基于容器特点和传统网络安全能力进行容器云安全规划设计.pdfVIP

基于容器特点和传统网络安全能力进行

容器云安全规划设计

相比于传统应用而言，容器天然是弱安全的，这些不足随着容器一起跑在企业

内网中，如果不能很好地识别并修复，分分钟就会成为“马奇诺防线”上的缺

口，发生数据泄露、安全漏洞等，给企业带来不可估量的损失。很多早期建设

容器云的企业已经深深感知到，面对容器技术的全新架构，“高筑城墙以御外

敌”的传统安全方案已经不合时宜，更多的攻击面、监控和防护难度大、安全

管控难度高，企业必须重新审视容器云环境的安全策略。

容器安全防护范围需要前移，防护粒度需要更细，也需要静态安全与动态安全

防护相结合。具体体现在容器的开发、部署、运行的全生命周期中，从容器云

平台的大边界，到租户小边界，再往内深入到虚拟机容器的微边界，对10+层

的潜在攻击面进行安全防护加固，覆盖到代码安全审计、主机安全、镜像安全、

容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎

等领域。联盟容器云安全课题组的目标是帮助企业健全容器安全防护工作体系，

提供镜像安全、基础设施安全、运行时安全等能力建设参考，减少摸索时间，

让更多重要生产应用运行在安全的容器环境中。

本期介绍联盟容器云安全课题组阶段性研究成果“容器云安全规划”。

导读

本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结

和思考，仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技

术体系中的关键技术，对其的不同定位会带来安全规划的不同要求。云原生安

全和传统安全能力的需求也有不同，因此认识到容器和云原生安全的特点来规

划容器云安全，会更有针对性。本文的方案可以作为容器云安全规划时的参

考，同时需要理解笔者所整理的《你需要知道的云原生架构体系内容》和《云

原生架构实施路线图》，才能更好的理解本文内容。

执笔专家

汪照辉容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。专注于容器云、微

服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见

解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事

实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字

化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。

顾问专家

罗文江容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组组长。招商银行云计算架

构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与

包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续

性等保障体系的建设工作。

常青容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。任职于中国光大银

行信息科技部，主要负责项目管理和开发安全体系建设方面的相关工作。主要

擅长web应用安全威胁与防治，容器云安全风险排查与评估。

越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps

的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用，

而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理

工具平台，使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架

构上来说，围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和

容易实施的方案。

一、容器云定位

不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准

化的运行时环境来说，它支撑的是应用生命周期过程中的运行阶段的需求。最

初笔者提出的“以应用管理为核心”的容器云平台建设思路，也在信通院刚刚

发布的《云原生新一代软件架构的变革》白皮书中的“一个中心”得到了体

现。因此可以说容器云平台是应用运行时的支撑和管理平台。不过要实现应用

的可见性、可管理性等，需要围绕容器云平台构建额外众多的基础设施工具和

平台支撑，比如日志平台、监控平台、认证权限平台、消息平台等等。需要将

容器云平台置于整个云原生DevOps体系之中，它承担的是应用生命周期过程中

的运行阶段。在这个体系中，每个平台、组件和工具都会涉及安全的问题。而

安全又分了不同的层次和机制，比如认证授权、加密解密、网络防护、病毒防

护、应用安全等等；采用容器又带来了新的对象、新的流程和新的问题，比如

镜像安全、容器安全、DevOps安全等。这是一个相互关联、相互影响而又相辅

相成的一个体系。

笔者一直也在思考如何来规划容器云平台的安全。一直想解决的一个问题是：

安全团队通过传统安全工具和方法扫描出来