隨著互聯(lián)網(wǎng)快速發(fā)展，企業(yè)業(yè)務(wù)逐步上云，越來越多的工作和生產(chǎn)需要運(yùn)用到云原生技術(shù)架構(gòu)，容器技術(shù)作為云原生的基礎(chǔ)，是云原生時(shí)代軟件開發(fā)和運(yùn)維的標(biāo)準(zhǔn)基礎(chǔ)設(shè)施。根據(jù)Gartner的分析預(yù)測(cè)報(bào)告顯示，到2024年，所有應(yīng)用中將有15%的應(yīng)用運(yùn)行在容器中，75％的大型企業(yè)將會(huì)在生產(chǎn)中使用容器技術(shù)。

隨著云原生的逐漸普及，容器技術(shù)及云原生普遍面臨業(yè)務(wù)隔離性差、風(fēng)險(xiǎn)暴露面多、新型攻擊方式應(yīng)對(duì)能力不足等問題，安全相關(guān)需求突出，但傳統(tǒng)的防護(hù)方案卻無法實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的有效解決。

近日，火山引擎推出容器安全防護(hù)平臺(tái)，能為企事業(yè)單位的軟件交付全生命周期和容器環(huán)境全棧提供安全防護(hù)。火山引擎容器安全防護(hù)平臺(tái)通過深度融合云原生特性，將安全能力左延到構(gòu)建階段，利用數(shù)據(jù)驅(qū)動(dòng)安全的創(chuàng)新技術(shù)路線，主動(dòng)持續(xù)開展風(fēng)險(xiǎn)分析，并通過獨(dú)有的近源端控制實(shí)現(xiàn)安全防護(hù)，構(gòu)建獨(dú)特的云原生安全防護(hù)體系。

容器面臨的各類安全風(fēng)險(xiǎn)

火山引擎容器安全團(tuán)隊(duì)針對(duì)當(dāng)下企業(yè)業(yè)務(wù)的容器安全問題進(jìn)行了全面分析和整理，主要集中于以下幾個(gè)方面：

鏡像軟件供應(yīng)鏈安全風(fēng)險(xiǎn)

開發(fā)者通常會(huì)在互聯(lián)網(wǎng)的鏡像倉庫獲取源鏡像，之后鏡像在本地環(huán)境中會(huì)經(jīng)過鏡像構(gòu)建、倉庫存儲(chǔ)、測(cè)試及生產(chǎn)環(huán)境部署等多個(gè)環(huán)節(jié)，這其中的每個(gè)階段均可能引入安全風(fēng)險(xiǎn)。常見風(fēng)險(xiǎn)可分為：鏡像本身的安全風(fēng)險(xiǎn)，如漏洞、不安全的配置、惡意代碼植入等；不安全的鏡像來源，不少源鏡像來自第三方組織甚至個(gè)人，源鏡像版本老舊甚至已經(jīng)被投毒；第三方開發(fā)組件的安全風(fēng)險(xiǎn)，應(yīng)用軟件的第三方依賴包(jar)存在安全漏洞等。

業(yè)務(wù)環(huán)境鏡像中的各類風(fēng)險(xiǎn)

容器運(yùn)行時(shí)安全風(fēng)險(xiǎn)

容器運(yùn)行過程中，入侵者會(huì)采用多樣化的入侵手段對(duì)容器側(cè)進(jìn)行攻擊，包括病毒和惡意程序攻擊、容器內(nèi)部入侵、容器逃逸和高風(fēng)險(xiǎn)操作等惡意攻擊風(fēng)險(xiǎn)行為。其中，容器逃逸最為嚴(yán)重，它會(huì)直接影響到承載容器的底層基礎(chǔ)設(shè)施和集群內(nèi)所有容器的安全穩(wěn)定（諸如危險(xiǎn)配置、掛載、程序漏洞、內(nèi)核漏洞等行為均有可能造成容器逃逸）。

容器運(yùn)行時(shí)配置安全風(fēng)險(xiǎn)

容器網(wǎng)絡(luò)應(yīng)用安全風(fēng)險(xiǎn)

容器環(huán)境下微服務(wù)之間的調(diào)用關(guān)系復(fù)雜，同時(shí)東西向網(wǎng)絡(luò)流量增大、容器間網(wǎng)絡(luò)隔離控制較弱、應(yīng)用層防護(hù)能力缺失、流量封裝IP快速變化等問題，均有可能造成流量可視化不足。某個(gè)容器一旦失陷，就會(huì)被攻擊者作為跳板入侵容器網(wǎng)絡(luò)中其他可訪達(dá)資產(chǎn)，這將讓企業(yè)的網(wǎng)絡(luò)資產(chǎn)面臨巨大風(fēng)險(xiǎn)。

容器平臺(tái)的東西向業(yè)務(wù)流量

容器平臺(tái)環(huán)境安全風(fēng)險(xiǎn)

