云架构师容器云平台的安全性设计 | 在线辅导答疑

Docker的设计虽然实现了良好的操作系统级隔离，但同时也存在很多安全隐患，比如其默认的组网模式以及与主机共享操作系统内核、共享主机资源、采用 Linux Capabilities 机制、隔离的不充分等。

Kubernetes作为容器编排引擎，如果在规划和部署架构方面存在缺陷，同样会和传统环境一样容易受到外部攻击者和具有恶意的内部人员的攻击。因此，需要保障大型容器云环境具有正确的安全部署体系结构，并为应用上云提供安全最佳实践。

根据国家信息安全漏洞库的统计，截止 2019 年 1 月 2 日，Docker相关的漏洞共 40 个，其中包括 Apache、RedHat、hyper、boot2docker、Jenkins 等厂商产品或开源项目。

2018年，Kubernetes生态系统因发现Kubernetes的第一个主要安全漏洞（Kubernetes特权升级漏洞CVE-2018-1002105）而动摇。该漏洞使攻击者能够通过k8s api server实现提升k8s普通用户到k8s api server的最高权限，然后运行代码来安装恶意软件，进而破坏k8s集群。除此之外还有CVE-2019-11245 Kubernetes kubelet v1.13.6 and v1.14.2提权漏洞，实现了在通常情况下以容器Dockerfile中指定的USER运行的容器，有时可以以root身份运行（在容器重启时，或者如果镜像先前被拉到节点）。这种情况的出现违反了容器禁止以root（容器内进程运行用户是root）运行的最佳实践。

因此容器云的安全性是非常重要的，本次线上辅导主要从容器云平台云平台运行时，管理平台，应用镜像构建，应用部署运行监控，租户管理，4A管理，行业规范，最佳实践方面讲述容器云平台的安全设计，突出容器安全设计与建设是系统工程，是需要从下层到上层，从平台到应用，从理论到实践都要仔细考虑的，通过本次的介绍用户可以得到以下收益：第一，安全建设的概览图；第二，安全建设的实施建设方案；第三，获得安全建设的工作指引，起到授之以渔的目的。

辅导嘉宾：

圆白菜  某股份制银行  云架构师

目前就职某股份制银行负责容器安全相关架构师岗位，对容器具有丰富的实践经验。2020 容器云职业技能大赛百位专家委员会成员。

活动资料：

2020 容器云职业技能大赛架构师岗课程系列之—容器云平台的安全性设计

主要从容器云平台云平台运行时，管理平台，应用镜像构建，应用部署运行监控，租户管理，4A管理，行业规范，最佳实践方面讲述容器云平台的安全设计，突出容器安全设计与建设是系统工程，是需要从下层到上层，从平台到应用，从理论到实践都要仔细考虑的，通过本文的介绍用户可以得到一下收益：第一，安全建设的概览图。第二，安全建设的实施建设方案。第三，获得安全建设的工作指引，起到授之以渔的目的。

（“2020 容器云职业技能大赛架构师岗课程系列”（点击可了解课程体系）是针对“2020 容器云职业技能大赛”专门打造的精品课程。本次活动即是针对其中几个课程进行的交流答疑，您在学习课程后，有任何疑问即可在活动中向专家和同行提问，此后还可以在线上进行自测练习。）

↓↓↓