云原生时代下，如何应对容器面临的各类风险？

Gartner的分析预测报告显示，到2024年，所有应用中将有15%的应用运行在容器中，75％的大型企业将会在生产中使用容器技术。随着云原生逐步普及，企业采用云原生架构已经从尝试部署敏捷业务逐步过渡到大规模生产。容器技术作为云原生的基础，是云原生时代软件开发和运维的标准基础设施。然而，容器技术及云原生普遍面临业务隔离性差、风险暴露面多、新型攻击方式应对能力不足等问题，安全相关需求突出，但传统的防护方案却无法实现对安全风险的有效解决。

容器面临的各类安全风险

企业业务的容器安全问题主要集中于以下几个方面：

镜像软件供应链安全风险

开发者通常会在互联网的镜像仓库获取源镜像，之后镜像在本地环境中会经过镜像构建、仓库存储、测试及生产环境部署等多个环节，这其中的每个阶段均可能引入安全风险。常见风险可分为：

• 镜像本身的安全风险，如漏洞、不安全的配置、恶意代码植入等；

• 不安全的镜像来源，不少源镜像来自第三方组织、个人，源镜像版本老旧甚至已经被投毒；

• 第三方开发组件的安全风险，应用软件的第三方依赖包(jar)存在安全漏洞等。

业务环境镜像中的各类风险

容器运行时安全风险

容器运行过程中，入侵者会采用多样化的入侵手段对容器侧进行攻击，包括病毒和恶意程序攻击、容器内部入侵、容器逃逸和高风险操作等恶意攻击风险行为。其中，容器逃逸最为严重，它会直接影响到承载容器的底层基础设施和集群内所有容器的安全稳定（诸如危险配置、挂载、程序漏洞、内核漏洞等行为均有可能造成容器逃逸）。
容器运行时配置安全风险

容器网络应用安全风险

容器环境下微服务之间的调用关系复杂，同时东西向网络流量增大、容器间网络隔离控制较弱、应用层防护能力缺失、流量封装IP快速变化等问题，均有可能造成流量可视化不足。某个容器一旦失陷，就会被攻击者作为跳板入侵容器网络中其他可访达资产，这将让企业的网络资产面临巨大风险。
容器平台的东西向业务流量

容器平台环境安全风险

容器平台环境中的底层操作系统、容器引擎、编排系统都可能存在漏洞、不恰当配置、恶意文件等各种风险。攻击者通过利用平台环境的风险，能够轻易获取高级别的权限，造成较大的安全风险。常见的风险包含：平台自身漏洞导致非法提权和逃逸攻击、不安全配置引起账户管理问题导致系统入侵、不同安全级容器混合部署导致高安全级容器面临入侵风险、资源使用不设限导致拒绝服务攻击、访问策略配置不当导致非法访问。

传统的安全技术手段，如漏洞扫描工具、EDR、安全基线扫描、防火墙、安全管理平台等均无法解决以上容器安全风险。以镜像的漏洞扫描为例，容器镜像是一种典型的分层架构，是基于基础镜像一层一层叠加生成的，传统漏洞扫描无法覆盖这种分层架构。

火山引擎通过深入研究容器安全场景需求，基于字节跳动多年的云原生安全实践经验，深度感知容器场景面临的安全风险，利用容器安全防护平台，持续保障企业容器平台上业务稳定运行。

一站式解决各类安全风险——火山引擎容器安全防护平台

火山引擎容器安全防护平台，能为企事业单位的软件交付全生命周期和容器环境全栈提供安全防护。火山引擎容器安全防护平台通过深度融合云原生特性，将安全能力左延到构建阶段，利用数据驱动安全的创新技术路线，主动持续开展风险分析，并通过独有的近源端控制实现安全防护，构建独特的云原生安全防护体系。

火山引擎容器安全防护平台能够全面覆盖上述提到的业务场景安全风险，包括：镜像软件供应链安全、容器运行时工作负载安全、容器网络应用安全保障、容器平台环境设施安全。
容器环境全生命周期立体化安全防护

