都說(shuō)國(guó)內(nèi)需求離容器化還遠(yuǎn)，更談不上關(guān)注安全，喊的熱鬧而落地困難。但總得有些聲音面向未來(lái)向前看。

在2020年Forrester IaaS安全評(píng)測(cè)中，阿里云容器安全和谷歌并列滿分，技術(shù)能力領(lǐng)跑市場(chǎng)。阿里云在云計(jì)算各領(lǐng)域技術(shù)一直領(lǐng)先一步，包括云原生安全，和作為其重要組成的容器安全。

本文總結(jié)了阿里云容器安全的治理能力和經(jīng)驗(yàn)，呈現(xiàn)云原生時(shí)代容器安全涌現(xiàn)的新特點(diǎn)。幫助未來(lái)的你全面理解容器安全，保護(hù)生產(chǎn)環(huán)境安全。

隨著阿里云前進(jìn)的腳印，我們首先來(lái)理解容器是什么，以及容器和云原生的關(guān)系。

理解容器第一步:云原生”大樓“的底座

2010年，云原生的概念第一次在WSO2的首席技術(shù)官Paul Fremantle的博客中被提及，其后經(jīng)歷了Pivotal、CNCF等機(jī)構(gòu)的補(bǔ)充，加入了DevOps、持續(xù)交付、微服務(wù)、容器、服務(wù)網(wǎng)格（Service Mesh）、不可改變的基礎(chǔ)設(shè)施、聲明式API等技術(shù)，通過(guò)這些技術(shù)可以構(gòu)建出高彈性、高虛擬化、高容錯(cuò)性、自恢復(fù)、易管理的分布式架構(gòu)系統(tǒng)。

但隨著云原生所包含的概念越來(lái)越廣，任何對(duì)其的定義似乎都有管中窺豹的嫌疑。與其糾結(jié)定義的完整性，我們不妨把目光轉(zhuǎn)向云原生給企業(yè)帶來(lái)的好處和改變。

總結(jié)精煉四個(gè)關(guān)鍵詞：低成本、高可用、高安全、高效率。

低成本

企業(yè)服務(wù)器成本和虛擬損耗大幅減少。從物理主機(jī)，到虛擬化，再到容器化，客戶不必再進(jìn)行線下機(jī)房管理、使用資源占用量高的虛擬機(jī)，大大節(jié)約成本。

高可用

優(yōu)雅地解決高并發(fā)場(chǎng)景下容量問(wèn)題。在云原生容器化時(shí)代，不封裝操作系統(tǒng)的容器，直接運(yùn)行于主機(jī)內(nèi)核之上，對(duì)系統(tǒng)資源的占用更少。加之鏡像封裝的技術(shù)，可以實(shí)現(xiàn)其大規(guī)模自動(dòng)化部署，配合分布式架構(gòu)，彈性擴(kuò)容能力極強(qiáng)。

高安全

攻擊面減少。IDC時(shí)代，所有的應(yīng)用、進(jìn)程都在一臺(tái)服務(wù)器上運(yùn)行，一旦某個(gè)進(jìn)程被惡意突破，整個(gè)主機(jī)都面臨巨大的風(fēng)險(xiǎn)。而在容器架構(gòu)中，單個(gè)容器中可能只有一個(gè)進(jìn)程，就算被攻擊突破，對(duì)主機(jī)的影響也有限。

高效率

云原生倡導(dǎo)DevSecOps理念，而容器化使得在開發(fā)過(guò)程中使用CI/CD（快速集成和快速部署）成為可能，極大地提升了應(yīng)用開發(fā)和程序運(yùn)行的效率。

我們不難發(fā)現(xiàn)，云原生和容器之間的緊密關(guān)系?？梢哉f(shuō)，容器徹底改變了企業(yè)IT基礎(chǔ)設(shè)施的架構(gòu)方式，是搭建云原生的關(guān)鍵。

如果說(shuō)云原生是一棟高樓大廈，那么容器化便是這座大樓的底座，向上支撐分布式架構(gòu)、微服務(wù)和不同工作負(fù)載，向下封裝基礎(chǔ)設(shè)施，屏蔽了底層架構(gòu)的差異性，以自身鏡像封裝、內(nèi)核共享、便利擴(kuò)容等特性，構(gòu)建了一棟云原生大廈。

