作者 | 匡大虎
來(lái)源 | 阿里巴巴云原生公眾號(hào)

云原生進(jìn)程中的容器安全挑戰(zhàn)

云原生的火熱帶來(lái)了企業(yè)基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)等技術(shù)層面的革新，在云原生的大勢(shì)所趨下，越來(lái)越多的企業(yè)選擇擁抱云原生，在 CNCF 2020 年度的調(diào)研報(bào)告中，已經(jīng)有83% 的組織在生產(chǎn)環(huán)境中選擇 Kubernetes，容器已經(jīng)成為應(yīng)用交付的標(biāo)準(zhǔn)，也是云原生時(shí)代計(jì)算資源和配套設(shè)施的交付單元。顯然，容器已經(jīng)成為應(yīng)用交付的標(biāo)準(zhǔn)，也是云原生時(shí)代計(jì)算資源和配套設(shè)施的交付單元。

然而，由于在隔離和安全性方面存在的天然缺陷，安全一直是企業(yè)進(jìn)行容器改造化進(jìn)程中關(guān)注的核心問(wèn)題之一。來(lái)到云原生時(shí)代，企業(yè)又將面臨哪些容器安全新挑戰(zhàn)？

• 缺少體系化的容器安全能力建設(shè)：傳統(tǒng)的企業(yè)應(yīng)用安全模型通常基于內(nèi)部架構(gòu)不同的信任域來(lái)劃分對(duì)應(yīng)的安全邊界，在信任域內(nèi)的東西向服務(wù)交互被認(rèn)為是安全的。而上云后企業(yè)應(yīng)用需要在 IDC 和云上部署和交互，在物理安全邊界消失后，如何在零信任的網(wǎng)絡(luò)安全模型下構(gòu)建企業(yè)級(jí)容器安全體系是云服務(wù)商需要解決的重要問(wèn)題。

• 更多的攻擊面：基于容器技術(shù)的應(yīng)用部署依賴(lài) Linux 內(nèi)核 namespaces 和 cgroups 等特性，從攻擊者的角度出發(fā)，可以利用內(nèi)核系統(tǒng)漏洞，容器運(yùn)行時(shí)組件和容器應(yīng)用部署配置等多個(gè)維度發(fā)起針對(duì)性的逃逸和越權(quán)攻擊。K8s、Docker、Istio 等開(kāi)源社區(qū)近年來(lái)也相繼爆出不少的高危漏洞，這都給攻擊者提供了可乘之機(jī)。

• 缺少應(yīng)用側(cè)全生命周期的安全防護(hù)手段：容器技術(shù)在為企業(yè)應(yīng)用架構(gòu)提供了彈性、敏捷和動(dòng)態(tài)可擴(kuò)展等特性的同時(shí)，也改變了應(yīng)用的部署模式。首先應(yīng)用自身的生命周期被大幅縮短，一個(gè)容器應(yīng)用的生命周期通常是分鐘級(jí)；與此同時(shí)，隨著存儲(chǔ)網(wǎng)絡(luò)和異構(gòu)資源利用率等基礎(chǔ)設(shè)施能力上的提升，容器應(yīng)用的部署密度也越來(lái)越高，傳統(tǒng)的面向虛機(jī)維度的安全防護(hù)策略和監(jiān)控告警手段已經(jīng)無(wú)法適應(yīng)容器技術(shù)的需求。

• 缺少對(duì)云上安全責(zé)任共擔(dān)模型的理解：企業(yè)應(yīng)用上云后的安全需要遵循責(zé)任共擔(dān)模型，在企業(yè)應(yīng)用架構(gòu)云原生話(huà)的轉(zhuǎn)型過(guò)程中，需要企業(yè)應(yīng)用管理者和安全運(yùn)維人員理解企業(yè)自身和云服務(wù)商之前的責(zé)任邊界。這個(gè)過(guò)程中也需要云服務(wù)商面向企業(yè)應(yīng)用側(cè)輸出更全面的容器安全最佳實(shí)踐并提升安全能力的易用性，降低使用門(mén)檻。

