摘要：在实现云原生的主要技术中，容器作为支撑应用运行的重要载体，为应用的运行提供了隔离和封装，成为云原生应用的基础设施底座，近年来被广泛的认可和应用。

　　报告背景

　　编写机构：腾讯云

　　发布时间：2021年

　　目录

　　概述

　　容器面临的安全威胁和挑战

　　容器安全的行业现状

　　腾讯云容器安全体系

　　全面的可观测性

　　容器安全管理和运营

　　总结

　　概述

　　近年来，云计算的模式逐渐被认可和接受，但总体而言，当前企业上云更多只是基础设施形态的改变，在上云的实践中，传统应用升级缓慢、架构臃肿、无法快速迭代等问题逐渐的显现出来，云原生的概念便应运而生。云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性，解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题。尤其是随着“新基建”的加速布局，以及企业数字化转型的逐步深入，云原生以其高效稳定、快速响应等特点极大的释放了云计算效能，成为企业数字业务应用创新的原动力，有效推动了国民经济的高质量发展。

　　对于云原生，CNCF给出了相对标准的定义：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松的对系统作出频繁和可预测的重大变更。

　　在实现云原生的主要技术中，容器作为支撑应用运行的重要载体，为应用的运行提供了隔离和封装，成为云原生应用的基础设施底座，近年来被广泛的认可和应用。根据《中国云原生用户调查报告(2020)显示，60%以上用户已在生产环境中应用容器技术。

　　然而一次次安全事件的曝光，不管是特斯拉在亚马逊上的Kubernetes集群被入侵，还是Docker Hub频繁被爆含有漏洞和恶意程序的镜像，让用户在享受云原生红利的同时，产生了极大的安全担忧。

　　《中国云原生用户调查报告(2020)》显示，容器的安全问题已成为用户应用云原生的最大担忧，其中63%的用户认为容器安全是紧迫的需求。容器的安全与否，将直接影响着整个云原生系统的安全性。相关组织在2021年发布的容器和Kubernetes安全态势报告中同样指出，在过去一年时间中，有94%的组织在其容器环境中遇到安全问题，其中69%检测到错误配置、27%在运行时遇到安全事故、还有24%发现了严重的安全漏洞。

　　当前，腾讯云原生产品体系和架构已非常完善，涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、安全等五大领域的多个场景。依托这些云原生产品，正在为不同行业、不同规模和不同发展阶段的数十万家客户提供云原生服务。

　　腾讯云依托在云原生以及安全方向的持续投入、积累和沉淀，一直致力于在云原生领域为用户提供更全面、更稳定、更安全的云原生服务。在云原生产品的设计和实现之初，就充分融入了安全性的设计和考虑，使我们的云原生系统天然具备安全特性，使安全成为像计算、存储、网络一样的基础能力，助力用户实现应用系统的云原生化，并且持续的保障其安全稳定的运行。

　　基于腾讯多年对安全攻防技术的研究积累，持续在安全能力上的沉淀，以及对云原生安全领域的研究和实践运营，同时结合腾讯云容器平台TKE千万级核心规模容器集群治理经验，我们撰写并发布本白皮书。白皮书全面介绍了腾讯云在云原生容器安全建设上的思路、方案以及实践，并希望以这样的方式，把我们的一些心得分享给业界，共同推动云原生安全的发展。

　　容器面临的安全威胁和挑战

　　容器面临的安全威胁

　　虽然容器以及云原生概念逐渐走向成熟，但云原生体系中安全能力天然不足，容器安全问题越来越多的引发关注。

　　2018年，安全厂商Fortinet和Kromtech发现DockerHub上17个受到感染的Docker镜像被植入挖矿木马并被下载高达500万次。事实上，据Banyan调查显示，在DockerHub官方镜像仓库中，约超过30%的镜像存在高危漏洞。此外，由于集群控制台缺乏密码保护，特斯拉在亚马逊上的Kubernetes集群被入侵，攻击者入侵后在一个Pod中找到AWS的访问凭证，并凭借这些凭证信息获取到特斯拉敏感商业数据。

