容器安全与虚拟化安全的本质区别有哪些？在前期设计以及后期运维时的侧重点是什么？

       容器技术的特性为较长的镜像生命周期、较短的容器实例生命周期，而容器本质是进行进程和资源隔离的；基于这些特性，相比虚拟化时代需要解决的安全问题，提出了更多新的安全挑战，包括：

应用构建性挑战：快速迭代的云原生应用和镜像生成，加大了引入漏洞/bug，病毒和不安全API，secrets等机会，公开热门镜像有大量漏洞。
运行动态性挑战：大量容器实例、短生命周期，安全无法监控， 出现入侵时，具有潜伏性，入侵程序可以在被攻克的容器节点上，躲在暗处不断监控和获取其上应用的信息
资源共享性挑战：多租户共享主机Kernel，黑客利用一些漏洞或配置问题，从容器环境中跳出而获得宿主机权限，导致宿主机沦陷，出现安全逃逸问题。
部署多样性挑战：容器部署方式多样，底层环境复杂、混合云部署，带来数据，网络隔离等新问题

容器安全管理分为三步，包括前期设计的预防检查，后期运维的监控探测和响应保护，具体可参考实现如下重点：
预防检查: 安全左移、DevSecOps协作、合规基线检查、容器漏洞分析、应用配置分析、安全策略管理
监控探测: 定制安全策略、告警上下文、运行时行为分析、攻击可视化、威胁可视化、网络可视化
响应保护: 合规报告评估、合规基线修复、攻击链分析、资产可视化等