一、容器安全為何如此重要?
為何測評機構(gòu)如此看重容器的安全性,將其作為衡量容器產(chǎn)品最重要的競爭力之一呢?
容器,本質(zhì)是在一臺物理主機(也叫宿主機)上虛擬出的很多相互隔離的操作系統(tǒng),一旦某個容器被攻擊成功,就會導致同在一個宿主機上的其它容器被攻陷(也即“容器逃逸”)�。而且,容器本身也是軟件,就可能存在安全漏洞,而這往往被使用者忽略,又缺少專業(yè)安全團隊的幫助,給攻擊者帶來可乘之機。
在使用場景上,容器經(jīng)常應用于支撐研發(fā)環(huán)境,涉及開發(fā)�、測試和運維等重要研發(fā)環(huán)節(jié),牽一發(fā)而動全身;另一面,容器是運行在某個具體的系統(tǒng)環(huán)境中,相關(guān)系統(tǒng)、應用和網(wǎng)絡都要進行安全加固���、檢測和防護�����。因此,從容器的構(gòu)建到分發(fā)到運行的安全性對容器就變得非常重要���。
二���、華為云全球首發(fā)容器安全服務
針對上述安全問題,華為云全球首發(fā)容器安全服務(CGS),保障容器從構(gòu)建到分發(fā)到運行的安全性。服務有三大特點:
1�����、鏡像安全掃描提前至容器構(gòu)建開發(fā)階段:在容器的構(gòu)建開發(fā)階段,CGS即可掃描鏡像編碼的安全問題,進行持續(xù)集成和持續(xù)發(fā)布���。在容器分發(fā)階段,CGS可進行打包后的掃描,一旦發(fā)現(xiàn)安全問題,即可通知開發(fā)人員進行修復和調(diào)整;
2����、實時安全檢測防止容器逃逸:CGS可對容器中的異常行為進行檢測,與其他行為進行關(guān)聯(lián)分析,準確發(fā)現(xiàn)逃逸行為��。同時,CGS可對容器權(quán)限配置��、高危的系統(tǒng)調(diào)用��、shocker攻擊�����、進程提權(quán)��、DirtyCow和文件暴力破解等進行檢測,及早規(guī)避容器逃逸等風險;
3�、自定義運行時的安全策略:在運行和倉庫鏡像時,用戶可設置安全策略對某些安全漏洞和風險進行攔截和告警,如阻斷存在致命漏洞的程序進入生產(chǎn)環(huán)境。運行時,用戶可設置白名單,有效阻止異常進程�����、提權(quán)攻擊��、違規(guī)操作等風險;也可設置文件只讀保護,鎖定和保護關(guān)鍵文件,避免被篡改�。
其架構(gòu)圖如下,由四部分組成:
1、CGS的Agent作為一個容器運行在每個容器節(jié)點(主機)上,負責節(jié)點上所有容器的鏡像漏洞掃描�、異常事件收集和安全策略實施。
2�、管理Master負責Agent 的管理與運維。
3�����、智能知識庫,用于獲取漏洞庫��、惡意程序庫等數(shù)據(jù),并進行大數(shù)據(jù)AI訓練�����。
4、用戶使用CGS的操作控制臺��。
目前,華為云容器安全服務已正式轉(zhuǎn)商,開啟后,即可實現(xiàn)容器防護列表查看�、鏡像列表查看、安全策略設置����、漏洞修復、運行時監(jiān)控等的功能�。另外,華為云推出了安全大優(yōu)惠活動,整個九月,全場7.5折,歡迎參加,詳情見華為云官網(wǎng)。
