本文为云原生应用创新实践联盟—— 容器云安全方向课题组线上交流活动总结，相关协作专家如下所示， 更多内容可点击此处进入云原生应用创新实践联盟 进行查看。

执笔专家：
许小平 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家。从事软件架构开发行业10年，熟悉容器云原生、linux内核、区块链、DevOps等技术领域，参与代码贡献开源社区项目，如docker、kubernetes、grafana、ethereum等，具备参加国有股份银行容器云建设、推广的经验，参编撰写多篇云计算的行业标准规范。

顾问专家：
ID:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，某银行云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。

随着行业数字化转型和应用下移的战略开展，业务上容器云正在成为普遍的选择，容器云作为软件基础设施的引入和应用微服务容器化的改造，由于技术架构的改变势必伴生出了新的安全问题，广义上可分为应用安全和业务安全（可靠性、性能、连续性），本文重点关注前者（容器云平台自身也属于容器应用）。主要围绕三个方面介绍：容器云当前面临哪些安全威胁、容器云安全体系的建设思路、以及容器云安全的发展趋势。

一. 容器云安全现状

1. 容器云安全威胁日益凸显

一是利用容器云新技术的漏洞发起攻击，容器、微服务等技术的应用导致企业资源暴露面增加，成为攻击主要目标，如 2020 年 Azure 用户因 Kubeflow（基于 Kubernetes 的组件）未授权访问漏洞被部署恶意容器。同时镜像可能存有漏洞，配置不当，来源不可信，通道安全等等风险；部署方面，容器编排组件应用更多是K8S，同样存在自身漏洞或配置问题，并存在管理缺陷，同样增加了容器的安全风险；运行层面，为追求轻量化，容器多采用共享宿主操作系统内核，提升了逃逸风险的同时，还增大了攻击面和影响范围。

二是通过私有云的软件供应链进行攻击，2021 年 Docker Hub 上的部分容器镜像被内置挖矿程序，下载总数超 2000 万次；软件供应链安全威胁主要表现为：一是开源风险突出。无论是云服务商还是上云企业，开源都已成为行业的主流开发模式，在加快研发效率的同时也将安全问题引入到软件供应链当中。二是云服务商成攻击突破口，木桶效应明显。相较于传统针对软件自身漏洞的攻击，云服务商（私有云）作为软件供应链上游，其编码过程、开发工具、设备等均是供应链受攻击面，攻击者只需突破一个点，即可撕开上云企业的整套防御体系。三是不安全的分发渠道影响大。通过网络进行私有云软件交付、开源软件分发以及补丁下发已成为常态，分发渠道作为软件供应链中较为脆弱的一环，其安全影响重大。

2. 微服务细粒度切分增加云原生规模化应用风险

“微服务对应用做了细粒度切分，增加了规模化应用风险。”微服务场景下，业务逻辑分散在多进程中，每一个进程都有自己的入口点，暴露的端口数量大幅增加，将导致防范攻击面比原来单体应用大得多。而且暴露的都是业务内部的接口，攻击风险和影响都会将更大。同样，微服务之间调度逻辑复杂，性能要求更高，对访问控制策略要求也越高，容易带来越权风险。同时，基于社区化的开源组件，也为让微服务治理框架本身引入新的漏洞。

3. DevOps提升研发流程和安全管理的防范难度

容器云往往和DevOps等理念组成云原生架构体系，在研发运维方面的安全问题上，即DevOps包括代码前期设计层面，流程、管理层面，以及工具层面。但DevOps在显著提升云上效能的同时，也带来了一些复杂的安全问题，传统的安全防护理念（指的是非容器化的安全产品和服务），很难覆盖DevOps下容器云的安全需求，为了保障容器云安全需要更深刻理解云原生架构，以提供更具针对性的安全解决方案，去构建更完整的防护体系。

二. 建设思路

目前业内尚未出现可以遵循的安全合规标准，在新的面向云原生（容器）的合规性要求出台前，可考虑在当前安全合规性底线的基础上，有针对性的落实缓解措施，可以遵循从“无到有向”向“从有到优”演进的建设思路。

1. 复用现有安全管控措施

容器应用的整个生命周期主要由四个阶段组成：开发、分发、部署、和运行，当前企业内已实施建设的安全措施，基本属于“运行”阶段，可考虑从复用现有安全建设成果开始，主要从以下维度开展：

• 容器应用的网络边界管控、容器资源配额；
• 容器云平台审计日志分析、控制平面的身份认证和权限；
• 主机操作系统漏洞扫描和安全界限管理；
• 应用数据的存储安全；
• 完善安全事件持续响应机制等；
• 后续可基于此继续完善容器紧相关的安全措施：
• CVE漏洞版本管理（平台组件、开源组件）
• CIS Benchmark基线合规检测（运行时容器、k8s、主机）