隨著企業(yè)上云率不斷提升，越來(lái)越多的企業(yè)選擇在生產(chǎn)環(huán)境中使用容器架構(gòu)。

CNCF 2020年發(fā)布的報(bào)告中顯示，在生產(chǎn)中應(yīng)用容器的企業(yè)比例從去年的84%增長(zhǎng)到今年的92%。艾瑞咨詢?cè)凇吨袊?guó)容器云市場(chǎng)研究報(bào)告》中顯示，2020年有84.7%的中國(guó)企業(yè)已經(jīng)&計(jì)劃使用容器。

但歷史的經(jīng)驗(yàn)告訴我們，所有繁榮景象之上，都懸著一把達(dá)摩克里斯之劍，Tripwire 2019年對(duì)311位IT安全專業(yè)人員進(jìn)行了調(diào)研，發(fā)現(xiàn)60%的組織都遭遇過(guò)容器安全事故，容器的背后存在著巨大的安全隱患。

理解容器風(fēng)險(xiǎn)第二步:運(yùn)輸中的“集裝箱”

既然容器構(gòu)成了云原生這座大廈的基座，那么防護(hù)容器安全就不僅僅是防護(hù)容器的安全這么簡(jiǎn)單。

如果我們把容器看成一個(gè)個(gè)封裝好的集裝箱，想要讓箱內(nèi)的貨物順利配送到客戶手上，那么從集裝箱的制作、安裝、打包、到運(yùn)輸箱子的貨輪、快遞配送員的安全，都需要考慮在內(nèi)。

也就是說(shuō)，我們需要在整體的DevSecOps的開發(fā)流程中，考慮容器的安全：

 根據(jù)上圖我們可以看到，在容器的全生命周期中，涉及到四個(gè)部分的安全風(fēng)險(xiǎn)：

基礎(chǔ)設(shè)施

容器構(gòu)建于云平臺(tái)/服務(wù)器之上，硬件設(shè)施、內(nèi)核、云平臺(tái)的安全是容器安全的基礎(chǔ)，基礎(chǔ)設(shè)施安全是容器安全的第一步。

供應(yīng)鏈

當(dāng)基礎(chǔ)平臺(tái)安全后，開發(fā)者可以在云上建立一整套DevOps的開發(fā)流程，通過(guò)容器化來(lái)提升交付效率，那么首先需要完成容器的構(gòu)建和部署。

容器內(nèi)部一般分為三層，底層為BootFS文件系統(tǒng)，中層為鏡像層，上層為可改寫的容器層：

容器內(nèi)部層次

容器的構(gòu)建依賴于鏡像，鏡像由鏡像庫(kù)管理。在構(gòu)建容器過(guò)程中只需要從鏡像庫(kù)中調(diào)取鏡像即可。如果由于鏡像庫(kù)管理不當(dāng)，混入了惡意鏡像，或者鏡像遭到損壞，有漏洞的鏡像沒(méi)有及時(shí)更新，鏡像的認(rèn)證和授權(quán)限制不足等，會(huì)給容器帶來(lái)巨大的安全隱患。

容器構(gòu)建完成之后，還需要對(duì)其進(jìn)行正確的部署，拿容器網(wǎng)絡(luò)來(lái)舉例，在默認(rèn)的-host的網(wǎng)絡(luò)配置下，容器運(yùn)行時(shí)默認(rèn)可以通過(guò)網(wǎng)絡(luò)訪問(wèn)其他容器及主機(jī)操作系統(tǒng)，一旦單個(gè)容器被入侵就可能影響到宿主機(jī)上部署的所有容器。根據(jù)StackRox的報(bào)告，配置錯(cuò)誤恰恰是企業(yè)對(duì)于容器安全最擔(dān)憂的部分。

容器運(yùn)行時(shí)

容器構(gòu)建完畢之后，依賴Cgroup、Namespace、Capability等功能在內(nèi)核上實(shí)現(xiàn)互相隔離，并使用編排工具和容器運(yùn)行時(shí)組件進(jìn)行批量化管理和使用。

