雲原生(shēng)時(shí)代，落實容器(qì)安全與防禦-雲計(jì)算(suàn)-解決方案-202211101141513.mp4

随著(zhe)微(wēi)服務架構的(de)興起，∏‌容器(qì)化(huà)部署逐漸成為(wèi)當下(xi☆♥à)最流行(xíng)的(de)生(shēng)産方式，因此也(♠→€yě)越來(lái)越多(duō)的(de)公司将應用(y<©•≥òng)部署在基于容器(qì)的(de)架構上(shàng)。自(zì✘)然的(de)，容器(qì)的(de)安全性也(yě)成為(w σ$èi)業(yè)界關注的(de)焦點。

容器(qì)通(tōng)過減少(shǎo)主機(jī)自(zì)身(s‍ hēn)的(de)暴露區(qū)域以及對(π"± duì)應用(yòng)程序與主機(jī)之間(ji ®ān)、應用(yòng)程序之間(jiān€$ ")進行(xíng)隔離(lí)實現(xiàn)了(le€•)更多(duō)一(yī)層的(de)防護，而這(zhè)種隔離(lí)并沒有•&(yǒu)使用(yòng)更多(duō)的(de)底層基©®礎架構資源。容器(qì)技(jì)術(shù)以兩種方式提升了(lφγ€e)應用(yòng)程序的(de)安全性。首π >先通(tōng)過使用(yòng)應用(yòng)程序之間(jiān÷§)和(hé)應用(yòng)程序與主機(≠&☆★jī)之間(jiān)的(de)隔離(lí)層來(lái)實現(✘↔xiàn)。第二，它通(tōng)過限制(zhì)對(duì)主機(jī) >的(de)訪問(wèn)來(lái)降低(dī)主機(jī)的(de)↓ § 暴露區(qū)域來(lái)保護主機(jī)以及其上(‍£∞ shàng)的(de)容器(qì)。

●應用(yòng)容器(qì)帶來(lái)的(de)€₩>α挑戰●

一(yī)、容器(qì)技(jì)術(s≤₩‍hù)風(fēng)險：容器(qì)逃逸、資源₩≠¶隔離(lí)失效

二：鏡像安全：鏡像漏洞鏡像，配置缺陷，嵌入式惡意£<±₩軟件(jiàn)，嵌入式明(míng)文(wén)密鑰，使δ用(yòng)不(bù)可(kě)信鏡像

三：鏡像倉庫風(fēng)險：與鏡像倉庫的(de)連接不(b×↕ù)安全，鏡像倉庫中的(de)鏡像過時(₽∑shí)，認證和(hé)授權限制(zhì)不(bù₩₽<₹)足

四：容器(qì)安全：運行(xíng)是(shì♥β♦₩)軟件(jiàn)中的(de)漏洞，容器(q€£∞ì)的(de)網絡訪問(wèn)不(bù)限制(zhì♠★✘)，應用(yòng)漏洞，流氓容器(qì)

五：主機(jī)操作(zuò)系統風(fē✔₩♣∏ng)險：攻擊面大(dà)，內(nèi)核共享♥☆，主機(jī)操作(zuò)系統的(de)組件(jiàn)有(yǒu)漏洞σ±，用(yòng)戶訪問(wèn)權限不(bù)匹配、•¶≥篡改操作(zuò)系統文(wén)件(jiànδδ₩)系統

容器(qì)的(de)廣受歡迎，是(shì)÷✘因為(wèi)它能(néng)簡化(hu£♠♥à)應用(yòng)或服務及其所依賴項的(de)構建≈✔、封裝與推進，而且這(zhè)種簡化(huà)能(π≠&néng)夠涵蓋整個(gè)生(shēng)命周期，還(h×≤ái)可(kě)以跨越不(bù)同的(de)環境。然而容器(qì)安全問(wα èn)題，是(shì)企業(yè)上(shàng)雲的(de)首要(yα✘€ào)關切。随著(zhe)雲原生(shēngδφ)對(duì)計(jì)算(suàn)基礎設施和(hé)企業(yè)♠‍≤應用(yòng)架構的(de)重定義，容器®¶§‌(qì)作(zuò)為(wèi)雲的(de)新界面，也(yě)将緊跟雲原生₹'(shēng)的(de)發展大(dà)潮，向更加安全、可(kě)信的(• de)方向發展。

●容器(qì)安全應對(duì)舉措●

一(yī)、全面了(le)解和(hé)控制(zhσΩì)：獲取容器(qì)活動的(de)可(©♦kě)實現(xiàn)并執行(xíng)安™×全策略

掃描鏡像以了(le)解已知(zhī)的(d" e)漏洞，檢測惡意代碼，并在整個(gè)生(shēng)命周期中确保↔σ"鏡像的(de)完整性。

二、集成與非侵入性：開(kāi)發到(dào)生(shēng)産的(de) $π∏整個(gè)生(shēng)命周期的(de)自(zì)動化(huà)安全∑

零接觸部署和(hé)管理(lǐ)，使用(yòng)API和(hé)編排工¶™±(gōng)具集成；使用(yòng)鏡像清單，應用(yòngδ™®™)程序上(shàng)下(xià)文(wén)"‍♠，行(xíng)為(wèi)分(fēn)析和(hé)網絡威脅情報(÷φbào)自(zì)動化(huà)策略創建。

三、高(gāo)級威脅防禦：保護組織內(nèi)部和(hé)↑✘外(wài)部的(de)多(duō)種攻擊場(chǎng)景

高(gāo)級威脅檢測和(hé)保護，包括容器(qì)活動控制(zh‍₽ αì)，網絡分(fēn)段和(hé)主機(jī)完整性控制(zh ↓ì)；基于特定容器(qì)，鏡像，主機(jī)，網絡和(hé)存儲卷的(de)δ ≤★角色權限控制(zhì)。

容器(qì)安全性是(shì)一(yī)個(gè)廣闊的(de)領域，如(rδ≈¶ú)果企業(yè)對(duì)此接觸不(✘γΩγbù)多(duō)則可(kě)能(néng)會(h≤uì)很(hěn)難理(lǐ)解，但(dàn)是β★≠(shì)随著(zhe)容器(qì)的(de)廣泛使用(yòng)，₽→•σ完善其策略變得(de)越來(lái)越重要(yào)。