云原生安全专家观察：容器云安全现状和发展趋势

容器云技术在弹性和效率上的巨大优势，使其日益成为主流的IT基础设施。根据Gartner的预测，到2025年，云原生平台将成为95%以上的新数字化计划的基础，而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设，其安全的重要性也水涨船高，安全厂商与各企业的安全运营部门都开始在这个方向投入。

容器云安全不止是容器本身的安全，还包括镜像安全、编排（如K8s）安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应，也包括对开发生成的制品进行检查，防患于未然。虽然安全左移并非新概念，但容器云的安全建设相对传统云平台的安全建设，会更注重全生命周期。

容器云安全现状

• 安全风险不容乐观

据《Sysdig 2022 云原生安全和使用报告》显示，超过75%的运行容器存在高危或严重漏洞、62%的容器被检测出包含shell命令、76%的容器使用root权限运行。在我们之前接触的用户案例中，也存在不少企业的容器云允许kubelet被匿名访问，或者整个容器云平台没有任何防护措施，处于“裸奔”状态。诸多信息都表明企业的容器云存在较大安全风险，需要谨慎对待。

早在2018年，某著名车企部署在AWS上的容器集群曾遭黑客植入挖矿木马。2021年初，又有一家企业的Kubernetes集群遭攻击团伙TeamTNT入侵并植入挖矿木马。2021年4月1日，程序审计平台Codecov遭攻击，黑客利用Codecov的Docker镜像创建过程中出现的错误，非法获取脚本权限并对其进行修改，最后将信息发送到 Codecov 基础架构之外的第三方服务器，影响数万名客户。

从重保的角度来看，相对往年2022年8月份举行的攻防演练（HVV）明确了容器失陷的扣分标准，每失陷一个容器扣10分。基于集群与容器的数量关系，如果整个集群被攻陷，丢分会非常严重。

由此我们可以得出结论，不管是真实的网络攻击，还是攻防演练，亦或是合规检查，容器云安全均处于重要位置，企业安全建设部门应当给予足够重视。

• 标准规范不断成熟

早期的容器云安全是缺少国内规范和标准的，厂商与用户只能参考CIS的两个Benchmark，包括K8S和Docker。但随着需求旺盛，相关机构开始组织行业专家编写相关规范，以指导相应的安全建设和产品研发。

• 2020年，信通院发布容器安全标准，并据此推出可信容器云认证；
• 2021年，信通院发布云原生架构安全白皮书；
• 2022年，CSA大中华区发布了云原生安全技术规范（CNST），同时联合公安部第三研究所发布了针对云原生和云应用的安全可信认证。
• 2022 年，公安三所编写等保2.0的容器云安全增补部分（征求意见稿）。

除此之外，各个行业或企业也在根据自身特点进行标准制定。

标准规范的推出和成熟，侧面反映了其必要性和重要性，