容器平臺(tái)環(huán)境中的底層操作系統(tǒng)、容器引擎、編排系統(tǒng)都可能存在漏洞、不恰當(dāng)配置、惡意文件等各種風(fēng)險(xiǎn)，攻擊者通過利用平臺(tái)環(huán)境的風(fēng)險(xiǎn)，能夠輕易獲取高級(jí)別的權(quán)限，造成較大的安全風(fēng)險(xiǎn)。常見的風(fēng)險(xiǎn)如平臺(tái)自身漏洞導(dǎo)致非法提權(quán)和逃逸攻擊、不安全配置引起賬戶管理問題導(dǎo)致系統(tǒng)入侵、不同安全級(jí)容器混合部署導(dǎo)致高安全級(jí)容器面臨入侵風(fēng)險(xiǎn)、資源使用不設(shè)限導(dǎo)致拒絕服務(wù)攻擊、訪問策略配置不當(dāng)導(dǎo)致非法訪問。

傳統(tǒng)的安全技術(shù)手段，如漏洞掃描工具、EDR、安全基線掃描、防火墻、安全管理平臺(tái)等均無法解決以上容器安全風(fēng)險(xiǎn)。以鏡像的漏洞掃描為例，容器鏡像是一種典型的分層架構(gòu)，是基于基礎(chǔ)鏡像一層一層疊加生成的，傳統(tǒng)漏洞掃描無法覆蓋這種分層架構(gòu)。

火山引擎通過深入研究容器安全場(chǎng)景需求，基于字節(jié)跳動(dòng)多年的云原生安全實(shí)踐經(jīng)驗(yàn)，深度感知容器場(chǎng)景面臨的安全風(fēng)險(xiǎn)，利用容器安全防護(hù)平臺(tái)，持續(xù)保障企業(yè)容器平臺(tái)上業(yè)務(wù)穩(wěn)定運(yùn)行。

火山引擎容器安全防護(hù)平臺(tái)

火山引擎容器安全防護(hù)平臺(tái)，能為企事業(yè)單位的軟件交付全生命周期和容器環(huán)境全棧提供安全防護(hù)。火山引擎容器安全防護(hù)平臺(tái)通過深度融合云原生特性，將安全能力左延到構(gòu)建階段，利用數(shù)據(jù)驅(qū)動(dòng)安全的創(chuàng)新技術(shù)路線，主動(dòng)持續(xù)開展風(fēng)險(xiǎn)分析，并通過獨(dú)有的近源端控制實(shí)現(xiàn)安全防護(hù)，構(gòu)建獨(dú)特的云原生安全防護(hù)體系。

火山引擎容器安全防護(hù)平臺(tái)能夠全面覆蓋上述提到的業(yè)務(wù)場(chǎng)景安全風(fēng)險(xiǎn)，包括：鏡像軟件供應(yīng)鏈安全、容器運(yùn)行時(shí)工作負(fù)載安全、容器網(wǎng)絡(luò)應(yīng)用安全保障、容器平臺(tái)環(huán)境設(shè)施安全。

容器環(huán)境全生命周期立體化安全防護(hù)

鏡像軟件供應(yīng)鏈安全

鏡像軟件供應(yīng)鏈的安全能力主要集中于資產(chǎn)清點(diǎn)、漏洞掃描、配置基線、木馬病毒、阻斷控制等。

首先，火山引擎容器安全防護(hù)平臺(tái)基于資產(chǎn)清點(diǎn)可以清點(diǎn)容器環(huán)境下各類資產(chǎn)，并設(shè)置基礎(chǔ)鏡像，要求當(dāng)前環(huán)境中的所有業(yè)務(wù)鏡像必須基于統(tǒng)一安全的基礎(chǔ)鏡像進(jìn)行構(gòu)建。火山引擎容器安全防護(hù)平臺(tái)能夠在鏡像構(gòu)建時(shí)設(shè)置合理的安全卡點(diǎn)，確保帶有漏洞、配置、低版本軟件包的鏡像無法構(gòu)建成功，實(shí)現(xiàn)安全左移的落地。

其次，火山引擎容器安全防護(hù)平臺(tái)能對(duì)漏洞風(fēng)險(xiǎn)進(jìn)行高效掃描分析，并通過多種維度進(jìn)行修復(fù)優(yōu)先級(jí)判定，如結(jié)合環(huán)境風(fēng)險(xiǎn)要素、漏洞武器化情況、是否由基礎(chǔ)鏡像引入等進(jìn)行綜合考量，優(yōu)先修復(fù)重要緊急漏洞。

最后在部署到生產(chǎn)環(huán)境之前，火山引擎容器安全防護(hù)平臺(tái)能夠再次設(shè)置安全卡點(diǎn)，阻斷風(fēng)險(xiǎn)鏡像啟動(dòng)成容器。