構(gòu)建容器安全體系的基本原則

為了應(yīng)對(duì)上述企業(yè)應(yīng)用在容器化進(jìn)程中的安全挑戰(zhàn)，云服務(wù)商和企業(yè)應(yīng)用安全管理運(yùn)維人員需要攜手共建容器應(yīng)用安全體系：

圖 1 - ACK 容器服務(wù)安全責(zé)任共擔(dān)模型

1. 云服務(wù)供給側(cè)

對(duì)于云服務(wù)商，首先需要依托于云平臺(tái)自身的安全能力，構(gòu)建安全穩(wěn)定的容器基礎(chǔ)設(shè)施平臺(tái)，并且面向容器應(yīng)用從構(gòu)建，部署到運(yùn)行時(shí)刻的全生命周期構(gòu)建對(duì)應(yīng)的安全防護(hù)手段。整個(gè)安全體系的構(gòu)建需要遵循如下基本原則：

1）保證容器管控平臺(tái)基礎(chǔ)設(shè)施層的默認(rèn)安全

容器平臺(tái)基礎(chǔ)設(shè)施層承載了企業(yè)應(yīng)用的管控服務(wù)，是保障業(yè)務(wù)應(yīng)用正常運(yùn)行的關(guān)鍵，容器平臺(tái)的安全性是云服務(wù)商應(yīng)該格外關(guān)注的。

• 完備的平臺(tái)安全能力：首先云服務(wù)商自身基礎(chǔ)設(shè)施的安全性是容器平臺(tái)是否安全的基礎(chǔ)，比如?VPC?的安全配置能力，SLB?的訪問(wèn)控制，DDoS?能力和賬號(hào)系統(tǒng)對(duì)云資源的訪問(wèn)控制能力等都是平臺(tái)側(cè)面向企業(yè)應(yīng)用需要提供的基礎(chǔ)安全能力。

• 版本更新和漏洞應(yīng)急響應(yīng)機(jī)制：虛機(jī)?OS?的版本更新和漏洞補(bǔ)丁的安裝能力也是保證基礎(chǔ)設(shè)施安全的基本防護(hù)措施，除此之外如?K8s?等容器相關(guān)開(kāi)源社區(qū)的風(fēng)險(xiǎn)漏洞，都可能成為惡意攻擊者首選的攻擊路徑，需要廠商提供漏洞的分級(jí)響應(yīng)機(jī)制并提供必要的版本升級(jí)能力。

• 平臺(tái)的安全合規(guī)性：這也是很多金融企業(yè)和政府部門(mén)應(yīng)用上云的硬性前提條件。云服務(wù)商需要基于業(yè)界通用的安全合規(guī)標(biāo)準(zhǔn)，保證服務(wù)組件配置的默認(rèn)安全性，同時(shí)面向平臺(tái)用戶(hù)和安全審計(jì)人員，提供完備的審計(jì)機(jī)制。

2）面向容器應(yīng)用側(cè)提供縱深防御能力

云服務(wù)商不僅要在自身管控側(cè)建立完善的安全武裝，同時(shí)也需要面向業(yè)務(wù)應(yīng)用負(fù)載，提供適合云原生場(chǎng)景下容器應(yīng)用的安全防護(hù)手段，幫助終端用戶(hù)在應(yīng)用生命周期各階段都能有對(duì)應(yīng)的安全治理方案。由于云原生具有動(dòng)態(tài)彈性的基礎(chǔ)設(shè)施，分布式的應(yīng)用架構(gòu)和創(chuàng)新的應(yīng)用交付運(yùn)維方式等特點(diǎn)，這就要求云服務(wù)商能夠結(jié)合自身平臺(tái)的基礎(chǔ)安全能力，將云原生能力特性賦能于傳統(tǒng)的安全模型中，構(gòu)建面向云原生的新安全體系架構(gòu)。

2. 企業(yè)安全側(cè)

