什么是容器安全产品

 

随着轻量“虚机”容器（docker、coreos等）的流行，以及k8s的大行其道，容器安全是近几年逐渐火热。有不少创业公司，或者是老牌安全公司开始开发自己的容器安全产品。那么，容器安全产品是什么呢？他为什么会出现？以及未来前景如何？

容器安全产品是什么？

容器安全产品，是对传统EDR产品的补充，传统的EDR产品只能对虚机上的安全风险进行检测盒识别，所以一般都叫做主机安全产品。但是如果主机上面跑着docker容器，或者k8s集群，那么传统的EDR软件就无法对这部分进行安全检测与防护。

容器安全产品是对容器镜像和容器运行时进行安全检测、防护的产品，通过对镜像静态文件的扫描检测，以及对容器运行时状态的检测，来保护容器的安全。

为什么容器安全产品会出现？

为什么呢？因为容器过于“轻量”的特质，天然的造成了他的一些短板。容器是通过共用虚机内核的方式，来减少硬件层的开销，从虚机层面来看，容器实际就是一个进程。那么，就带来了隔离性问题，作为进程，就可以对同一个内核进行访问，在有漏洞或权限足够的情况下，可以控制整个虚机。所以，容器安全中，很常规的一个安全问题就是：容器逃逸问题。当容器是通过root权限运行的，那么他就可以利用一些漏洞，提权到虚机上，进一步对外侵入，造成破坏。

未来前景如何？

现在docker、k8s还是非常火热的，15年左右国内就有很多创业公司开启使用这种技术来部署公司的产品和应用。18年之后，很多国企、银行、大型车企都开始转向这种技术。所以说，生态、用户基础还是非常大的。18年也是国内容器安全厂商出现的年份。

近年来，出现了一个新的容器，叫做kata container，他平衡了性能和安全。他拥有单独的内核，可以不影响主机和其他容器。但现在只能运行的物理机上。有些人，可能会为了安全性，放弃docker，而使用kata container。

总的来说，短期内，kata container不会替代docker。甚至永远不会。所以，容器安全产品还是很有前景的。