容器運(yùn)行時(shí)工作負(fù)載安全

容器運(yùn)行時(shí)安全檢測(cè)是防容器業(yè)務(wù)入侵的重中之重，火山引擎容器安全防護(hù)平臺(tái)基于業(yè)內(nèi)領(lǐng)先的云原生化容器安全技術(shù)實(shí)踐，實(shí)現(xiàn)深度感知容器內(nèi)部各類安全事件。

火山引擎容器安全防護(hù)平臺(tái)利用容器的不變性和單一性，通過行為基線引擎、敏感行為引擎對(duì)異常行為實(shí)現(xiàn)高效檢測(cè)，并結(jié)合多維度數(shù)據(jù)關(guān)聯(lián)分析，對(duì)入侵威脅持續(xù)監(jiān)控發(fā)現(xiàn)，自動(dòng)感知失陷容器并做出及時(shí)響應(yīng)，全面覆蓋各類已知和未知威脅場(chǎng)景。

同時(shí)火山引擎容器安全防護(hù)平臺(tái)可有效覆蓋，包括容器逃逸、橫向移動(dòng)運(yùn)行挖礦程序、駐留后門程序、數(shù)據(jù)轉(zhuǎn)移、反彈Shell、執(zhí)行惡意程序、遠(yuǎn)程控制等復(fù)雜場(chǎng)景下的攻擊。

智能化威脅檢測(cè)能力展示

容器網(wǎng)絡(luò)應(yīng)用安全保障

在網(wǎng)絡(luò)應(yīng)用安全方面，火山引擎容器安全防護(hù)平臺(tái)可以深度感知并可視化展示當(dāng)前環(huán)境下的網(wǎng)絡(luò)流量，梳理微服務(wù)之間的網(wǎng)絡(luò)拓?fù)潢P(guān)系。

火山引擎容器安全防護(hù)平臺(tái)可以將容器網(wǎng)絡(luò)微隔離與傳統(tǒng)防火墻相結(jié)合，構(gòu)建全方位立體化的訪問控制體系，幫助業(yè)務(wù)實(shí)現(xiàn)網(wǎng)絡(luò)安全的可知、可見與可控。

同時(shí)，火山引擎容器安全防護(hù)平臺(tái)還可高效兼容Calico、OVS、MacVlan、 Flannel 等各種云原生網(wǎng)絡(luò)方案，不僅能對(duì)四層網(wǎng)絡(luò)進(jìn)行有效精準(zhǔn)的隔離控制，還具備業(yè)內(nèi)領(lǐng)先的容器級(jí)WAF能力，為客戶業(yè)務(wù)提供集告警、攻擊行為攔截為一體的威脅防護(hù)方案，實(shí)現(xiàn)對(duì)WebShell、SQL注入攻擊、遠(yuǎn)程控制等眾多Web應(yīng)用攻擊的有效防護(hù)。

容器平臺(tái)環(huán)境設(shè)施安全

火山引擎容器安全防護(hù)平臺(tái)在環(huán)境安全加固方面，可基于CIS-Docker、CIS-Kubernetes等通用合規(guī)基線，以及安全專家總結(jié)優(yōu)化出的規(guī)則基線，定制靈活、細(xì)粒度的配置檢查策略。

火山引擎容器安全防護(hù)平臺(tái)在運(yùn)行環(huán)境控制方面，可以有效限制用戶對(duì)容器引擎的接口進(jìn)行惡意訪問操作，實(shí)現(xiàn)有效縮小底層組件的不安全暴露面；在安全審計(jì)方面，可以通過規(guī)則有效的篩選日志中所包含的認(rèn)證、憑據(jù)濫用、代碼執(zhí)行等威脅行為進(jìn)行安全告警。

原生化快速部署

火山引擎容器安全防護(hù)平臺(tái)在部署方面，以全棧云原生的思路為指導(dǎo)，確保所有的安全組件均采用容器化部署，以非特權(quán)容器的形式部署在容器平臺(tái)節(jié)點(diǎn)上，對(duì)業(yè)務(wù)容器零侵入與干擾，有效實(shí)現(xiàn)輕量化、高可用、資源彈性擴(kuò)展等效果。

原生化快速部署示意圖

容器安全是一個(gè)復(fù)雜、動(dòng)態(tài)的問題領(lǐng)域，火山引擎容器安全基于字節(jié)跳動(dòng)多年的云原生安全實(shí)踐經(jīng)驗(yàn)，打造原生化安全能力，從多個(gè)維度為客戶的云上業(yè)務(wù)提供有深度有質(zhì)量的安全保護(hù)，廣泛適用于各類公有云、私有云及混合云場(chǎng)景，讓云原生安全更加可見、可知、可控。

在未來，火山引擎將基于不斷創(chuàng)新的云原生技術(shù)、持續(xù)演變的威脅態(tài)勢(shì)，為客戶業(yè)務(wù)的容器安全保駕護(hù)航。（作者：劉斐）