基于容器特点和传统网络安全能力进行容器云安全规划设计.pdfVIP

学而不知道，与不学同；知而不能行，与不知同。——黄睎

基于容器特点和传统网络安全能力进行

容器云安全规划设计

相比于传统应用而言，容器天然是弱安全的，这些不足随着容器一起跑在企业

内网中，如果不能很好地识别并修复，分分钟就会成为“马奇诺防线”上的缺

口，发生数据泄露、安全漏洞等，给企业带来不可估量的损失。很多早期建设

容器云的企业已经深深感知到，面对容器技术的全新架构，“高筑城墙以御外

敌”的传统安全方案已经不合时宜，更多的攻击面、监控和防护难度大、安全

管控难度高，企业必须重新审视容器云环境的安全策略。

容器安全防护范围需要前移，防护粒度需要更细，也需要静态安全与动态安全

防护相结合。具体体现在容器的开发、部署、运行的全生命周期中，从容器云

平台的大边界，到租户小边界，再往内深入到虚拟机容器的微边界，对10+层

的潜在攻击面进行安全防护加固，覆盖到代码安全审计、主机安全、镜像安全、

容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎

等领域。联盟容器云安全课题组的目标是帮助企业健全容器安全防护工作体系，

提供镜像安全、基础设施安全、运行时安全等能力建设参考，减少摸索时间，

让更多重要生产应用运行在安全的容器环境中。

本期介绍联盟容器云安全课题组阶段性研究成果“容器云安全规划”。

学而不知道，与不学同；知而不能行，与不知同。——黄睎

导读

本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结

和思考，仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技

术体系中的关键技术，对其的不同定位会带来安全规划的不同要求。云原生安

全和传统安全能力的需求也有不同，因此认识到容器和云原生安全的特点来规

划容器云安全，会更有针对性。本文的方案可以作为容器云安全规划时的参

考，同时需要理解笔者所整理的《你需要知道的云原生架构体系内容》和《云

原生架构实施路线图》，才能更好的理解本文内容。

执笔专家

汪照辉容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。专注于容器云、微

服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见

解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事

实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字

化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。

顾问专家

罗文江容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组组长。招商银行云计算架

构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与

学而不知道，与不学同；知而不能行，与不知同。——黄睎

包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续

性等保障体系的建设工作。

常青容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。任职于中国光大银

行信息科技部，主要负责项目管理和开发安全体系建设方面的相关工作。主要

擅长web应用安全威胁与防治，容器云安全风险排查与评估。

越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps

的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用，

而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理

工具平台，使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架

构上来说，围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和

容易实施的方案。