相比于传统应用而言,容器天然是弱安全的,这些不足随着容器一起跑在企业内网中,如果不能很好地识别并修复,分分钟就会成为“马奇诺防线”上的缺口,发生数据泄露、安全漏洞等,给企业带来不可估量的损失。很多早期建设容器云的企业已经深深感知到,面对容器技术的全新架构,“高筑城墙以御外敌”的传统安全方案已经不合时宜,更多的攻击面、监控和防护难度大、安全管控难度高,企业必须重新审视容器云环境的安全策略。
容器安全防护范围需要前移,防护粒度需要更细,也需要静态安全与动态安全防护相结合。具体体现在容器的开发、部署、运行的全生命周期中,从容器云平台的大边界,到租户小边界,再往内深入到虚拟机容器的微边界,对10+层的潜在攻击面进行安全防护加固,覆盖到代码安全审计、主机安全、镜像安全、容器运行时安全、容器网络微隔离、编排环境合规安全、容器监控自学习引擎等领域。
本文是基于笔者在容器云安全平台应用实践过程中对遇到的问题及方案的总结和思考,仅作为同行或朋友们在规划容器云安全时的参考。容器作为云原生技术体系中的关键技术,对其的不同定位会带来安全规划的不同要求。云原生安全和传统安全能力的需求也有不同,因此认识到容器和云原生安全的特点来规划容器云安全,会更有针对性。
越来越多的人关注云原生安全。作为云原生核心内容的微服务、容器、DevOps的安全是构建云原生安全体系的关键组成部分。云原生的核心是云原生应用,而基于容器技术所构建的容器云平台则由于其自身是云原生应用的运行和管理工具平台,使其成为云原生安全中的核心平台支撑。从云原生应用和云原生架构上来说,围绕容器云平台来构建云原生安全体系也是相对清晰、容易落地和容易实施的方案。
一、容器云定位
不同的人对容器云的理解和定位会有所不同。从容器为微服务应用提供的标准化的运行时环境来说,