對(duì)于企業(yè)的安全管理和運(yùn)維人員來(lái)說(shuō)，首先需要理解云上安全的責(zé)任共擔(dān)模型邊界，究竟企業(yè)自身需要承擔(dān)起哪些安全責(zé)任。云原生微服務(wù)架構(gòu)下企業(yè)應(yīng)用在 IDC 和云上進(jìn)行部署和交互，傳統(tǒng)的網(wǎng)絡(luò)安全邊界已經(jīng)不復(fù)存在，企業(yè)應(yīng)用側(cè)的網(wǎng)絡(luò)安全架構(gòu)需要遵循零信任安全模型，基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。對(duì)于企業(yè)安全管理人員來(lái)說(shuō)可以參考關(guān)注如下方向加固企業(yè)應(yīng)用生命周期中的生產(chǎn)安全：

• 保證應(yīng)用制品的供應(yīng)鏈安全

云原生的發(fā)展使得越來(lái)越多的大規(guī)模容器應(yīng)用開(kāi)始在企業(yè)生產(chǎn)環(huán)境上部署，也大大豐富了云原生應(yīng)用制品的多樣性，像容器鏡像和 helm charts 都是常見(jiàn)的制品格式。對(duì)于企業(yè)來(lái)說(shuō)制品供應(yīng)鏈環(huán)節(jié)的安全性是企業(yè)應(yīng)用生產(chǎn)安全的源頭，一方面需要在應(yīng)用構(gòu)建階段保證制品的安全性；另一方面需要在制品入庫(kù)，分發(fā)和部署時(shí)刻建立對(duì)應(yīng)的訪問(wèn)控制，安全掃描、審計(jì)和準(zhǔn)入校驗(yàn)機(jī)制，保證制品源頭的安全性。

• 權(quán)限配置和憑證下發(fā)遵循權(quán)限最小化原則

基于統(tǒng)一的身份標(biāo)識(shí)體系進(jìn)行認(rèn)證授權(quán)是在零信任安全模型下構(gòu)建訪問(wèn)控制能力的基礎(chǔ)。對(duì)于企業(yè)安全管理人員來(lái)說(shuō)，需要利用云服務(wù)商提供的訪問(wèn)控制能力，結(jié)合企業(yè)內(nèi)部的權(quán)限賬號(hào)體系，嚴(yán)格遵循權(quán)限最小化原則配置對(duì)云上資源和容器側(cè)應(yīng)用資源的訪問(wèn)控制策略；另外嚴(yán)格控制資源訪問(wèn)憑證的下發(fā)，對(duì)于可能造成越權(quán)攻擊行為的已下發(fā)憑證要及時(shí)吊銷(xiāo)。另外要避免容器應(yīng)用模板配置如特權(quán)容器這樣的過(guò)大權(quán)限，確保最小化攻擊面。

• 關(guān)注應(yīng)用數(shù)據(jù)和應(yīng)用運(yùn)行時(shí)刻安全

應(yīng)用的成功部署上線并不意味著安全工作的結(jié)束。除了配置完備的資源請(qǐng)求審計(jì)外，安全管理運(yùn)維人員還需要利用廠商提供的運(yùn)行時(shí)刻監(jiān)控告警和事件通知等機(jī)制，保持對(duì)容器應(yīng)用運(yùn)行時(shí)安全的關(guān)注，及時(shí)發(fā)現(xiàn)安全攻擊事件和可能的安全隱患。對(duì)于企業(yè)應(yīng)用自身依賴(lài)的敏感數(shù)據(jù)（比如數(shù)據(jù)庫(kù)密碼，應(yīng)用證書(shū)私鑰等）需要根據(jù)應(yīng)用數(shù)據(jù)的安防等級(jí)采用對(duì)應(yīng)的密鑰加密機(jī)制，利用云上的密鑰管理方案和落盤(pán)加密，機(jī)密計(jì)算等能力，保證數(shù)據(jù)在傳輸和落盤(pán)鏈路上的數(shù)據(jù)安全性。