2. 建设预防性的安全左移

容器应用的生命周期的四阶段中，每个阶段都会放大了前一个阶段的安全威胁，体现了安全左移的必要性，做到上线即安全。

主要包含以下阶段：

• 开发编译中的安全检查：静态代码扫描、动态威胁分析、依赖安全分析、功能单元测试、秘钥管理；
• 分发阶段的镜像制品的扫描：镜像漏洞扫描、可信基础镜像等
• 部署物料（yaml）的安全基线检查：禁止特权用户、秘钥凭证管理等

安全本身不是临时抱佛脚，就能求得安全的，需要在日常运营操作中，建立全流程信息化的台账，从而系统化的梳理、规范、加固业务路径上的关键点。容器云安全更是跨多专业的实践领域，几乎所有的Day1和Day2操作都会与安全域重提，涉及到从身份认证到数据存储方面。常见的安全实施往往会阻碍了容器和微服务架构的迭代速度和敏捷性，因此需要安全领导层实施更紧密的双向理解和集成，整个组织在容器应用的开发交付生命周期中采用安全的云原生模式和架构，最主要的是实现安全架构和组织目标的协同作用，建立持续的检测-响应-加固的机制。

3. 零信任微隔离

由于容器业务的敏捷性要求和动态性编排（部署），对传统基于边界的安全管控带来了挑战。目前容器云领域大都选择建设基于零信任理念的微隔离方案，零信任安全模型的主要概念是“从不信任，总是验证” ，即不应默认信任设备，即使设备已经连接到经许可的网络（例如企业局域网）并且之前已通过验证。基于此的为隔离方案可以主动隔离，自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，也称为“声明式”的网络策略，从而快速、安全地落地容器微隔离能力。

另外零信任同样可以加强容器云的统一访问管控，大量分散用户访问云上与数据中心的业务时，需具备统一权限控制策略。零信任 以身份而非网络为中心，一方面，通过强身份验证与授权对所有访问主体进行管控，在建立信任前，不进行任何数据传输操作；另一方面，通过统一接入、统一访问控制和统一资源纳管体系，为用户提供一致的访问体验，保护分布式的关键数据和业务，让企业充分体验容器云优势的同时免去安全顾虑。

4. 总结

总体上容器云安全建设需要注意以下几点：
1、复用现有安全建设成果，结合实际建立基线及准入机制；
2、全面的考虑容器云安全整体架构；
3、根据容器云平台和应用上云的建设节奏逐步完善；
4、贴合云原生技术演进方向，防止建设完不能用或者没有用；
5、贴合容器云应用的特点，使用符合云原生特点的解决方案。

近期联合业内也推出了云原生安全成熟度评估，主要融合了零信任、安全左移、持续监测与响应以及可观测四大理念，涵盖了基础设施安全、云原生基础架构安全、云原生应用安全、云原生研发运营安全、云原生安全运维5个维度、15个子维度、46个实践项 、 356个细分能力要求，全场景多维度检验云原生平台架构的安全防护能力。企业可快速对照、定位安全能力水平，诊断自身问题，查漏补缺，根据业务需求结合模型高阶能力定制安全架构演进方向。

三. 容器云安全未来发展的思路和方向

随着容器云的持续下沉普及，传统的安全建设愈发感受到了瓶颈，主要涉及自动化程度不够、管控粒度待细化、安全赋能待加强。因此推断未来会主要呈现以下发展方向：
1、安全技术的主导力量从单边走向多元。云服务商与安全厂商势必将加强深度合作，结合双方在技术研究、人才储备、产品应用等方面的积累和经验；在云原生安全的不同赛道将衍生出更加专注于细分领域的安全服务商，进一步丰富和完善云原生安全生态。

2、安全理念以人为中心转向以服务为中心。传统安全侧重以人为主的防护策略，已经不能满足云原生实例频繁启停的生命周期变化以及海量的东西向流量交互；以服务为中心构建的容器安全防护措施，持续监控响应模型和可视化平台，将成为云原生安全防护的主流方案。

3、安全产品形态从粗暴上云转向与平台/应用深度融合。云原生安全将与云原生平台，应用深度融合，提供新型云原生信息基础设施的防护、检测和响应能力；并将云原生技术赋能于这些安全产品，应用和解决方案，实现进程级防护能力，微隔离访问控制，全流程实时监控响应，实现安全方案的内生配置和深度融合。

4、安全落地方案走向轻量化、敏捷化、精细化。随着容器部署的环节越来越复杂，运行实例生命周期越来越短，要求安全方案的反应必须迅速敏捷，及时发现容器启动，密切跟踪容器行为，并在发现异常时迅速反应；云原生提供的服务粒度越来越细，相应安全方案的防护粒度也需越来越细，从过去的容器粒度，到目前的函数粒度，未来可能是语句粒度、变量粒度。