打造黃金鏡像，智能反逃逸，揭秘華為云CGS的容器防護“魔法”

來源：百家號

作者：華為云

時間：2021-04-21

4月8日，第二屆華為云TechWave全球技術(shù)峰會在深圳舉行，以“創(chuàng)新普惠”為主題，圍繞云原生、分布式云等熱點話題，分享技術(shù)創(chuàng)新，普惠千行百業(yè)。峰會上，華為云安全服務(wù)產(chǎn)品總監(jiān)胡巍在云原生技術(shù)設(shè)施分論壇上與大家分享了華為云容器全生命周期安全防護方案——容器安全服務(wù) CGS。

云原生2.0時代，容器是云原生的代表技術(shù)之一。容器的安全性是云原生企業(yè)重點關(guān)注的問題。

容器天生具備優(yōu)越性

容器化部署有許多優(yōu)勢，以華為云容器為例，具備資源高效、資源隔離、彈性擴展、環(huán)境標(biāo)準(zhǔn)化、簡化版本控制、跨平臺性等特點，并結(jié)合存算分離、分布式部署等云原生特征，將成為云原生數(shù)據(jù)服務(wù)部署的發(fā)展趨勢。

資源高效：容器技術(shù)創(chuàng)建容器實例比創(chuàng)建虛擬機實例速度快得多，比虛擬機消耗更少的資源；資源隔離：每個容器之間互相隔離，每個容器有自己的文件系統(tǒng)，容器之間進程不會相互影響，能區(qū)分計算資源；彈性擴展：容器技術(shù)具備秒級彈性機制，華為云容器擴縮容及時性<5s，30秒擴容1000容器實例，可實現(xiàn)業(yè)務(wù)按需極速跨云彈性伸縮。環(huán)境標(biāo)準(zhǔn)化：容器占用資源少、部署快，每個應(yīng)用可以被打包成一個容器鏡像。使用容器為應(yīng)用創(chuàng)建容器鏡像，由于每個應(yīng)用不需要與其余的應(yīng)用堆棧組合，也不依賴于生產(chǎn)環(huán)境基礎(chǔ)結(jié)構(gòu)，這使得從研發(fā)到測試、生產(chǎn)能提供一致環(huán)境；簡化版本控制：容器的每個鏡像都可以進行版本控制，方便跟蹤不同版本的容器，監(jiān)控版本間的差異；跨平臺性：容器適配性強，許多云平臺都支持容器，用戶無需擔(dān)心受到云平臺的捆綁。

華為云容器全生命周期安全防護方案 CGS 為容器業(yè)務(wù)貼身護航

基于上述容器的特點，結(jié)合開源生態(tài)的情況，華為云發(fā)布了保護容器全生命周期安全的防護方案 —— 容器安全服務(wù)CGS，通過構(gòu)筑黃金鏡像，容器逃逸防護機制等功能，助力容器將其自身的性能優(yōu)勢發(fā)揮到最大，方便企業(yè)利用容器技術(shù)更高效地發(fā)展業(yè)務(wù)。

華為云容器安全服務(wù)（Container Guard Service，簡稱CGS）構(gòu)建了容器安全威脅縱深防御體系，提供包括鏡像掃描、威脅檢測與威脅防護的一整套容器安全能力，提供針對容器的Build、Ship、Run全生命周期保護能力，滲透到整個容器DevOps流程，保證容器虛擬環(huán)境從開發(fā)到生產(chǎn)整個流程的安全。