云原生安全-容器安全

伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。随着企业逐渐转向云端部署和容器化应用，云原生安全也成为企业所需要考虑的安全问题。

而在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

下面德迅云安全就带大家了解下什么是云原生安全，目前在云原生安全领域中，容器安全存在哪些问题。

**云原生安全的定义：**
　　

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

　面向云原生环境的安全的目标是防护云原生环境中基础设施、编排系统和微服务等系统的安全。在云原生环境中，安全机制以云原生形态为主，例如服务网格的安全通常使用旁挂串接的安全容器，而微服务API安全则通常使用微API网关容器。这些安全容器都是云原生的部署模式，并具备云原生的特性。

具有云原生特征的安全则是指安全机制具备弹性、敏捷、轻量级、可编排等特性。云原生是一种理念上的创新，它通过容器化、资源编排和微服务重构传统的开发运营体系，从而加快业务上线和变更的速度。这些特性使得云原生安全能够灵活应对各种安全挑战，确保云环境的稳定和安全。

云原生安全不仅解决了云计算普及带来的安全问题，更强调以原生的思维构建云上安全建设、部署与应用，推动安全与云计算的深度融合。

**云原生安全领域涉及的容器安全问题：**

　
1、容器镜像不安全

　　Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

　　a.不安全的第三方组件

　　在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

　　b.恶意镜像

　　公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

　　c.敏感信息泄露

　　为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

　　
2、容器生命周期的时间短

　　云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

3、容器运行时安全

　　容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。

　　与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵。

4、容器微隔离

　　在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。