他们的最佳实践来加速更多企业的建设项目落地。

容器云管理平台选型优先顺序调查

发表您的选型观点,参与即得50金币。

作者其他文章

相关文章

相关问题

相关资料