云原生應(yīng)用安全落地，你需要了解的容器安全體系

摘要

容器安全作為云原生安全的重要組成部分，為用戶業(yè)務(wù)的云原生落地提供了基礎(chǔ)的安全保障。騰訊云憑借多年來在容器安全以及云原生安全領(lǐng)域的研究和實踐運營經(jīng)驗，同時結(jié)合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經(jīng)驗，提出云原生容器安全體系框架，助力用戶安全的實現(xiàn)云原生落地。

概述

容器作為云原生重要的支撐技術(shù)，近年來被廣泛的認(rèn)可和應(yīng)用。根據(jù)《中國云原生用戶調(diào)查報告（2020）》[1]顯示，60%以上用戶已在生產(chǎn)環(huán)境中應(yīng)用容器技術(shù)，其中：43%的用戶已將容器技術(shù)應(yīng)用于核心生產(chǎn)環(huán)境，19%的用戶已將容器技術(shù)用于非核心生產(chǎn)環(huán)境。

然而一次次安全事件的曝光，不管是特斯拉在亞馬遜上的Kubernetes集群被入侵，還是Docker Hub頻繁被爆含有漏洞和惡意程序的鏡像，讓用戶在享受云原生紅利的同時，產(chǎn)生了極大的安全擔(dān)憂。根據(jù)云原生用戶調(diào)查報告顯示，容器的安全問題已成為用戶應(yīng)用云原生的最大擔(dān)憂，其中63%的用戶認(rèn)為容器安全是緊迫的需求。

在實現(xiàn)云原生的主要技術(shù)中，容器作為支撐應(yīng)用運行的重要載體，為應(yīng)用的運行提供了隔離和封裝，成為云原生應(yīng)用的基礎(chǔ)設(shè)施底座。因此容器的安全與否，將直接影響著整個云原生系統(tǒng)的安全性。

騰訊云依托在云原生以及安全方向的持續(xù)投入、積累和沉淀，一直致力于在云原生領(lǐng)域為用戶提供更全面、更穩(wěn)定、更安全的云原生服務(wù)，助力用戶實現(xiàn)應(yīng)用系統(tǒng)的云原生化，并且持續(xù)的保障其安全穩(wěn)定的運行。

基于騰訊多年安全攻防技術(shù)的研究積累，持續(xù)在安全能力上的沉淀，以及對云原生安全領(lǐng)域的研究和實踐運營，同時結(jié)合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經(jīng)驗，我們提出騰訊云原生容器安全體系框架，打造安全的容器云平臺。框架描述了作為云原生安全底座的容器安全所覆蓋的安全防護能力和范圍，以及結(jié)合安全管理和安全運營，如何系統(tǒng)全面的保障容器安全。

容器安全體系設(shè)計四大原則

云原生計算的特性決定了云原生容器安全在架構(gòu)設(shè)計上，一個重要的原則就是安全能力的原生化，也就是在基礎(chǔ)設(shè)施和基礎(chǔ)架構(gòu)上原生的提供安全能力，使得云原生應(yīng)用能夠做到上線即安全。

同時我們采用安全左移的思路，更早的投入安全資源和安全能力去更有效的收斂安全問題，然后將安全能力全面融入到DevOps體系中，實現(xiàn)面向DevSecOps的全生命周期安全防護。

容器安全防護的主體從主要以IP為標(biāo)記的主機變成了以Label、Tag等作為標(biāo)記的應(yīng)用程序，其安全邊界變的更加模糊。因此，需要采用零信任架構(gòu)，通過全面有效的身份權(quán)限管理以及持續(xù)的檢測與響應(yīng)來實現(xiàn)對云原生應(yīng)用的安全防護。

全方位層次化的云原生容器安全體系框架

騰訊云容器平臺的安全體系，采用層次化的方式，逐層實現(xiàn)安全防護。主要分為承載容器云平臺的基礎(chǔ)設(shè)施層安全、容器和容器云平臺基礎(chǔ)架構(gòu)層安全、以及容器承載的應(yīng)用層安全。

基礎(chǔ)設(shè)施安全

在基礎(chǔ)設(shè)施層，不管是運行在公有云、私有云、專有云、還是混合云，我們會提供針對容器平臺運行主機的安全防護措施，包括采用騰訊專有的安全內(nèi)核和安全操作系統(tǒng)，以及對已知漏洞進行安全性的修復(fù)和管理。同時，針對主機上的基礎(chǔ)軟件，進行安全配置基線的檢測與加固，在基礎(chǔ)設(shè)施層面減小攻擊面。