而編排平臺(tái)，如Kubernetes、OpenShift等，存在不少高危漏洞，根據(jù)NVD（National Vulnerablity Database）的數(shù)據(jù)統(tǒng)計(jì)，光是K8S平臺(tái)被找到的CVE漏洞就有109個(gè)，其中嚴(yán)重（Critical）的漏洞有10個(gè)，高危（High）的漏洞有39個(gè)，一旦使用者沒(méi)有及時(shí)修復(fù)相關(guān)漏洞，就有可能被攻擊者利用，威脅容器安全。

應(yīng)用安全

當(dāng)我們順藤摸瓜一步步往上走，從基礎(chǔ)設(shè)施層到網(wǎng)絡(luò)層，最終到達(dá)處于最上層的應(yīng)用層，也就是容器這條船上承載的一個(gè)個(gè)“貨物”，較為容易遭受DDoS攻擊、賬號(hào)盜用、數(shù)據(jù)泄露等攻擊。

除了在整體開發(fā)流程中理解容器安全外，容器本身的特性也給安全防護(hù)帶去了不一樣的側(cè)重點(diǎn)：

1、容器隔離性差

和虛擬機(jī)基于系統(tǒng)的隔離不同，容器是基于進(jìn)程的隔離，沒(méi)有明確的安全邊界， 更容易發(fā)生容器逃逸、宿主機(jī)內(nèi)核遭受攻擊的問(wèn)題。

2、容器存活時(shí)間短

和傳統(tǒng)的虛擬機(jī)相比，容器具有輕量級(jí)的優(yōu)勢(shì)，可以快速部署，快速迭代，這也意味著單個(gè)容器的存活時(shí)間也急速變短。據(jù)Datadog的數(shù)據(jù)統(tǒng)計(jì)，傳統(tǒng)云虛擬機(jī)的平均生存周期是23天，而容器只有2.5天，極短的存活期導(dǎo)致在運(yùn)行時(shí)對(duì)它進(jìn)行保護(hù)變得更加困難，所以在供應(yīng)鏈側(cè)就要保證容器的安全。

此外，容器的更新速度也對(duì)鏡像庫(kù)的更新速度有了更高的要求。

3、容器部署密度高

由于大規(guī)模部署，對(duì)容器的批量化管理必然需要使用編排工具，對(duì)于編排工具、鏡像庫(kù)、鏡像的安全保障就變得更為重要。

理解容器安全第三步：動(dòng)態(tài)防護(hù)全生命周期

在對(duì)容器的生命周期進(jìn)行梳理之后，我們會(huì)發(fā)現(xiàn)防護(hù)容器安全，其實(shí)就是防護(hù)生產(chǎn)環(huán)境的安全。那么在整個(gè)鏈路中，容器最常遭受的攻擊是什么，企業(yè)應(yīng)該如何防護(hù)？

阿里云從2011年即開啟了探索的腳步，推進(jìn)容器化的技術(shù)改造和落地，推進(jìn)云原生技術(shù)，2020年完成了核心系統(tǒng)全面云原生化，積累了大量的實(shí)踐經(jīng)驗(yàn)，同步發(fā)布了國(guó)內(nèi)首個(gè)云原生容器安全ATT&CK攻防矩陣。

匯合多年的技術(shù)積累和實(shí)戰(zhàn)經(jīng)驗(yàn)，為了更好地應(yīng)對(duì)容器化進(jìn)程中的安全挑戰(zhàn)，阿里云認(rèn)為企業(yè)的容器安全應(yīng)當(dāng)做到動(dòng)態(tài)防護(hù)，覆蓋容器全生命周期。

基礎(chǔ)設(shè)施安全

大部分企業(yè)會(huì)選擇在云平臺(tái)上搭建容器，或直接使用容器運(yùn)營(yíng)商的容器服務(wù)，為了保障容器底層基礎(chǔ)設(shè)施的安全，企業(yè)在選擇云服務(wù)商時(shí)需要格外關(guān)注其安全能力：

1、云平臺(tái)是否安全合規(guī)

一方面是云平臺(tái)自身的安全，是否是可信的云環(huán)境；另一方是云平臺(tái)合規(guī)安全，云服務(wù)商需要基于業(yè)界通用的安全合規(guī)標(biāo)準(zhǔn)，保證服務(wù)組件配置的默認(rèn)安全性。