　　容器面临的安全威胁，总体可以分为基础设施安全、容器和编排平台安全、网络安全以及镜像和应用安全等几部分。

　　基础设施安全

　　容器依托于主机操作系统内核，以进程的方式运行于主机之上，因此基础设施层面的安全威胁对容器的安全性有着重要的影响。

　　—方面，传统云安全面临的DDoS攻击威胁、Web入侵威胁以及网络层的东西向移动等安全威胁仍然存在，这些威胁同样影响着容器环境的安全性;

　　另一方面，由于容器技术在实现上的特性，主机操作系统层的安全问题对容器的安全威胁较传统的云安全相比，影响更直接也会更严重，例如Linux典型的脏牛漏洞(CVE-2016-5195)，可以被用来提权实现容器的逃逸。

　　容器和编排平台安全

　　作为容器化最重要的支撑技术，容器以及编排平台的安全性，是容器安全最重要的因素之一。

　　1. 组件漏洞威胁：不管是容器技术的典型实现代表Docker，还是编排平台的典型实现代表Kubemetes，其作为软件，漏洞的威胁是其在安全性上最直观也是最主要的安全威胁，例如，Kubemetes的API-Server、Scheduler.Controller等多个核心组件在实现上，均有不同程度的漏洞爆出，其中不乏高危甚至是10分(CVSS)的超危漏洞。

　　2. 集群配置不当：配置问题带来的安全威胁一直以来都备受关注，在传统的环境下，我们会有各种配置检查工具来进行预防。在容器环境下，配置风险尤为突出。例如KubernetesAPI-Server的鉴权配置不当被攻击者匿名登陆、DockerDaemon的默认2375端口配置不当造成远程控制等。

　　3. 权限管控威胁：Kubernetes提供了一个强大的、可扩展的、统一的资源模型，但该模型使得基于角色的访问控制RBAC对于很多用例来说如果权限管控不当，仍然存在很大的安全威胁。

　　4. 网络隔离差。网络隔离可以帮助防止未经授权的访问，容器的动态扩展性使得传统静态IP和端口的隔离规则不再适用。而不管是Kubernetes的多种集群网络插件，还是Docker默认的各种网络模型，其在网络的隔离上，均没有做到很好的管控。

　　另外，容器技术本身在设计和实现上，同样有着很大的安全威胁存在，面向容器的拒绝服务攻击(DoS)、容器逃逸等安全威胁是容器环境面临的重要安全威胁之一。例如，默认情况下容器可以使用主机上的所有内存，如果某个容器以独占方式访问或消耗主机的大量资源，则该主机上的其它容器就会因为缺乏资源而无法正常运行。

　　镜像安全

　　云原生时代的应用交付标准不断演进，以容器镜像、HelmChart为代表的云原生制品将贯穿整个云原生应用生命周期。制品的构建、入库、分发和运行，其供应链的每一个环节都面临着不同维度的安全风险。

　　以容器镜像为例，在镜像构建时镜像的漏洞问题、恶意代码或敏感信息暴露问题;镜像入库后的访问控制问题、准入校验问题以及镜像的机密性和完整性问题;镜像分发时遭受恶意攻击篡改的风险等。

　　在容器镜像内部，除了应用漏洞需要重点关注之外，对于镜像内的其它脆弱性问题同样不容忽视，比如镜像内是否暴露了账号密码等信息、是否包含了秘钥文件、是否提供并暴露了ssh服务、是否运行了禁止运行的命令等。

　　运行时安全

　　传统的攻击手段对容器运行时依然有效，容器环境面临更复杂的攻击问题。首先，由于容器的隔离性较弱，攻击者可以利用敏感挂载和漏洞实现逃逸到宿主机;其次，特权容器的滥用增加了恶意代码和挖矿程序植入的风险;最后，运行时环境下的错误配置让攻击者窃取集群资源并发动攻击活动变得轻而易举。