• 及時(shí)修復(fù)安全漏洞和進(jìn)行版本更新

無(wú)論是虛機(jī)系統(tǒng)，容器鏡像或是容器平臺(tái)自身的安全漏洞，都有可能被惡意攻擊者利用成為入侵應(yīng)用內(nèi)部的跳板，企業(yè)安全管理運(yùn)維人員需要根據(jù)云服務(wù)商推薦的指導(dǎo)方案進(jìn)行安全漏洞的修復(fù)和版本更新（比如 K8s 集群版本，應(yīng)用鏡像版本等）。此外企業(yè)要負(fù)責(zé)內(nèi)部員工的安全培訓(xùn)工作，居安思危，提升安全防護(hù)意識(shí)也是企業(yè)安全生產(chǎn)的基礎(chǔ)要?jiǎng)?wù)。

端到端的云原生容器安全架構(gòu)

阿里云 ACK 容器服務(wù)面向廣大的企業(yè)級(jí)客戶(hù)，構(gòu)建了完整的容器安全體系，提供了端到端的應(yīng)用安全能力。在今年 Forrester IaaS 安全評(píng)測(cè)中，阿里云容器安全能力與谷歌并列滿(mǎn)分，領(lǐng)先其他廠商。下圖為阿里云容器服務(wù)的安全體系架構(gòu)圖：

圖 2 - ACK 容器服務(wù)安全體系架構(gòu)圖

首先整個(gè)容器安全體系依托于阿里云強(qiáng)大的平臺(tái)安全能力，包括物理/硬件/虛擬化以及云產(chǎn)品安全能力，構(gòu)建了夯實(shí)的平臺(tái)安全底座。

在云平臺(tái)安全層之上是容器基礎(chǔ)設(shè)施安全層，容器基礎(chǔ)設(shè)施承載了企業(yè)容器應(yīng)用的管控能力，其默認(rèn)安全性是應(yīng)用能夠穩(wěn)定運(yùn)行的重要基礎(chǔ)。首先面向集群 host 節(jié)點(diǎn) OS 鏡像本身阿里云操作系統(tǒng)團(tuán)隊(duì)做了很多安全加固相關(guān)工作，Alibaba Cloud Linux 2 (原 Aliyun Linux 2) 不僅是阿里云官方操作系統(tǒng)鏡像，也是 ACK 的首選默認(rèn)系統(tǒng)鏡像。Alibaba Cloud Linux 2 在 2019 年 8 月 16 日正式通過(guò)了 CIS 組織的全部認(rèn)證流程并發(fā)布對(duì)應(yīng)的 CIS Aliyun Linux 2 Benchmark version 1.0.0。ACK 正在支持對(duì)基于 Alibaba Cloud Linux 操作系統(tǒng)的集群進(jìn)行 CIS 安全加固來(lái)滿(mǎn)足簡(jiǎn)單、快捷、穩(wěn)定、安全的使用需求。除 CIS 合規(guī)外，2021 年 1 月，ACK 已經(jīng)正式支持對(duì)基于 Alibaba Cloud Linux 操作系統(tǒng)的集群進(jìn)行等保加固。

在容器管控側(cè)，阿里云容器服務(wù)基于 CIS Kubernetes 等業(yè)界安全標(biāo)準(zhǔn)基線對(duì)容器管控面組件配置進(jìn)行默認(rèn)的安全加固，同時(shí)遵循權(quán)限最小化原則收斂管控面系統(tǒng)組件和集群節(jié)點(diǎn)的默認(rèn)權(quán)限，最小化攻擊面。三月，阿里云容器服務(wù)提交的 CIS Kubernetes benchmark for ACK 正式通過(guò) CIS 社區(qū)組織的認(rèn)證審核，成為國(guó)內(nèi)首家發(fā)布 CIS Kubernetes 國(guó)際安全標(biāo)準(zhǔn)基線的云服務(wù)商。