镜像软件供应链安全

镜像软件供应链的安全能力主要集中于资产清点、漏洞扫描、配置基线、木马病毒、阻断控制等。

首先，火山引擎容器安全防护平台基于资产清点可以清点容器环境下各类资产，并设置基础镜像，要求当前环境中的所有业务镜像必须基于统一安全的基础镜像进行构建。火山引擎容器安全防护平台能够在镜像构建时设置合理的安全卡点，确保带有漏洞、配置、低版本软件包的镜像无法构建成功，实现安全左移的落地。

其次，火山引擎容器安全防护平台能对漏洞风险进行高效扫描分析，并通过多种维度进行修复优先级判定，如结合环境风险要素、漏洞武器化情况、是否由基础镜像引入等进行综合考量，优先修复重要紧急漏洞。

最后在部署到生产环境之前，火山引擎容器安全防护平台能够再次设置安全卡点，阻断风险镜像启动成容器。

容器运行时工作负载安全

容器运行时安全检测是防容器业务入侵的重中之重，火山引擎容器安全防护平台基于业内领先的云原生化容器安全技术实践，实现深度感知容器内部各类安全事件。

火山引擎容器安全防护平台利用容器的不变性和单一性，通过行为基线引擎、敏感行为引擎对异常行为实现高效检测，并结合多维度数据关联分析，对入侵威胁持续监控发现，自动感知失陷容器并做出及时响应，全面覆盖各类已知和未知威胁场景。

同时火山引擎容器安全防护平台可有效覆盖，包括容器逃逸、横向移动运行挖矿程序、驻留后门程序、数据转移、反弹Shell、执行恶意程序、远程控制等复杂场景下的攻击。
智能化威胁检测能力展示

容器网络应用安全保障

在网络应用安全方面，火山引擎容器安全防护平台可以深度感知并可视化展示当前环境下的网络流量，梳理微服务之间的网络拓扑关系。

火山引擎容器安全防护平台可以将容器网络微隔离与传统防火墙相结合，构建全方位立体化的访问控制体系，帮助业务实现网络安全的可知、可见与可控。

同时，火山引擎容器安全防护平台还可高效兼容Calico、OVS、MacVlan、 Flannel 等各种云原生网络方案，不仅能对四层网络进行有效精准的隔离控制，还具备业内领先的容器级WAF能力，为客户业务提供集告警、攻击行为拦截为一体的威胁防护方案，实现对WebShell、SQL注入攻击、远程控制等众多Web应用攻击的有效防护。

容器平台环境设施安全

火山引擎容器安全防护平台在环境安全加固方面，可基于CIS-Docker、CIS-Kubernetes等通用合规基线，以及安全专家总结优化出的规则基线，定制灵活、细粒度的配置检查策略。

火山引擎容器安全防护平台在运行环境控制方面，可以有效限制用户对容器引擎的接口进行恶意访问操作，实现有效缩小底层组件的不安全暴露面；在安全审计方面，可以通过规则有效的筛选日志中所包含的认证、凭据滥用、代码执行等威胁行为进行安全告警。

原生化快速部署

火山引擎容器安全防护平台在部署方面，以全栈云原生的思路为指导，确保所有的安全组件均采用容器化部署，以非特权容器的形式部署在容器平台节点上，保证对业务容器零侵入与干扰，有效实现轻量化、高可用、资源弹性扩展等效果。
原生化快速部署示意图

容器安全是一个复杂、动态的问题领域，火山引擎容器安全基于字节跳动多年的云原生安全实践经验，打造原生化安全能力，从多个维度为客户的云上业务提供有深度有质量的安全保护，广泛适用于各类公有云、私有云及混合云场景，让云原生安全更加可见、可知、可控。

在未来，火山引擎将基于不断创新的云原生技术、持续演变的威胁态势，为客户业务的容器安全长期保驾护航。