　　容器安全的挑战

　　攻击面增加：相比较传统物理服务器或虚拟机的隔离方式，容器化应用部署极大的增加了业务被入侵的安全隐患。在云原生环境中，容器基于进程进行隔离，多个服务实例需要共享宿主机的操作系统，一旦有服务存在漏洞且被攻击时，同一主机运行的其他服务会不可避免的受到影响。

　　监控和防护难度大：云原生环境下的微服务架构使得集群内部的网络流量和通信端口总量大幅增加，传统防火墙基于固定IP的安全策略很难适应这种持续的动态变化，因此无法准确捕捉容器间的网络流量和异常行为。此外，容器的动态调度策略导致其生命周期难以预测，这无疑进一步增加了容器安全监控和防护的难度。

　　安全管控难度高：云原生支持通过一系列的自动化工具将业务的开发和部署交由流水线操作，在应用构建过程中还需要考虑基础镜像、依赖库、构建、部署、运行等环节的安全问题，安全管控难度较高。

　　容器安全的行业现状

　　用户视角下的容器安全

　　为进一步了解容器安全的行业现状，我们对腾讯云用户展开详细的数据调研。调研覆盖了互联网、政府、金融、教育在内的多种行业，调研群体包括安全、运维、开发和产品等不同岗位。

　　混合云是用户部署容器业务的主要选择

　　调研数据显示，混合云基础设施是用户部署容器化应用的主要选择，其次会选择多家公有云，采用多云的方式部署，或者是搭建自己的私有云。

　　从下面的图表同样可以看出，这样的基础设施形态比例，跟我们传统的用户上云对云平台的选择如出一辙。从安全角度来看，混合云安全、多云安全这些问题，在容器环境下同样也会成为用户的痛点。

　　提前规避业务风险是用户关注容器安全的主要原因

　　调研数据显示，有77.2%的受访者为提前规避业务风险而关注容器安全能力建设;同时，还有50.8%的受访者表示他们因业务系统经历过容器或Kubernetes相关的安全事件(漏洞攻击、容器逃逸、集群入侵等)而引发安全关注;另外还有51.3%的用户表示需要建设容器安全能力来满足一定的合规需求。

　　由此可见，容器安全能力的完善与否，对应用系统在生产环境容器化部署的影响是关键性的。有超过一半的受访者认为，业务对安全能力的担忧会推迟业务的容器化部署。

　　容器逃逸是用户最关注的容器安全问题

　　在安全风险调研过程中，容器逃逸、镜像安全、集群入侵是受访者最关注的容器安全问题。其中，集群入侵是运维人员最关注的容器安全问题;而安全人员最关注的是容器逃逸问题;研发人员则更关注镜像安全问题。

　　相比较服务器或虚拟机的安全而言，受访者认为业务的容器化部署在安全保障上更应该注意的三大问题分别是:网络隔离(58.7%)、容器及编排系统的自身安全(53.6%)和访问权限管理(51.0%)问题。

　　容器安全能力已有不同程度落地应用，但总体比例不高

　　在云原生业务的容器安全能力部署现状的调查结果中，有59.7%的受访者表示业务侧已经应用了镜像漏洞扫描能力，有52.6%已经实现了容器主机安全加固，有45.9%已经支持集群监控和日志审计。

　　但是，仍然有7%左右的受访者业务在生产环境不具备任何容器安全能力。此外细粒度的网络隔离(如NetworkPolicy)、Pod安全策略、Secret加密等容器安全能力并没有得到应用。

　　技术门槛高是影响容器安全落地部署的主要因素

　　在容器安全能力部署方面，技术操作门槛高、业务侧学习成本大是限制企业容器安全能力全面部署的主要因素。此外，考虑安全能力建设的滞后性，容器安全能力部署可能会影响现网业务的稳定运行也是广大受访者考虑的一个重要因素。

　　同时，也有部分受访者认为容器安全能力建设的价值不明显，从投入产出比的角度来看该能力并不能满足企业的业务发展诉求，也不能带来额外收益。

　　(正文完)

　　责任编辑：张华