統(tǒng)一的身份標(biāo)識(shí)體系和訪問(wèn)控制策略模型是在零信任安全模型下構(gòu)建安全架構(gòu)的核心，ACK 管控側(cè)和阿里云 RAM 賬號(hào)系統(tǒng)打通，提供了基于統(tǒng)一身份模型和集群證書(shū)訪問(wèn)憑證的自動(dòng)化運(yùn)維體系，同時(shí)面對(duì)用戶(hù)憑證泄露的風(fēng)險(xiǎn)，創(chuàng)新的提出了用戶(hù)憑證吊銷(xiāo)的方案，幫助企業(yè)安全管理人員及時(shí)吊銷(xiāo)可能泄露的集群訪問(wèn)憑證，避免越權(quán)訪問(wèn)攻擊事件。

針對(duì)密鑰管理、訪問(wèn)控制、日志審計(jì)這些企業(yè)應(yīng)用交互訪問(wèn)鏈路上關(guān)鍵的安全要素，ACK 容器服務(wù)也提供了對(duì)應(yīng)的平臺(tái)側(cè)安全能力：

• 訪問(wèn)控制：ACK 基于 K8s RBAC 策略模型提供集群內(nèi)應(yīng)用資源的訪問(wèn)控制能力，在保證非主賬號(hào)或集群創(chuàng)建者默認(rèn)無(wú)權(quán)限的安全前提下，集群管理員可以通過(guò)控制臺(tái)或 OpenAPI 的方式對(duì)指定的子賬號(hào)或 RAM 角色進(jìn)行集群和賬號(hào)維度的批量 RBAC 授權(quán)，ACK 面向企業(yè)常見(jiàn)授權(quán)場(chǎng)景，提供了四種預(yù)置的權(quán)限模板，進(jìn)一步降低了用戶(hù)對(duì) RBAC 及 K8s 資源模型的學(xué)習(xí)成本。對(duì)于應(yīng)用容器中通常依賴(lài)的集群訪問(wèn)憑證 serviceaccount，ACK 集群支持開(kāi)啟針對(duì) serviceaccount 的令牌卷投影特性，支持對(duì) sa token 配置綁定 audience 身份，并且支持過(guò)期時(shí)間的設(shè)置，進(jìn)一步提升了應(yīng)用對(duì)管控面 apiserver 的訪問(wèn)控制能力。

• 密鑰管理：針對(duì)企業(yè)客戶(hù)對(duì)數(shù)據(jù)安全自主性和合規(guī)性的要求，ACK Pro 集群支持對(duì) K8s Secret 的落盤(pán)加密能力，同時(shí)支持使用 BYOK 的云盤(pán)加密能力，保證企業(yè)核心數(shù)據(jù)安心上云；同時(shí) ACK 集群支持將用戶(hù)托管在阿里云 KMS 憑據(jù)管家中的敏感信息實(shí)時(shí)同步到應(yīng)用集群中，用戶(hù)在 K8s 應(yīng)用中直接掛載憑據(jù)同步的指定 secret 實(shí)例即可，進(jìn)一步避免了對(duì)應(yīng)用敏感信息的硬編碼問(wèn)題。

• 日志審計(jì)：ACK 除了支持 K8s 集群 audit?審計(jì)，controlplane?管控面組件日志等基本的管控面日志采集外，還支持對(duì) Ingress?流量的日志審計(jì)和基于 NPD 插件的異常事件告警。以上日志審計(jì)能力均對(duì)接了阿里云 SLS 日志服務(wù)，通過(guò) SLS 服務(wù)提供的快速檢索、日志分析和豐富的 dashboard 展示能力，大大降低了對(duì)容器應(yīng)用開(kāi)發(fā)運(yùn)維和安全審計(jì)的難度。

面向容器應(yīng)用層在供應(yīng)鏈和運(yùn)行時(shí)刻的安全挑戰(zhàn)，阿里云從容器應(yīng)用的構(gòu)建、部署到運(yùn)行全生命周期，提供全方位覆蓋的安全能力：

圖 3 - ACK 容器服務(wù)應(yīng)用全生命周期安全能力

• 應(yīng)用構(gòu)建階段

據(jù) Prevasio 對(duì)于托管在 Docker Hub 上 400 萬(wàn)個(gè)容器鏡像的調(diào)查統(tǒng)計(jì)，有 51% 的鏡像存在高危漏洞；另外有 6432 個(gè)鏡像被檢測(cè)出包含惡意木馬或挖礦程序，而光這 6432 個(gè)惡意鏡像就已經(jīng)被累計(jì)下載了 3 億次。

