容器云的安全性可以从三个层面进行设计,第一个方面静态,第二个方面是动态(运行时),第三层面管理态。静态安全方面主要考虑容器资源资产盘点(镜像,容器,POD,主机,存储卷等),安全补丁检测,docker和k8s基线检测( CIS Benchmark ),配置检测;动态安全方面主要考虑容器运行状态的防护,比如反弹shell,提权检测,溢出检测,暴力破解,Web后门,本地命令执行,DDOS攻击,东西方向的渗透扫描等,管理安全方面主要是在管理平台的RBAC控制,用户操作审计,用户/租户的最小权限规划等。安全的设计不是一蹴而就的事情,安全是有时间属性的,即此时安全并不能代表彼时安全,安全的设计需要建立设计,验证,改进,再设计的迭代过程,其中对于安全设计每个方面需要设计一个相关的回归验证逻辑,自动形成容器云平台总体安全态势的趋势图,揭示平台安全设计的完备性,同时指导云平台安全负责人进行下一步安全设计。同时对于新发现的风险隐患,需要进行分析,形成安全加固措施,进而增强整个容器平台的防御能力。