容器云的安全建设是否能跟上容器云的发展进度,云安全离不开容器安全,希望能分享一些容器云的安全最佳实践。
收起安全这个主题包括了非常多的内容,不仅仅是被动的防御和事后的查漏补缺,也包括态势感知,主动防御等内容,应该作为一个整体去考量和规划。细化到云原生这个方向,目前有容器平台本身的安全,映像安全,开发运维一体化安全( DevSecOps )等主题。
和传统平台相比,我认为云原生的安全有两个领域更值得关注。
一是对平台、服务和资源的全面掌控。云原生与传统云计算相比,资源粒度更细、服务数量更多、连接更复杂。带来的问题是监控、排错难度的指数级提升,对监控管理工具的依赖度更高。在部署和运维云原生平台之前,需要提前规划好监控和运维方案,例如目前常见的全链路监控方案( zipking 、 jaeger 、 skywalking 等)。全面的监管控查为安全建设奠定基础。
二是资源隔离性问题。特别是多租户场景下,传统容器的隔离性无法达到要求,提权、逃逸、 kernel panic 等威胁更大。这个方向,除了使用传统的虚拟化方案外,建议关注 kata container 等云原生隔离增强方案,以提升安全性。