前言

近年來，隨著云計算的發展，企業數字化的進程不斷加快，業務紛紛開始上云，云原生的概念最近兩年也是十分火熱，在新業務場景下也隨之產生了新的安全問題，如k8s安全、devsecops、微服務安全、Service Mesh安全、容器安全等等，本文主要是對于容器安全產品——Aqua 的調研。

容器安全是近幾年比較熱門非細分領域，Gatner 在2020年把容器安全也放到了CWPP領域 ，國外出現了一批專門做容器安全的廠商，如 ：Apcera、Aqua、StackRox和Twistlock等，國內一些之前專注于主機層面安全問題的廠商也在自家產品中加入了對docker容器的安全考慮（如：青藤云），以適應客戶在混合云場景下的安全需求，也出現了專注于容器安全的初創型公司（如：小佑科技）。

本文主要是基于個人粗淺的認識，對 Aqua 的容器安全產品做一點介紹。Aqua 誕生于2015年，短短5年已經完成了A、B、C、D輪融資（截止2020年5月），以容器安全起家，專注于云原生場景下的安全問題，從官網大致能看出，Aqua 的核心產品是 Aqua Platform ，由容器安全模塊，CSPM 云安全管理平臺、k8s安全模塊、容器/鏡像安全模塊、Serverless 安全模塊、VM安全模塊等組成，幾乎涵蓋了云原生場景下全生命周期的安全問題，這次主要討論的只是是其中一個子模塊——容器安全。

一、產品理念

產品理念可以從官網、白皮書、市場宣傳策略來看，從中能發現產品想向我們傳達什么、突出什么。
Aqua 容器安全部分的產品理念是：使用業界最先進的容器安全解決方案，保障基于容器的云原生應用從開發到運行的全生命周期安全。
如下是官網宣傳的幾個點：

Risk and Compliance 風險與合規
Mitigate Attacks 威脅緩解
Cross-Platform Security 跨平臺安全

1、Risk and Compliance——風險與合規

Aqua 會在pipline 的 CI 階段對容器鏡像進行掃描，將安全問題前置，在構建階段就盡可能地減少潛在攻擊面，并且具備日志審計和取證功能，對于容器和k8s運行過程中的異常行為信息都能詳細記錄；對于強監管的金融行業來說，Aqua 的風險視圖模塊不僅能形象地展示出集群的風險情況，還詳細展示了運行部署中的漏洞以及所有出入站的網絡連接，很好地滿足PCI-DSS中的第六和第十條規定。

2、Mitigate Attacks——緩解供應鏈攻擊和 0 day 漏洞攻擊

Aqua 通過運行時保護和異常行為分析，對攻擊行為進行及時阻斷，保護工作負載的正常運行。

3、Cross-Platform Security——跨平臺兼容能力

Auqa 支持多種容器運行環境： Window、linux、VM、裸金屬以及一些 Container-as-a-Service 產品（如 AWS Fargate 、Azure Container Instances），甚至是 VMware 的 Tanzu 平臺（把虛擬機和Kubernetes結合起來，對虛擬機和容器以及物理機統一進行管理）。

二、產品功能

構建階段CI/CD鏡像掃描
鏡像動態分析
靈活的鏡像保證策略
風險視圖
漏洞防護
采用Drift Prevention實現運行時保護
行為分析
負載防火墻
K8s Secrets 保護
審計和取證

1、鏡像掃描

Aqua支持在CI build 階段以及容器build后，依據實時更新、類型豐富的漏洞庫信息，對惡意軟件、敏感信息、OSS license 及 安全配置等問題進行掃描，分別展示出每個鏡像高、中、低不同等級的漏洞情況。

2、容器運行時的威脅分析

攻擊者們總是在不斷嘗試著如何對容器發起攻擊，如 挖礦、憑據竊取、數據盜取、利用容器發起DDOS攻擊等等。鏡像掃描是十分必要的一類工具，然而靜態掃描對于高級惡意軟件是個盲區，需要有一種方法來評估容器鏡像中的已知和未知風險，由此產生了運行時（runtime）檢測方案。Aqua 有一個基于沙箱的解決方案——Aqua DTA，能夠對容器在運行態存在的安全風險進行檢測和分類，包括：

容器構建階段提前識別安全風險
Aqua DTA會從注冊表和CI構建管道掃描鏡像， 防止在構建階段引入惡意鏡像。
部署前檢測
鏡像部署前會先在安全沙箱中運行，以檢測例如容器逃逸、反彈shell、惡意軟件、后面植入等威脅。
保護容器應用免受攻擊
Mitigate the risks of data theft, credential theft, using containers for DDoS, and cryptocurrency resource abuse targeted by Advanced Persistent Threats and polymorphic malware.
緩解容器受到例如 DDos（利用容器發起）、挖礦、高級威脅、惡意軟件等威脅。

3、靈活的鏡像保證策略（image assurance policies）

Aqua的鏡像保證策略采用了靜態和動態檢測結合的方法，幫助判斷哪些鏡像能通過pipline流程，build并運行在你的集群或主機上；鏡像保證策略是一些檢測項的集合，包含漏洞評分/嚴重程度、惡意軟件嚴重程度、敏感數據、root特權或超級用戶權限使用等，通過類似Dashbord的方式，詳細展示出鏡像各監測項的安全狀況 。