2、云平臺(tái)安全能力是否強(qiáng)大

云平臺(tái)的基礎(chǔ)安全能力，例如主機(jī)/VM的防護(hù)、SLB訪問(wèn)控制、DDoS、WAF能力、CWPP/CSPM功能等。

3、云平臺(tái)管理能力

版本更新和漏洞補(bǔ)丁的安裝能力也是保證基礎(chǔ)設(shè)施安全的基本防護(hù)措施，需要云廠商具備漏洞分級(jí)響應(yīng)機(jī)制和版本升級(jí)能力。

阿里云的云平臺(tái)防護(hù)能力毋庸置疑：· 通過(guò)可信芯片提供芯片級(jí)別的防護(hù)能力，保證服務(wù)器-云平臺(tái)-虛擬機(jī)/容器環(huán)境的整體環(huán)境可信，實(shí)現(xiàn)當(dāng)前技術(shù)發(fā)展階段下最高等級(jí)安全；· 2020年發(fā)布的108項(xiàng)自帶安全能力的云產(chǎn)品，提供強(qiáng)大的平臺(tái)安全防護(hù)能力；· 亞太地區(qū)獲得權(quán)威合規(guī)資質(zhì)最多的云廠家，為客戶解決云上合規(guī)問(wèn)題。

軟件供應(yīng)鏈動(dòng)態(tài)防護(hù)：采集、可視、關(guān)聯(lián)分析和響應(yīng)的全流程建設(shè)

由于容器的存活時(shí)間短，運(yùn)行時(shí)安全防護(hù)困難增大，所以需要在供應(yīng)鏈側(cè)，也就是容器構(gòu)建時(shí)即將安全納入考慮范疇，實(shí)現(xiàn)安全左移，將DevSecOps觀念納入交付流程。

在考慮容器供應(yīng)鏈安全時(shí)，動(dòng)態(tài)思維極為關(guān)鍵。就容器生成的核心：鏡像而言，如果存在惡意鏡像或鏡像漏洞沒(méi)有得到及時(shí)更新，可能會(huì)造成大批量的入侵。據(jù)Prevasio 對(duì)于托管在 Docker Hub 上 400 萬(wàn)個(gè)容器鏡像的調(diào)查統(tǒng)計(jì)，有 51% 的鏡像存在高危漏洞；另外有 6432 個(gè)鏡像被檢測(cè)出包含惡意木馬或挖礦程序，這些惡意鏡像就已經(jīng)被累計(jì)下載了 3 億次。

為了應(yīng)對(duì)供應(yīng)鏈中的安全挑戰(zhàn)，安全廠商需要提供實(shí)時(shí)動(dòng)態(tài)的防護(hù)能力：

1、實(shí)時(shí)漏洞掃描：對(duì)鏡像進(jìn)行多維度深度掃描，檢測(cè)CVE漏洞、SCA中間件、WebShell惡意腳本、確保鏡像無(wú)漏洞；

2、鏡像資產(chǎn)管理：獲取主機(jī)鏡像信息，對(duì)鏡像資產(chǎn)進(jìn)行梳理，關(guān)聯(lián)鏡像、倉(cāng)庫(kù)、主機(jī)節(jié)點(diǎn)，便于對(duì)鏡像資產(chǎn)進(jìn)行快速檢索；

3、鏡像掃描、驗(yàn)證：除了漏掃以外，還需對(duì)鏡像的配置、CIS靜態(tài)基線等內(nèi)容，減少鏡像配置錯(cuò)誤；同時(shí)建立鏡像加簽規(guī)則，確保進(jìn)入鏡像庫(kù)的鏡像安全、無(wú)誤，分發(fā)和部署中的鏡像不被篡改。

