容器云安全现状和发展趋势分析.docx

?

?

容器云安全现状和发展趋势分析

?

?

【摘要】基于云原生容器技术的容器云日益成为企业基础设施平台，但容器云的安全现状却不容乐观，容器云安全认知的匮乏，标准规范的不成熟，产品竞争激烈但同质化严重等使当前面临着诸多问题，容器云安全产品在具备镜像安全扫描、运行时入侵检测、合规检测等核心功能之外，微隔离、部署形态等也和容器云安全密切相关。容器云安全成为云原生安全的核心内容，未来容器云安全将会在深度和广度上继续发展，为企业云原生体系的打造更安全的基础设施。本文作者是容器云安全细分领域的老兵，希望文中观点能为大家带来参考和启发。

容器云技术在弹性和效率上的巨大优势，使其日益成为主流的IT基础设施。根据Gartner的预测，到2025年，云原生平台将成为95%以上的新数字化计划的基础，而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设，其安全的重要性也水涨船高，安全厂商与各企业的安全运营部门都开始在这个方向投入。

容器云安全不止是容器本身的安全，还包括镜像安全、编排（如K8s）安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应，也包括对开发生成的制品进行检查，防患于未然。虽然安全左移并非新概念，但容器云的安全建设相对传统云平台的安全建设，会更注重全生命周期。

容器云安全现状

安全风险不容乐观

据《Sysdig2022云原生安全和使用报告》显示，超过75%的运行容器存在高危或严重漏洞、62%的容器被检测出包含shell命令、76%的容器使用root权限运行。在我们之前接触的用户案例中，也存在不少企业的容器云允许kubelet被匿名访问，或者整个容器云平台没有任何防护措施，处于“裸奔”状态。诸多信息都表明企业的容器云存在较大安全风险，需要谨慎对待。

早在2018年，某著名车企部署在AWS上的容器集群曾遭黑客植入挖矿木马。2021年初，又有一家企业的Kubernetes集群遭攻击团伙TeamTNT入侵并植入挖矿木马。2021年4月1日，程序审计平台Codecov遭攻击，黑客利用Codecov的Docker镜像创建过程中出现的错误，非法获取脚本权限并对其进行修改，最后将信息发送到Codecov基础架构之外的第三方服务器，影响数万名客户。

从重保的角度来看，相对往年2022年8月份举行的攻防演练（HVV）明确了容器失陷的扣分标准，每失陷一个容器扣10分。基于集群与容器的数量关系，如果整个集群被攻陷，丢分会非常严重。

由此我们可以得出结论，不管是真实的网络攻击，还是攻防演练，亦或是合规检查，容器云安全均处于重要位置，企业安全建设部门应当给予足够重视。

标准规范不断成熟

早期的容器云安全是缺少国内规范和标准的，厂商与用户只能参考CIS的两个Benchmark，包括K8S和Docker。但随着需求旺盛，相关机构开始组织行业专家编写相关规范，以指导相应的安全建设和产品研发。

2020年，信通院发布容器安全标准，并据此推出可信容器云认证；

2021年，信通院发布云原生架构安全白皮书；

2022年，CSA大中华区发布了云原生安全技术规范（CNST），同时联合公安部第三研究所发布了针对云原生和云应用的安全可信认证。

2022年，公安三所编写等保2.0的容器云安全增补部分（征求意见稿）。

除此之外，各个行业或企业也在根据自身特点进行标准制定。

标准规范的推出和成熟，侧面反映了其必要性和重要性，也为产品研发和用户采购指明了方向，有较强的借鉴意义，降低了行业摸索走弯路的成本。容器云安全产品应该包括哪些功能，为用户创造哪些价值变得相对比较明确。

各家产品竞争激烈

今年RSAC创新沙盒大赛10强里面，有4家参赛企业选择了容器云安全相关领域，足以让我们感受到这个细分领域的热度。而在国内，我们看到有大约二十几家企业进入到这个赛道。其中既有奇安信、启明、绿盟这样的传统安全厂商，也有青藤这样的后起之秀，还有以小佑为典型的创业公司。笔者估计，未来会有更多的厂商参与进来。容器云安全的未来市场被看好，因此在需求还未完全释放的阶段，竞争已经提前进入了白热化。同时，竞争促使产品功能的同质化也日趋严重。

容器云安全产品探讨

作为容器云安全细分领域的老兵，笔者曾见过多家厂商的容器云安全产品，也曾亲自主导设计过某厂商的容器安全产品，后来又转到某甲方客户运营容器云安全。基于这几年的个人经验，用几个话题抛砖引玉，供大家参考。

三大核心功能

从用户需求出发，容器云安全产品应具备的功能应至少包含“合规检查”、“镜像扫描”和“入侵检测与响应”。这是最核心的需求，也是目前所有厂商的容器云安全产品都具备的功能。

镜像扫描：由于“不可变基础设施”的特性，对容器的漏扫可以通过镜像扫描来实现，对容器的加固也需要通过镜像加固来实现。镜像扫描有