4、k8s 集群風險視圖

https://blog.aquasec.com/kubernetes-security-risk-explorer

當你的工作負載運行在k8s上時，比較困難的是難以知道安全GAP點具體在哪里，不能直接展現出集群上面的安全隱患；devsecops團隊面對海量的告警不知從哪下手 ，而 Aqua Risk Explorer 正適用于這種場景，它能夠基于集群的維度，實時、可視化地展示 K8s 集群中的安全風險，并給出優先級建議。

Aqua Risk Explorer 是k8s集群的動態風險地圖，給出了集群、主機、容器、服務等節點間的邏輯示意圖，對每個風險項提供了安全風險評分，它展示了namespaces、deploymens、node（hosts）、容器及組成容器的鏡像風險情況，還有 namespaces 之間的網絡連接及其安全風險評分。

對于每個deployment，風險視圖展示了build容器的鏡像以及這些鏡像存在的安全風險，點擊下鉆能看到風險的詳細情況以及緩解措施。

隨著組織逐漸轉向更大規模的Kubernetes部署，對其動態變化的風險進行持續監控、實時可見變得至關重要，Risk Explorer 這一功能夠很好的滿足這樣需求。

5、vShield（Vulnerability Shield）

容器鏡像中經常存在各種已知的漏洞，由于安全人力等各種原因難以及時完全地徹底修復，為了防止漏洞被攻擊惡意利用，vShield 提供了一種能力：在無需修改應用代碼的情況下，非入侵式的、自動依據漏洞優先級阻斷漏洞利用行為，『It acts as a virtual patch to prevent the exploitation of a specific vulnerability and provides visibility into such exploitation attempts. 』，能夠阻斷并且提供對這種惡意攻擊行為的可見性，工作 起來就像 “虛擬補丁”似的，應該類似RASP，起到運行時防護的作用，一旦發生攻擊能立刻報警并阻斷。

6、Drift Prevention and Runtime Policies

根據鏡像的數字簽名，Aqua通過比較容器鏡像相對于其原始鏡像是否發生變化來判斷是否遭受到了攻擊。這種特性可阻止包括 0 day攻擊在內的不少攻擊向量；另外，runtime 運行時檢測能夠發現和阻斷可疑行為，例如端口掃描、異常IP連接 以及拒絕服務攻擊等。

7、容器行為分析

Aqua的行為分析能力使用先進的機器學習技術來分析容器的行為，包括文件訪問、網絡訪問、卷掛載、系統調用等，減少了容器的攻擊面，針對特權提升提供了另一層防御。

8、負載防火墻

Aqua通過基于應用程序標識和上下文將容器網絡限制在規定范圍內來限制攻擊影響擴大，Aqua 的負載防火墻能夠自動的發現網絡連接并且給出對應的策略規則，基于服務特征、url、Ip等僅允許合法連接，對未授權或異常連接報警和阻斷，Aqua 負載防火墻支持和K8s網絡插件(如Weave和Flannel)以及服務網格(如Istio)同時工作。

9、k8s Secret 保護

K8s Secret 對象
Secret 對象類型用來保存敏感信息，例如密碼、OAuth 令牌和 SSH 密鑰等，這樣的信息可能會被放在 Pod 規約中或者鏡像中。 用戶可以創建 Secret，同時系統也創建了一些 Secret。Kubernetes Secret 默認情況下存儲為 base64-編碼的、非加密的字符串。 默認情況下，能夠訪問 API 的任何人，或者能夠訪問 Kubernetes 下層數據存儲（etcd） 的任何人都可以以明文形式讀取這些數據。

通過對 secrets 在傳輸、靜止狀態加密，Aqua 能夠在容器運行階段保證 secrets 的安全，secrets 存儲在內存而非硬盤中，僅當容器需要使用它是才對容器可見；和 secrets 管理工具如 HashiCorp, CyberArk, AWS KMS or Azure Vault 等集成，并且對于用戶來說無需重啟容器，就能實現對 secrets 的更換、廢棄 等操作，并且整個過程保持對用戶透明可見，通過Aqua還能看見哪些 secrets 是正在被使用的、以及被哪些容器使用。

10、取證與審計

Aqua 會從鏡像、容器、編排工具、主機等層面實時收集數據，提供日志類型的數據流到 SIEM 等分析監控工具中，當發現有違反安全策略的行為，Aqua就會收集 用戶上下文信息、k8s上下文信息（namespace、node、pod）、鏡像以及注冊表上下文等源數據信息，以便安全人員能及時定位威脅。

三、最后

這是一篇存貨文章了，現在來看存在一些不足：1）對產品的認識不夠、（技術角度）分析不夠深入；2）并且本篇文章僅從單一產品角度來看，沒有橫向針對同類型產品做比較；3）云相關的知識需要補充學習

總結

以上是生活随笔為你收集整理的容器安全产品Aqua调研的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。