4、鏡像修復(fù)：目前市面上還沒(méi)有較為成熟的擁有自動(dòng)鏡像修復(fù)能力的廠商，大部分服務(wù)商僅提供修復(fù)建議。

阿里云的安全防護(hù)能力覆蓋供應(yīng)鏈全周期。在掃描能力上，提供專人管理和維護(hù)的龐大數(shù)據(jù)庫(kù)，收錄10w+安全漏洞，擁有最新突發(fā)漏洞的檢測(cè)能力，支持多操作系統(tǒng)下的漏洞掃描。同時(shí)檢測(cè)時(shí)間極快，基本可以達(dá)到1min出結(jié)果。在漏洞修復(fù)能力上，提供在OS下的鏡像自動(dòng)修復(fù)能力，讓漏洞修復(fù)更簡(jiǎn)單，降低運(yùn)維人員壓力。在CIS基線管理上，阿里云容器服務(wù)提交的 CIS Kubernetes benchmark for ACK 正式通過(guò) CIS 社區(qū)組織的認(rèn)證審核，成為國(guó)內(nèi)首家發(fā)布 CIS Kubernetes 國(guó)際安全標(biāo)準(zhǔn)基線的云服務(wù)商。

運(yùn)行時(shí)安全

容器運(yùn)行時(shí)是用于運(yùn)行容器的每個(gè)主機(jī)操作系統(tǒng)對(duì)應(yīng)的二進(jìn)制文件，用于建立和維護(hù)每個(gè)容器環(huán)境。容器進(jìn)行時(shí)協(xié)調(diào)多個(gè)操作系統(tǒng)組件，隔離資源和資源使用量，并通過(guò)操作系統(tǒng)與宿主機(jī)進(jìn)行交互，可以說(shuō)是容器運(yùn)行的保障，在這個(gè)階段，企業(yè)需要關(guān)注：

1、容器運(yùn)行時(shí)漏洞、威脅掃描

2、容器運(yùn)行時(shí)網(wǎng)絡(luò)可視化

3、容器運(yùn)行時(shí)配置合規(guī)安全

阿里云對(duì)容器運(yùn)行時(shí)提供兩大安全保障，一個(gè)是實(shí)時(shí)威脅檢測(cè)，防止容器逃逸。通過(guò)200+安全監(jiān)測(cè)模型能無(wú)死角實(shí)現(xiàn)逃逸檢測(cè)，有效監(jiān)控容器運(yùn)行時(shí)攻擊、配置錯(cuò)誤、AK泄露等問(wèn)題；另一個(gè)是漏洞管理，全面覆蓋系統(tǒng)漏洞、應(yīng)用漏洞、應(yīng)急0Day漏洞，同時(shí)SCA漏洞檢測(cè)能力還覆蓋生態(tài)及開源軟件漏洞檢查，有效降低漏洞入侵風(fēng)險(xiǎn)。

此外，阿里云安全還提供容器運(yùn)行時(shí)網(wǎng)絡(luò)連接可視化，通過(guò)Agent采集數(shù)據(jù)，實(shí)現(xiàn)東西、南北向網(wǎng)絡(luò)可視化，輕松識(shí)別網(wǎng)絡(luò)連接安全風(fēng)險(xiǎn)，同時(shí)進(jìn)行配置合規(guī)檢查，保證容器運(yùn)行時(shí)的配置安全。

隨著云原生對(duì)于計(jì)算機(jī)基礎(chǔ)設(shè)施和應(yīng)用架構(gòu)的重新定義，原生安全也在進(jìn)一步迭代。Gartner在其Marktet Trends中提到建設(shè)云原生安全生態(tài)，安全從原來(lái)單點(diǎn)式的防護(hù)開始向集成化、內(nèi)生化發(fā)展。容器技術(shù)和生態(tài)的成熟，使得新的容器使用場(chǎng)景也在涌現(xiàn)，邊緣計(jì)算、機(jī)器學(xué)習(xí)、大數(shù)據(jù)分析、aPaaS正在成為容器安全的新關(guān)鍵詞。

阿里云安全也在進(jìn)行容器與安全服務(wù)一站式深度整合，通過(guò)集成云安全中心、密鑰管理、日志管理等安全服務(wù)，構(gòu)建原生的安全能力，在DevOps流程中默認(rèn)植入安全，提升整體持續(xù)集成和持續(xù)交付（CI/CD）流水線的安全和防御能力。

在云原生的挑戰(zhàn)下，阿里云容器服務(wù)也會(huì)走在技術(shù)前線，在容器安全領(lǐng)域保持世界級(jí)的競(jìng)爭(zhēng)力，為客戶的應(yīng)用安全保駕護(hù)航。