容器云安全挑战和攻防应对

引言

由于容器在隔离和安全性方面存在的天然缺陷，随着安全攻防的演练和安全意识的提升，容器的弱安全性和分布式复杂性成为容器企业级应用的阻碍，容器云采用面临着安全挑战。如何使企业在云原生时代具备容器安全防护能力是推进容器云企业级应用的一个重要方面。

一、容器云安全特点

云原生环境下和传统以安全域划分实现安全管控的方法有所不同。网络安全域划分限制了云原生的弹性和扩展性能力。云原生消除了这种硬网络边界，通过软件来定义边界和网络，对网络安全能力、身份认证和权限管控提出了更高的要求。容器云作为云原生应用的部署运维平台，居于云原生技术架构的中心。容器的弹性、生命周期短、轻量和数量众多、故障自愈（异常重启迁移）等也使容器安全具备动态、敏捷迭代、更大攻击面、难以跟踪等特点。

1. 动态难跟踪

采用容器最核心的是用其按需弹性伸缩的能力，所以也使容器云环境持续在动态变化中。容器云环境中容器可能不断地被创建和销毁、自我复制、从一台节点迁移到另外一台节点等。这和传统服务器上部署一个或几个固定的应用或组件是不一样的，管理方式也面临着挑战，安全的防护意识和手段也需要变革。动态变化的容器安全除了通过安全左移尽可能消除安全漏洞外，也需要将传统通过防火墙、黑白名单等静态安全防护方式转变为多种手段的实时检测和防护。

2. 敏捷迭代

轻量的容器适合承载微服务化应用，以支持应用快速变更、敏捷迭代、弹性可扩展性等需求。采用DevOps 化的应用发布非常频繁，可能是传统应用发布方式的几倍、几十倍甚至几百倍等。容器安全漏洞往往通过快速发布一个修复了漏洞的新的版本来替换，而不是为容器安装补丁。提升了业务服务的迭代速度。

3. 更大的攻击面

云原生架构体系涉及的技术和组件众多，容