本文为云原生应用创新实践联盟——容器云安全课题组生产内容，相关专家如下所示，更多内容可点击此处进入云原生应用创新实践联盟进行查看。
  ① 已通过课题组专家审核
  ② 待课题用户组织评议（欢迎各位在下方评论区提出您的宝贵意见）

执笔专家：
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家 ，注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。

顾问专家：
id:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。
王蕊 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家， 北银金科云计算应用部资深架构师，从事企业级系统开发，架构设计工作10余年，曾就职于Sun中国工程研究院，IBM全球解决方案服务部，Watson医疗等部门。在Cloud和微服务等主流技术和大型系统现代化改造，微服务，云原生系统设计领域有丰富经验。

摘要

基于弱安全容器技术实现的容器云平台自身存在动态难跟踪、敏捷快速迭代、更多风险来源和更大攻击面等问题，在面对日益严峻的安全环境，需要持续不断的增强安全意识，改进安全防护方法，应对安全挑战。本文引入了ATT&CK攻防框架，有助于深入了解容器云安全体系和攻防应对，同时也基于笔者个人理解提出了攻防应对的步骤。

由于容器在隔离和安全性方面存在的天然缺陷，随着安全攻防的演练和安全意识的提升，容器的弱安全性和分布式复杂性成为容器企业级应用的阻碍，容器云采用面临着安全挑战。如何使企业在云原生时代具备容器安全防护能力是推进容器云企业级应用的一个重要方面。

一、容器云安全特点

云原生环境下和传统以安全域划分实现安全管控的方法有所不同。网络安全域划分限制了云原生的弹性和扩展性能力。云原生消除了这种硬网络边界，通过软件来定义边界和网络，对网络安全能力、身份认证和权限管控提出了更高的要求。容器云作为云原生应用的部署运维平台，居于云原生技术架构的中心。容器的弹性、生命周期短、轻量和数量众多、故障自愈（异常重启迁移）等也使容器安全具备动态、敏捷迭代、更大攻击面、难以跟踪等特点。

1. 动态难跟踪
采用容器最核心的是用其按需弹性伸缩的能力，所以也使容器云环境持续在动态变化中。容器云环境中容器可能不断地被创建和销毁、自我复制、从一台节点迁移到另外一台节点等。这和传统服务器上部署一个或几个固定的应用或组件是不一样的，管理方式也面临着挑战，安全的防护意识和手段也需要变革。动态变化的容器安全除了通过安全左移尽可能消除安全漏洞外，也需要将传统通过防火墙、黑白名单等静态安全防护方式转变为多种手段的实时检测和防护。

2. 敏捷迭代
轻量的容器适合承载微服务化应用，以支持应用快速变更、敏捷迭代、弹性可扩展性等需求。采用DevOps 化的应用发布非常频繁，可能是传统应用发布方式的几倍、几十倍甚至几百倍等。容器安全漏洞往往通过快速发布一个修复了漏洞的新的版本来替换，而不是为容器安装补丁。提升了业务服务的迭代速度。

3. 更大的攻击面
云原生架构体系涉及的技术和组件众多，容器云平台自身也拥有众多的开源