如何應(yīng)對(duì)這些潛伏于鏡像制品中的安全挑戰(zhàn)，一方面要求企業(yè)應(yīng)用開(kāi)發(fā)者在構(gòu)建應(yīng)用鏡像時(shí)使用可信的基礎(chǔ)鏡像，規(guī)范化鏡像構(gòu)建流程, 保證鏡像最小化；另一方面阿里云 ACR 容器鏡像服務(wù)針對(duì)鏡像構(gòu)建流程中的安全風(fēng)險(xiǎn)，提供了倉(cāng)庫(kù)權(quán)限的訪問(wèn)控制，操作審計(jì)和鏡像安全掃描等基礎(chǔ)能力。其中鏡像安全掃描是用戶(hù)能夠主動(dòng)發(fā)現(xiàn)安全漏洞的基礎(chǔ)手段，ACR?容器鏡像服務(wù)和阿里云云安全中心提供了不同版本的鏡像漏洞庫(kù)，在支持鏡像深度掃描的同時(shí)具備漏洞庫(kù)的實(shí)時(shí)更新能力，滿(mǎn)足企業(yè)安全合規(guī)需求。在阿里云容器鏡像服務(wù)企業(yè)版中還可以通過(guò)創(chuàng)建和管理交付鏈實(shí)例，將安全掃描和分發(fā)流程自由組合并內(nèi)置到自動(dòng)化任務(wù)中并且自動(dòng)攔截包含漏洞的鏡像，確保分發(fā)到倉(cāng)庫(kù)中鏡像的安全性。

在鏡像構(gòu)建環(huán)節(jié)，除了及時(shí)發(fā)現(xiàn)鏡像漏洞，如何在保證鏡像在分發(fā)和部署時(shí)刻不被惡意篡改也是重要的安全防護(hù)手段，這就需要鏡像的完整性校驗(yàn)。在阿里云容器服務(wù)企業(yè)版實(shí)例中，企業(yè)安全管理人員可以配置加簽規(guī)則用指定的 KMS 密鑰自動(dòng)加簽推送到倉(cāng)庫(kù)中的鏡像。

• 應(yīng)用部署時(shí)刻

K8s 原生的 admission 準(zhǔn)入機(jī)制為應(yīng)用部署時(shí)刻提供了天然的校驗(yàn)機(jī)制。

濫用特權(quán)容器，敏感目錄掛載，以 root 用戶(hù)啟動(dòng)容器，這些常見(jiàn)的應(yīng)用模板配置都很可能成為容器逃逸攻擊的跳板。K8s 原生的 PSP 模型通過(guò)策略定義的方式約束應(yīng)用容器運(yùn)行時(shí)刻的安全行為。ACK 容器服務(wù)提供面向集群的策略管理功能，幫助企業(yè)安全運(yùn)維人員根據(jù)不同的安全需求定制化 PSP 策略實(shí)例，同時(shí)綁定到指定的 ServiceAccount 上，對(duì) PSP 特性的一鍵式開(kāi)關(guān)也面向用戶(hù)屏蔽了其復(fù)雜的配置門(mén)檻。此外，ACK 容器服務(wù)還支持 gatekeeper 組件的安裝管理，用戶(hù)可以基于 OPA 策略引擎更為豐富的場(chǎng)景下定制安全策略。

針對(duì)應(yīng)用鏡像在部署時(shí)刻的安全校驗(yàn)需求，谷歌在 18 年率先提出了 Binary Authorization?的產(chǎn)品化解決方案。ACK 容器服務(wù)也在去年初正式落地了應(yīng)用部署時(shí)刻的鏡像簽名和驗(yàn)簽?zāi)芰ΑＭㄟ^(guò)安裝定制化的 kritis 組件，企業(yè)安全運(yùn)維人員可以通過(guò)定制化的驗(yàn)簽策略保證應(yīng)用部署鏡像的安全性，防止被篡改的惡意鏡像部署到企業(yè)生產(chǎn)環(huán)境中。

