容器成为云计算主流形态已经是必然的趋势，但容器计算给企业带来便利的同时也对安全提出了新的要求和挑战，这也成为阻碍很多企业大规模采用容器计算的一个关键因素。容器技术经历了5-6年的快速发展探索，2-3年的商业运营，目前已经比较成熟。

容器技术给应用和开发带来了快速、高效和可以移植等诸多好处的同时，也产生的一些安全问题，比如镜像的安全、虚拟化的安全以及网络层面的安全，以及容器在测试、生产和运营过程中都会产生各种安全风险。

嘉宾合影留念

为了对容器安全技术进行进一步的探讨，10月31日，安在特邀圈内专业人士齐聚一堂，以“容器安全”为主题进行总结、分享，力图以恰逢其时、恰如其分的脑力碰撞，给创新厂商技术分享和企业用户规划建设带来最直接而实效的针对和参照。

本次活动由深圳诸子云理事周志坚主持，腾讯云云安全架构师乐元，PaloAlto Major System Engniee钟法生，青藤云技术合伙人胡俊，小佑科技CEO袁曙光分别发表主题演讲，分享对容器安全的创新思考与实践。

此外，本次沙龙活动还设有互动抽奖环节，奖品包括大疆无人机、Kindle、华为无线耳机。

《腾讯云容器安全实践》

腾讯云云安全架构师 乐元

2020年，腾讯内部客户中的CSIG会在H2增量资源全部上传TKE（腾讯云容器服务Tencent Kubernetes Engine），其他BG自研上云增量资源也有50%上传，这是一个惊人的数字，意味着无论是区块链、大数据、边缘计算还是游戏、教育、AI，都已经和腾讯云容器密不可分。

腾讯云云安全架构师 乐元

乐元引用了Sysdig发布的《2019年度容器使用报告》，他表示，容器设计之初是为了方便、易用，但在安全上考虑得不够周全，目前看来主要有以下问题：

1、容器镜像安全问题突出；

在用户的生产环境中，有40%的镜像来源于公开的镜像仓库，连续5天对应用到生产环境中的镜像进行漏洞扫描，通过率仅为48%。

2、安全配置规范应用情况不理想；

CIS等安全配置规范，在生产环境中落实情况并不是很理想，主要体现在禁用了seccomp、没有设置SELinux、AppArmor、以root/特权模式运行等问题。

3、运行时安全。

恶意程序运行，恶意访问，例如：挖矿，木马等威胁到主机的行为。

乐元举出部分产品集群信息泄露、特权容器、产品容器逃逸的案例，作证在这一背景下，明确容器安全架构的重要性。

TKE安全保障体系揽括了从接入面、管理面到用户面的多个安全策略机制，符合信通院《容器安全技术能力要求》、《研发运营一体化(DevOps)能力成熟度模型》、《“云”原生安全白皮书》以及公安部等保2.0《容器安全标准》，拥有业务安全、研发安全、基础防护、情报监测四大体系，同时具备完善的应急响应机制，妥善保障企业容器的镜像安全与集群安全。

《容器安全与 Twistlock 解决方案》

PaloAlto Major System Engniee 钟法生

钟法生认为，容器是业务发展的重要助力：它可以让业务上线更加快速；敏捷开发，业务迭代快速；同时还可以帮助公司节省成本。

PaloAlto Major System Engniee 钟法生

容器环境还带来了许多变化：在微服务架构下，有更多需要通过网络通信的服务；引入了支持Container的运行平台和新的IaaS/PaaS架构和组件。但一切事物不可能有利无弊，随着容器环境的铺开，安全事件也随之而来。

为了应对新增的安全挑战，Twistlock应运而生。它是全球第一个真正并且全面的云原生安全平台，通过统一的平台可以对主机、容器和serverless提供全面的安全保障。无论以何种方式来运行云原生的工作负载和应用程序（GKE, Openshift, K8S），都可以提供完善的纵深防御功能。

Twistlock能够和整个应用程序的生命周期相集成，包括Build阶段的保障，镜像仓库的保障，生产环境的保障，也能够集成到团队已经使用的DevOps工作流程和工具之中，比如Jenkins，以便在生命周期的每个阶段提供清晰和可操作的安全可视化，并且对应用程序从代码到构建到部署生产的整个流程都实施相应的安全控制。

