乔高驰
根据云原生计算基金会(CNCF)对云原生概念的定义,云原生是让应用更有弹性、容错性、观测性的基础技术,让应用更容易部署、管理基础软件,让应用更容易编写、编排运行框架等。
面对当前云计算、5G、大数据等新型技术的发展,云原生技术的落地,使千行百业用户在单一或多种云环境中更具弹性扩展的优势,上了云的用户能更加灵敏地在云上“冲浪”。
可以说,“云原生”3个字本身就饱含了用户对其寄托的使命:让软件在诞生之际就从云端出发,在遵循新的软件开发、发布和运维模式等前提下,能够最大程度地发挥云的优势效益。
云原生的代表技术琳琅满目,主要包含了容器、微服务、DevOps、服务网格、声明式API和不可变基础设施等。容器作为微服务的最佳载体,随着越来越多组织向微服务或者DevOps转型,容器在计算环境中扮演了越来重要的角色。以容器为代表的云原生技术在为用户提供较大程度的弹性拓展优势时,也产生了一系列的问题。
层出不穷的云原生应用漏洞威胁
面对越来越蓬勃的容器云原生市场,相关组织在2021年发布的容器和Kubernetes安全态势报告显示,针对云原生应用的威胁已越来越多。在过去的12个月里,有94 %的组织在其容器环境中遇到过安全问题,其中69 %的组织检测到错误配置,27 %的组织在运行时遇到安全事件,还有24 %的组织发现了严重的安全漏洞。
容器运行时阶段高级威胁不绝
从纵向威胁层面上来看,由于Docker容器与宿主机共用内核,在内核层面的隔离性不足。这使得攻击者可通过利用漏洞“逃逸”出自身拥有的权限,实现对宿主机或者宿主机上其他容器的访问。脏牛、Docker runC等众多漏洞都有可能成为触发容器逃逸的一环。从横向威胁层面上来看,攻击者可利用被攻击方在启动容器时的不安全配置发起DDoS类型的攻击。
過分占用业务系统资源
企业用户通过堆叠多个安全Agent软件以此应对各种安全需求,在实际环境中产生了严重的性能消耗,影响业务应用的正常运行。若云原生安全产品过多地抢占用户资源而侵害了用户业务应用的可用性,某种程度上来说,将使得安全失去意义。
总体上来说,云原生和云原生安全的出现确实为企业用户业务系统的快速拓展提供了更加灵活的环境与方式,但带来的问题也不容忽视。为了更好地抓住数字经济时代下的黄金发展风口,助推业务系统快速更迭,用户需积极应对上述问题,以便抓住云原生的优势,抢占先机。
云甲可提供容器全生命周期安全防护。通过透明化分析镜像容器资产信息、在镜像仓库和运行容器中,引入病毒检测、异常检测和合规扫描,截断恶意代码代入到运行环境,检测防护容器自身、部署环境及运行时的安全。通过监控POD、容器流量访问,控制恶意流量入侵、配置网络策略,全方位保障容器云安全。
做好多重安全,阻断高危漏洞威胁
在持续集成/部署阶段的安全防护中,可针对镜像进行漏洞风险、病毒木马、敏感信息以及历史记录的风险检查,通过特定策略阻止风险镜像被实例化成容器。在运行环境中,可采用双线应对运行时安全,通过静态检测和动态监控检测容器运行时的已知风险和未知风险,同时对服务器进行安全合规检查。
威胁检测模型构建容器运行时安全
基于威胁检测模型所构建的、基于规则的已知威胁检测技术,以及基于行为模型的未知威胁检测技术,赋予产品:容器Web进程监控、容器逃逸、内存马查杀、行为模型等多种功能,以实时有效地检测和应对高级威胁。
多种部署模式,有效解决资源占用顾虑
面对容器云越来越多的用户环境,部署需求不尽相同。云甲采用平行容器和宿主机Agent两套方案设计来支持容器云安全问题,包括:
平行容器部署模式
平行容器满足更强的弹性伸缩,其利用容器的隔离性和良好的资源控制能力,在容器宿主机中部署防护容器以对主机文件系统进行实时监控和处理响应,对宿主机环境依赖小,管理方便。
宿主机Agent部署模式
实现宿主机安全、容器安全两种防护效果,通过在宿主机部署代理程序的方式,提供基础的安全防护能力以及容器的清点、监控、防护及响应能力。在支持宿主机防护的基础上,可达到高效率、低损耗的效果,同时资源占用可管控,对业务影响小。
在云原生技术的带动下,容器等为代表的云原生安全也至关重要。安全向来是环环相扣,只有做好容器全生命周期的安全防护,才能让用户安全无忧。作为云安全&云原生安全领域的领导厂商,安全狗旗下的容器云原生安全产品·云甲也倍受国际权威机构Gartner的认可。未来,安全狗云甲也将向更加简单、易于用户操作、有利于用户业务稳定发展的方向持续演进。