如何保证容器本身的安全？

容器安全，是很多用户选择容器的时候都会考虑的问题之一。
目前，容器厂商会提供一部分安全能力，也会有些专业安全厂商提供容器安全解决方案。但总体上差异不大，因为容器发展的还是非常快的，传统安全厂商的安全思路并不完全适用于容器，消耗吸收还有一个过程。

容器厂商，一般会提供https访问加密、非root账号管理、主机配合用户加固、镜像安全扫描，个别厂商会提供K8s集群的安全漏洞扫描功能并给出解决方案。

红帽在Openshift基础组件之上，提供了高级集群安全管理模块（stackrox），可以帮助用户在镜像安全和容器运行安全，以及提供基于AI的使用安全方面主动的安全加固建议和手段，这和普通的容器静态安全检测手段相比处于领先地位。

1. 从网络上需要做到 网络划分，需要将不同租户之间的网络进行隔离或者使用SR-IOV之类的网络虚拟技术
2. 存储加密，使用K8S CSI管理存储卷的生命周期，将用户与存储架构隔离。同时加密保护各个存储卷，防止不安全访问。

3.对于镜像安全，可以所以用Aqua、Sysdig等工具对正在构建的容器镜像进行漏洞、程序包以及依赖包的扫描
其次，应该又严格的准入控制策略，只允许通过组织签过名的镜像。
在运行中的容器可以使用AquaSysdig等工具进行事实监控预防威胁。