基礎(chǔ)架構(gòu)安全

在容器云平臺TKE的基礎(chǔ)架構(gòu)層，首先我們會提供針對容器和編排系統(tǒng)的安全防護措施，包括提供有效的資源隔離和限制措施，用戶的身份和權(quán)限管理機制，基于CIS的安全配置加固，對云原生實現(xiàn)組件的漏洞管理與修復(fù)等。

其次，在網(wǎng)絡(luò)安全上，我們采用零信任架構(gòu)，持續(xù)的對集群網(wǎng)絡(luò)進行監(jiān)控和異常檢測，保證網(wǎng)絡(luò)的有效隔離和安全通信，包括租戶、Service、Pod等不同粒度的網(wǎng)絡(luò)隔離，網(wǎng)絡(luò)通信的加密，訪問控制，網(wǎng)絡(luò)的入侵檢測，基于機器學(xué)習(xí)進行網(wǎng)絡(luò)行為的異常檢測與處置等。

最后，在容器運行前，首先我們會對啟動的容器鏡像進行準(zhǔn)入檢測，確保拉起的鏡像符合基本的安全要求，從運行開始階段進行安全風(fēng)險的篩查；當(dāng)容器啟動運行后，我們會持續(xù)的對包括容器逃逸、反彈shell、異常進程、文件篡改、高危系統(tǒng)調(diào)用等在內(nèi)的入侵行為進行檢測與告警，實現(xiàn)運行時的實時檢測與防護。同時，我們還會結(jié)合機器學(xué)習(xí)、人工智能等大數(shù)據(jù)分析技術(shù)，對容器的行為進行監(jiān)控、畫像，從行為分析角度，對容器內(nèi)的行為進行異常檢測。多維度保障容器的運行安全。

應(yīng)用安全

在容器應(yīng)用層，我們提供了全面的軟件供應(yīng)鏈安全防護措施，通過提供對鏡像的安全掃描能力，深度掃描本地/倉庫鏡像，分析鏡像的安全漏洞、惡意文件、敏感信息等。通過多維度深度掃描，幫助用戶發(fā)現(xiàn)不安全鏡像，從源頭上解決容器鏡像安全問題。

同時我們還提供針對容器鏡像的安全態(tài)勢監(jiān)控能力，持續(xù)監(jiān)測鏡像的安全態(tài)勢。另外，我們還可以通過API網(wǎng)關(guān)、API監(jiān)控等方式，對微服務(wù)間的API通信進行安全防護，包括API的訪問控制、身份管理，調(diào)用鏈異常分析等。

安全能力全面原生化

云原生依托容器、服務(wù)網(wǎng)格等關(guān)鍵技術(shù)，實現(xiàn)了更輕量的隔離方式、更靈活的負(fù)載管理、更復(fù)雜的容器網(wǎng)絡(luò)、更短的容器生命周期、以及更敏捷的開發(fā)流程。這些重要變化，使得傳統(tǒng)的安全防護手段很難發(fā)揮應(yīng)有的作用。

因此，要實現(xiàn)容器安全或者是云原生安全，一定要充分匹配云原生的特性，采用原生安全的方式。這里的原生安全包括兩個方面：一方面是原生的基礎(chǔ)安全，我們在容器、編排、微服務(wù)等云原生基礎(chǔ)架構(gòu)的構(gòu)建過程中，就充分的融入安全性的設(shè)計和考慮，使我們的云原生系統(tǒng)天然的就具備安全特性，使得安全成為像計算、存儲、網(wǎng)絡(luò)一樣的基礎(chǔ)能力；另一方面，就是安全能力的云原生實現(xiàn)，充分利用云原生的技術(shù)優(yōu)勢，來實現(xiàn)安全檢測與防護能力，使相關(guān)的安全能力同樣具備云原生的低成本、高效率和高可用特性。

安全防護全生命周期

在云原生架構(gòu)中，業(yè)務(wù)的快速迭代以及容器生命周期短、業(yè)務(wù)復(fù)雜、網(wǎng)絡(luò)復(fù)雜等特點會造成運行時的安全檢測投入成本很高。因此，基于上述層次化的安全框架，我們在容器生命周期的各個階段，嵌入相應(yīng)的安全能力，實現(xiàn)對容器的全生命周期安全防護。