圖 4 -? 一致性安全策略管理

• 應(yīng)用運(yùn)行時(shí)刻

企業(yè)應(yīng)用的穩(wěn)定運(yùn)行離不開(kāi)運(yùn)行時(shí)刻的安全防護(hù)手段。ACK 容器服務(wù)和云安全中心團(tuán)隊(duì)合作，面向容器內(nèi)部入侵，容器逃逸，病毒和惡意程序，異常網(wǎng)絡(luò)連接等常見(jiàn)的運(yùn)行時(shí)刻攻擊行為進(jìn)行實(shí)時(shí)監(jiān)控和告警，同時(shí)云安全中心還提供了針對(duì)告警事件的溯源和攻擊分析能力。與此同時(shí)，ACK 容器服務(wù)基于業(yè)界安全基線和最佳實(shí)踐，面向集群內(nèi)運(yùn)行應(yīng)用提供了一鍵化的免費(fèi)安全巡檢能力，通過(guò)巡檢任務(wù)及時(shí)暴露運(yùn)行中容器應(yīng)用在健康檢查/資源限制/網(wǎng)絡(luò)安全參數(shù)/安全參數(shù)等配置上不符合基線要求的危險(xiǎn)配置，并提示用戶(hù)修復(fù)建議，避免可能發(fā)生的攻擊。

對(duì)于安全隔離程度要求較高的企業(yè)客戶(hù)可以選擇使用安全沙箱容器集群，安全沙箱容器基于輕量虛擬化技術(shù)實(shí)現(xiàn)，應(yīng)用運(yùn)行在獨(dú)立的內(nèi)核中，具備更好的安全隔離能力，適用于不可信應(yīng)用隔離、故障隔離、性能隔離、多用戶(hù)間負(fù)載隔離等多種場(chǎng)景。

對(duì)于金融支付，區(qū)塊鏈等對(duì)數(shù)據(jù)計(jì)算過(guò)程中的完全性，完整性和機(jī)密性有強(qiáng)安全訴求的場(chǎng)景，可以選擇部署使用 ACK-TEE?機(jī)密計(jì)算托管集群，其中機(jī)密計(jì)算基于 Intel SGX 技術(shù)，支持將重要的數(shù)據(jù)和代碼防止在一個(gè)特殊的可信執(zhí)行加密環(huán)境（Trusted Execution Environment，TEE）中，而不會(huì)暴露給系統(tǒng)其他部分。其他應(yīng)用、BIOS、OS、Kernel、管理員、運(yùn)維人員、云服務(wù)商、甚至除了 CPU 以外的其他硬件均無(wú)法訪問(wèn)機(jī)密計(jì)算平臺(tái)數(shù)據(jù)，極大減少敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)。

圖 5 - 容器應(yīng)用安全配置巡檢

圖 6 - 容器應(yīng)用運(yùn)行時(shí)刻安全監(jiān)控

安全是企業(yè)上云的首要關(guān)切

安全是企業(yè)上云的首要關(guān)切。隨著云原生對(duì)計(jì)算基礎(chǔ)設(shè)施和企業(yè)應(yīng)用架構(gòu)的重定義，容器作為云的新界面，也將緊跟云原生的發(fā)展大潮，向更加安全、可信的方向發(fā)展。未來(lái)，阿里云容器服務(wù)將始終以“讓企業(yè)放心上云，安心用云”為目標(biāo)，在容器安全領(lǐng)域保持世界級(jí)的競(jìng)爭(zhēng)力，在不斷夯實(shí)自身基礎(chǔ)設(shè)施安全的基礎(chǔ)上，為客戶(hù)的應(yīng)用安全保駕護(hù)航。

參考資料

• 《RED KANGAROO》

• 《Binary Authorization》

總結(jié)

以上是生活随笔為你收集整理的云原生时代下，容器安全的“四个挑战”和“两个关键”的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。