11月4日,为期2天的腾讯数字生态大会在湖北武汉落下帷幕。在大会的云原生专场上,腾讯云容器服务 TKE 联合腾讯安全云鼎实验室,联合发布了《腾讯云容器安全白皮书》(简称白皮书)。白皮书对腾讯云容器用户进行了深入的调研和走访,结合长期以来的容器安全运营实践,详细梳理并分析了容器环境所面临的安全挑战,介绍了腾讯云在云原生容器安全建设上的思路、方案以及实践。这是国内首次大规模的对容器环境的安全现状进行分析总结。
(图1 白皮书在数字生态大会的发布现场)
云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性,解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题,以其高效稳定、快速响应等特点极大的释放了云计算效能,成为企业数字业务应用创新的原动力,有效推动了国民经济的高质量发展。
当前,腾讯云原生产品体系和架构已非常完善,涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、安全等五大领域的多个场景。依托这些云原生产品,正在为不同行业、不同规模和不同发展阶段的数十万家客户提供云原生服务。
(图2 腾讯云原生产品矩阵)
一次次安全事件的曝光,让用户在享受云原生红利的同时,对安全产生了极大的担忧。基于腾讯多年对安全攻防技术的研究积累,持续在安全能力上的沉淀,以及对云原生安全领域的研究和实践运营,同时结合腾讯云容器平台 TKE 千万级核心规模容器集群治理经验,腾讯云容器服务 TKE 联合腾讯安全云鼎实验室,联合撰写了《腾讯云容器安全白皮书》,希望以这样的方式,把我们的一些心得分享给业界,共同推动云原生安全的发展。提前规避业务风险是用户关注容器安全的主要原因
根据调研发现,有77.2%的受访者为提前规避业务风险而关注容器安全能力建设,甚至有50.8%的受访者表示他们的业务系统已经经历过容器或 Kubernetes 相关的安全攻击事件。
(图3 用户关注容器安全的原因)
容器逃逸是用户最关注的安全问题,同时也是线上业务遇到最多的安全问题
容器逃逸、镜像安全、集群入侵是受访者最关注的容器安全问题。其中,集群入侵是运维人员最关注的容器安全问题;而安全人员最关注的是容器逃逸问题;研发人员则更关注镜像安全问题。
(图4 用户最关注的容器安全问题)
2021年,腾讯云容器安全服务监测到的可疑容器逃逸行为84万次,检出容器内挂马事件共901次,这样的运营数据也恰好验证了用户对逃逸行为的担忧。
(图5 2021年容器运行时入侵事件统计分布)
针对容器的在野攻击数量巨大,容器成为重要的攻击环境
腾讯安全通过在互联网上部署大量模拟运行的容器服务,持续跟踪并捕获正在发生的针对容器的在野攻击。仅2021年9月份,腾讯云安全监测捕获到针对容器的在野攻击达10.8万次,发起容器攻击的 IP 来源分布分别为中国70619次,其次是俄罗斯11220次和美国7139次。
(图6 针对容器的在野攻击来源统计)
根据容器在野攻击监测数据显示,互联网存在大量针对容器服务进行的持续脆弱性探测和入侵,包括容器未授权访问探测、Kubernetes 集群组件漏洞探测,容器登陆尝试等行为。
容器安全能力已有不同程度的部署应用,但总体比例不高
调研数据显示,59.7%的受访者表示业务侧已经应用了镜像漏洞扫描能力,有52.6%已经实现了容器主机安全加固,有45.9%已经支持集群监控和日志审计。
(图7 容器安全能力部署应用情况)
这样的部署情况,一方面取决于云原生技术确实存在一定的操作门槛,根据我们的调研数据,技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。
(图8 影响容器安全落地的主要因素)
另一方面,安全管理和安全运营的复杂性,也在一定程度上限制了容器安全的落地应用。例如,在业务遇到问题时,需要运维方和云服务提供方人工介入进行问题排查以及参数调优等。这样的操作在现实生产环境中比较常见,然后这又跟云原生的不可变基础设施等核心理念相冲突。腾讯云容器服务TKE提供原生的容器安全能力,助力容器用户实现上线即安全
基于安全能力原生化、安全左移和零信任等安全设计原则,腾讯云容器服务 TKE 采用层次化的安全体系,逐层实现安全防护。分别在承载容器云平台的基础设施层、容器和容器云平台基础架构层、以及容器承载的应用层实现安全防护。
(图9 腾讯云容器安全体系)
同时,容器安全体系还与 DevOps 体系进行协同联动,在 DevOps 流程中嵌入安全能力,实现安全左移,降低运行过程中安全检测和防护的成本。在安全管理和运营上,通过密钥管理、安全策略管理、漏洞管理等服务,实现对用户云上的容器服务持续的检测和响应,确保其安全性。
更多细节内容,可点击“阅读原文”下载《腾讯云容器安全白皮书》进行了解。