本文为云原生应用创新实践联盟——容器云安全课题组生产内容,相关专家如下所示,更多内容可点击此处进入云原生应用创新实践联盟进行查看。
① 待课题组专家审核
② 待课题用户组织评议(欢迎各位在下方评论区提出您的宝贵意见)执笔专家:
汪照辉 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家,专注于容器云、微服务、DevOps、数据治理、数字化转型等领域,对相关技术有独特的理解和见解。擅长于软件规划和设计,提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容,受到了广泛关注和肯定。
刘斌 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组专家, 清华大学工程管理硕士,中移信息云原生安全专家,信通院容器云原生安全规范主要编写者之一,云安全联盟( CSA )专家会员,曾在小佑科技担任产品总监。持有 EXIN DevOps Master 、 PMP 、 CCSK 、 CISP 、 AWS SAP 等各类认证,在安全产品与解决方案有超过 10 年的探索和实践。
顾问专家
社区ID:rechen 容器云安全用户委员会委员
twt社区云原生应用创新实践联盟——容器云安全方向课题组组长,云计算架构师,当前从事银行私有云和公有云基础设施、以及混合云架构的建设,参与包括容器云等相关云服务的规划、技术选型、架构设计和实施,以及业务连续性等保障体系的建设工作。
摘要:
基于云原生容器技术的容器云日益成为企业基础设施平台,但容器云的安全现状却不容乐观,容器云安全认知的匮乏,标准规范的不成熟,产品竞争激烈但同质化严重等使当前面临着诸多问题,容器云安全产品在具备镜像安全扫描、运行时入侵检测、合规检测等核心功能之外,微隔离、部署形态等也和容器云安全密切相关。容器云安全成为云原生安全的核心内容。未来容器云安全将会在深度和广度上继续发展,为企业云原生体系的打造更安全的基础设施。
容器云技术在弹性和效率上的巨大优势,使其日益成为主流的 IT 基础设施。根据 Gartner 的预测,到 2025 年,云原生平台将成为 95% 以上的新数字化计划的基础,而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设,其安全的重要性也水涨船高,安全厂商与各企业的安全运营部门都开始在这个方向投入。
容器云安全不止是容器本身的安全,还包括镜像安全、编排(如 K8s )安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应,也包括对开发生成的制品进行检查,防患于未然。虽然安全左移并非新概念,但容器云的安全建设相对传统云平台的安全建设,会更注重全生命周期。
据《 Sysdig 2022 云原生安全和使用报告》显示,超过 75% 的运行容器存在高危或严重漏洞、 62% 的容器被检测出包含 shell 命令、 76% 的容器使用 root 权限运行。在我们之前接触的用户案例中,也存在不少企业的容器云允许 kubelet 被匿名访问,或者整个容器云平台没有任何防护措施,处于 “ 裸奔 ” 状态。诸多信息都表明企业的容器云存在较大安全风险,需要谨慎对待。
早在 2018 年,某著名车企部署在 AWS 上的容器集群曾遭黑客植入挖矿木马。 2021 年初,又有一家企业的 Kubernetes 集群遭攻击团伙 TeamTNT 入侵并植入挖矿木马。 2021 年 4 月 1 日,程序审计平台 Codecov 遭攻击,黑客利用 Codecov 的 Docker 镜像创建过程中出现的错误,非法获取脚本权限并对其进行修改,最后将信息发送到 Codecov 基础架构之外的第三方服务器,影响数万名客户。
从重保的角度来看,相对往年 2022 年 8 月份举行的攻防演练( HVV )明确了容器失陷的扣分标准,每失陷一个容器扣 10 分。基于集群与容器的数量关系,如果整个集群被攻陷,丢分会非常严重。
由此我们可以得出结论,不管是真实的网络攻击,还是攻防演练,亦或是合规检查,容器云安全均处于重要位置,企业安全建设部门应当给予足够重视。
早期的容器云安全是缺少国内规范和标准的,厂商与用户只能参考 CIS 的两个 Benchmark ,包括 K8S 和 Docker 。但随着需求旺盛,相关机构开始组织行业专家编写相关规范,以指导相应的安全建设和产品研发。
除此之外,各个行业或企业也在根据自身特点进行标准制定。
标准规范的推出和成熟,侧面反映了其必要性和重要
企业IT应用趋势项目创新联盟用户组是基于联盟课题方向、集结各行业技术领域的企业用户的用户组织。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞12
添加新评论3 条评论
2022-11-07 16:53
2022-10-30 16:23
2022-10-28 17:29