云原生趋势下-金融企业的安全新挑战和防护难点.docx

?

?

云原生趋势下，金融企业的安全新挑战和防护难点解读

?

?

随着云计算的发展，以容器和微服务为代表的云原生技术受到人们的广泛关注，其中Docker和Kubernetes（K8S）是企业容器运行时和容器编排的首要选择。然而，在应用容器和K8S过程中，大多数企业都遇到过不同程度的安全问题，如何保障容器安全，已成为企业最关心的问题。

为能更好的解决大家在容器云安全方面的所遇到的难题，twt社区近期持续组织了多场同行交流和话题研讨。现将干货内容整理如下，重点分析解读金融企业面临的安全新挑战，以及容器云安全防护的典型问题及解决办法，最后分享同行共识总结，希望能够帮助更多金融企业做好容器云场景下的安全建设。

一、趋势分析

（一）传统信息安全面临的新挑战及与容器安全的联系和区别

尚峰某大型国有银行资深云计算专家：

传统安全是基础。可以认为传统的安全包裹着容器安全，容器安全不是独立存在的。没有一个体系能够完全脱离传统的安全完成容器云的安全。因此，先要做好传统安全，然后再做容器安全。

那么，针对容器安全能否使用一些传统的安全方案？有一些领域确实是没有办法去适应容器安全。

在容器云中，如果是彻底的原生概念，基于容器的动态肯定会是短平快，即容器的变化会是非常快的。容器是一个不可变基础设施，一般不会基于原有的技术、原有的东西去做变更，而是彻底摒弃掉老的，生成一个新的，对于这种情况，其安全体系需要能够识别新和老的这种更替，必须能够适应这种新的场景。

容器云要监控的对象比传统的全面监控对象要多很多倍，这样就会有很多的关系存在，这张网就会越来越复杂，这也是对容器云安全的的一大挑战。

此外，因为容器是标准化的，标准化就意味着要做的事情几乎是一定的，在运行的过程中间，如果超出了这个范围即是异常，所以这种情况也需要有机制能够去识别，去监测，并且有一定的机制能够去进行阻挡，或是人为的干预等等。

王洪涛?红帽资深解决方案架构师：

传统信息安全和容器安全，其实是两个互补的部分，容器安全不能够解决所有问题，传统安全也不能捎带着把容器安全解决了，因为它们各司其职，或者说各自的侧重点是不一样的。

以一个比较形象的比喻来说：传统的信息安全，就好像一个小区，小区门口设立一个保安；现在在容器云平台上，这个小区太大了，光在门口做保安检查是不够的，需要在这个小区的每栋楼，甚至每户门口都要有保安才能解决问题。这是容器的一些特点所决定的。而像日常的传统信息安全的范畴，比如说操作系统杀毒，其实就不应该放在容器的安全的成本内去考虑。比如平台上的网络抓包分析，如果通过容器云平台的安全机制去解决，其性能损耗其实是不值得的，肯定要借助于之前的传统网络解决方案，传统的走路由器或者做F5。

因此，传统安全和容器安全是互补的关系，需要搞清楚它们各自的职责和角色分工，它们是缺一不可的。

（二）容器云安全防护的需求

在容器云使用过程中，会发现与传统的安全有很大的区别。传统的安全管控，主要是在网络边界或者主机层面使用防火墙进行限制。但是使用容器云之后，所有的容器都运行在集群的内部，传统的防火墙，对该类防护已经无能为力了。需要从容器化基础设施、容器编排平台、云原生应用以及无服务等方面分析云原生安全威胁、云原生安全漏洞风险、容器镜像、容器运行时、容器网络、云原生可观测性、宿主机威胁检测等方面综合考虑，具体体现在如下几点需求：

1)同一个容器云集群中，不同namespace之间的网络防护：默认情况下我们不希望不同的namespace可以直接互相访问，这样不利于安全控制，如果有一个pod失陷，攻击者就可以进行横向移动，造成危害。?

2)怎样对个别Pod进行网络防护：在同一个Namespace中，默认情况下，Pod之间是可以互相访问的，但是有时可能会有特殊需求，不希望该Pod被其他Pod访问到或者只能访问指定的端口。?

3)出容器云集群后的流量识别：在传统应用部署上，应用被部署在特定的几台机器上，出口流量也就是固定的几个IP，但是在容器云上，出口的IP有可能是容器云集群中的任何一个Node，而且与其他在容器云上的应用混杂在一起，那么在网络的边界，传统的防火墙如何去识别这些流量，对不同的应用去做不同的网络策略。

4)Pod之间的流量加密：这个需求在自建私有云上用到的比较少，但是如果是租用公有云的用户，这种需求就可能存在了，毕竟底层的网络流量不能在用户自己的掌控下，被流量抓包和分析的可能性还是很大。?

5)容器基础镜像的安全：基础镜像作为我们的应用运行的底层，如果出现安全漏洞，所有以该镜像所生成的应用镜像都受到影响，如何确保基础镜像的安全。?

6)容器运行状态下的安全检测：当容器在镜像仓库中时，可以通过扫描镜像仓库发现一些可疑镜像，但是如果镜像已经部署在容器云中，那么使用哪些手