Twistlock可以通过镜像扫描，排序出真正具有高风险的Top 10漏洞，在运行时自主学习进程、文件和网络行为并建立控制模型；针对GDPR, PCI, HIPAA, NIST等合规模板，控制粒度则可以详细到每一条基线和Action；智能分析容器行为并对挖矿、后门账号、K8S攻击、进程劫持、数据泄露等高危事件发出告警。因此可以说，Twistlock平台在整个应用程序生命周期中都实现了相应的保护。

《云原生安全建设实践探索》

青藤云技术合伙人 胡俊

云原⽣代表了⼀系列新技术，包括容器编排、微服务架构、 可变基础设施、声明式API、基础设施即代码、持续交付/持续集成、DevOps等，且各类技术间紧密关联。其中既有技术挑战，又有组织挑战。

在技术层面上，云原⽣引⼊了⼤量基础设施新技术，导致安全⼯作者理解难度增加， 云越来越像个⿊盒，过去的安全⼯作多数只是围着核⼼业务外围转；另一方面在组织层面上，安全建设和云基础设施关系紧密，导致安全职责需要重新考虑，安全组织和信息化其他组织的关系⽆法简单定义为谁主管、谁建设、谁负责。

青藤云技术合伙人 胡俊

胡俊认为，理想的云原生安全应当满足四点需求：

1. 可视化⼯作负载；

⽹络层⾯：可视化⼯作负载间的访问关系，进⼀步了解业务之间的调⽤关系。

运⾏时层⾯：梳理云原⽣环境⼯作负载，帮助安全⼈员了解运⾏的容器、容器内运⾏的web应⽤、数据库应⽤等。

2. 安全左移，上线即安全；

尽量早的减⼩被攻击⾯，镜像安全管控需集成到devops开发流程中，从开发到上线全⽣命周期覆盖。

3. 对⼯作负载进⾏持续监控和响应；

持续监控分析并可视化容器及其编排管理平台的运⾏状态，及时发现异常⻛险和⼊侵，同时能够快速进⾏隔离防护。

4. 安全体系联动。

实现云原生安全与其他安全产品的联动, 建设全方位一体的安全体系。

⻘藤蜂巢容器安全管理平台与云原⽣环境深⼊集成；提供覆盖容器全⽣命周期的容器安全解决⽅案，实现了容器安全预测、防御、检测和响应的安全闭环。

《建立容器全生命周期的安全防护体系》

小佑科技CEO 袁曙光

1979年，Unix版本7在开发过程中引入Chroot Jail以及Chroot系统调用。Chroot jail被用于“Change Root”，它被认为是最早的容器化技术之一。约三十年后的2008年，LXC（Linux containers，Linux容器）的第一个版本发布；2013年，Docker推出了的第一个版本，实现操作系统级虚拟化。

容器技术发展至今，已成为企业数字化转型的重要抓手之一，企业必须积极应对，直面目前容器安全遇到的风险与挑战，以保障业务顺利进行。

小佑科技CEO袁曙光

根据容器安全模型，袁曙光将容器的主要安全风险归为四类：

1.运行环境安全风险；

• 操作系统组件存在漏洞

• 用户访问权限不当

• 配置不当，暴露不必要的端口

• 篡改文件系统

• 共享操作系统内核

2.编排工具安全风险；

• 未授权访问

• 编排工具权限管理不当

• API安全

• 容器间无网络访问措施

• 容器运行时软件漏洞

3.镜像安全风险；

• 镜像存在漏洞

• 镜像存在恶意软件

• 镜像配置不当

• 镜像存在明文密钥

• 使用非信任镜像

4.容器安全风险。

• 容器资源配置不当

• 容器内应用存在漏洞

• 容器被植入木马病毒

• 容器网络访问不受限制

• 启动恶意容器

而在面对针对容器的攻击时，传统防护手段显露出了明显的不足，全生命周期的解决方案成为了最优解。全生命周期解决方案拥有镜像漏洞管理、容器入侵检测、集群东西流量微隔离、微服务扫描、资产可视化五大特色，在绝大多数的应用场景中表现活跃。

容器化的安全组件适应多种操作系统，能与已有系统对接。内核高度精简、所有的进程都在容器中运行，满足多个场景刚需，是符合操作系统的变化趋势以及云原生未来发展趋势的专家级解决方案。

“本次沙龙活动议题PPT，可至诸子云知识星球获取。”

齐心抗疫 与你同在