全生命周期防護的一個重要的特點就是實現(xiàn)“安全前置”或者“安全左移”，在軟件開發(fā)生命周期的更早階段，投入更多的安全資源和能力，嵌入安全動作，來有效的收斂安全漏洞問題，盡可能更早的確定其安全性。

容器安全框架有效的與騰訊云CODING產(chǎn)品進行協(xié)同聯(lián)動，在DevOps流程中嵌入安全能力，通過對應(yīng)用程序的代碼進行安全分析、審計、加固等措施，在開發(fā)階段保障代碼的安全性。

同時，在容器鏡像服務(wù)TCR以及容器服務(wù)TKE中，分別嵌入鏡像安全以及容器運行安全的相關(guān)安全能力，實現(xiàn)全生命周期的安全防護，打通DevSecOps閉環(huán)。

安全威脅全面可觀測

容器化的基礎(chǔ)設(shè)施使得應(yīng)用自身變的更快、更輕，一臺主機上可以快速部署運行幾十個、甚至上百個容器，應(yīng)用的部署密度以及變化頻率，較傳統(tǒng)環(huán)境，有著巨大的變化。

正所謂“未知攻焉知防”，面對云原生架構(gòu)下的大規(guī)模集群以及海量靈活的微服務(wù)應(yīng)用，只有知道集群中應(yīng)用的具體操作、行為，才能夠進行高效的安全防護。

騰訊云容器平臺TKE提供了全面的可觀測服務(wù)，這既包括了系統(tǒng)日志、應(yīng)用日志等一整套完善的日志管理服務(wù)，還包括了各類運行指標(biāo)的高性能監(jiān)控服務(wù)，以及進程行為追蹤、服務(wù)調(diào)用鏈追蹤等追蹤服務(wù)，使我們能夠清晰的了解系統(tǒng)的詳細(xì)的運行狀況，進而快速高效的進行威脅的檢測、追蹤與溯源。

除此之外，我們還提供了對安全事件和安全告警的全面可觀測服務(wù)，使得安全威脅更加直觀可視化，能夠快速的進行異常定位，快速的實現(xiàn)應(yīng)急響應(yīng)。

安全責(zé)任共擔(dān)

騰訊云在安全建設(shè)上，一直倡導(dǎo)和踐行著安全責(zé)任共擔(dān)的原則，對于容器云平臺的安全性保障，同樣需要騰訊云以及云上用戶的共同努力。

騰訊云的責(zé)任主要包括保護硬件、內(nèi)核、操作系統(tǒng)等基礎(chǔ)設(shè)施環(huán)境的安全，同時還包括保護容器、集群等容器云基礎(chǔ)架構(gòu)的安全，例如安全的配置和加固、身份權(quán)限的管理、網(wǎng)絡(luò)的隔離以及入侵檢測等。

客戶的責(zé)任主要是管理和維護容器云上的工作負(fù)載，比如應(yīng)用的代碼安全、容器鏡像的安全、相關(guān)版本的升級以及對監(jiān)控、告警的響應(yīng)等。

總結(jié)

云原生架構(gòu)給安全防護帶來了前所未有的挑戰(zhàn)，容器安全作為云原生安全的技術(shù)底座，對云原生安全起到了重要的支撐作用。

在云原生化、安全左移、零信任等設(shè)計原則的指導(dǎo)下，我們提出層次化的云原生容器安全體系框架，從基礎(chǔ)設(shè)施安全到容器基礎(chǔ)架構(gòu)安全，再到容器化應(yīng)用的安全，逐層實現(xiàn)安全防護。同時，容器安全體系還與DevOps體系進行協(xié)同聯(lián)動，在DevOps流程中嵌入安全能力，實現(xiàn)安全左移，降低運行過程中安全檢測和防護的成本。在安全管理和運營上，通過密鑰管理、安全策略管理、漏洞管理等服務(wù)，實現(xiàn)對用戶云上的容器服務(wù)持續(xù)的檢測和響應(yīng)，確保其安全性。我們希望通過這一套完備的安全防護體系，打造一個原生安全的容器云平臺，助力用戶安全的實現(xiàn)云原生轉(zhuǎn)型，享受云原生帶來的紅利。

參考資料

[1]《中國云原生用戶調(diào)查報告（2020）》:【http://www.caict.ac.cn/kxyj/qwfb/ztbg/202010/t20201021_360375.htm】