一���、容器安全為何如此重要?
為何測評機(jī)構(gòu)如此看重容器的安全性,將其作為衡量容器產(chǎn)品最重要的競爭力之一呢?
容器,本質(zhì)是在一臺物理主機(jī)(也叫宿主機(jī))上虛擬出的很多相互隔離的操作系統(tǒng),一旦某個(gè)容器被攻擊成功,就會導(dǎo)致同在一個(gè)宿主機(jī)上的其它容器被攻陷(也即“容器逃逸”)��。而且,容器本身也是軟件,就可能存在安全漏洞,而這往往被使用者忽略,又缺少專業(yè)安全團(tuán)隊(duì)的幫助,給攻擊者帶來可乘之機(jī)��。
在使用場景上,容器經(jīng)常應(yīng)用于支撐研發(fā)環(huán)境,涉及開發(fā)、測試和運(yùn)維等重要研發(fā)環(huán)節(jié),牽一發(fā)而動(dòng)全身;另一面,容器是運(yùn)行在某個(gè)具體的系統(tǒng)環(huán)境中,相關(guān)系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)都要進(jìn)行安全加固�����、檢測和防護(hù)���。因此,從容器的構(gòu)建到分發(fā)到運(yùn)行的安全性對容器就變得非常重要。
二���、華為云全球首發(fā)容器安全服務(wù)
針對上述安全問題,華為云全球首發(fā)容器安全服務(wù)(CGS),保障容器從構(gòu)建到分發(fā)到運(yùn)行的安全性。服務(wù)有三大特點(diǎn):
1�����、鏡像安全掃描提前至容器構(gòu)建開發(fā)階段:在容器的構(gòu)建開發(fā)階段,CGS即可掃描鏡像編碼的安全問題,進(jìn)行持續(xù)集成和持續(xù)發(fā)布。在容器分發(fā)階段,CGS可進(jìn)行打包后的掃描,一旦發(fā)現(xiàn)安全問題,即可通知開發(fā)人員進(jìn)行修復(fù)和調(diào)整;
2���、實(shí)時(shí)安全檢測防止容器逃逸:CGS可對容器中的異常行為進(jìn)行檢測,與其他行為進(jìn)行關(guān)聯(lián)分析,準(zhǔn)確發(fā)現(xiàn)逃逸行為�。同時(shí),CGS可對容器權(quán)限配置��、高危的系統(tǒng)調(diào)用����、shocker攻擊、進(jìn)程提權(quán)��、DirtyCow和文件暴力破解等進(jìn)行檢測,及早規(guī)避容器逃逸等風(fēng)險(xiǎn);
3��、自定義運(yùn)行時(shí)的安全策略:在運(yùn)行和倉庫鏡像時(shí),用戶可設(shè)置安全策略對某些安全漏洞和風(fēng)險(xiǎn)進(jìn)行攔截和告警,如阻斷存在致命漏洞的程序進(jìn)入生產(chǎn)環(huán)境���。運(yùn)行時(shí),用戶可設(shè)置白名單,有效阻止異常進(jìn)程、提權(quán)攻擊��、違規(guī)操作等風(fēng)險(xiǎn);也可設(shè)置文件只讀保護(hù),鎖定和保護(hù)關(guān)鍵文件,避免被篡改�。
其架構(gòu)圖如下,由四部分組成:
1��、CGS的Agent作為一個(gè)容器運(yùn)行在每個(gè)容器節(jié)點(diǎn)(主機(jī))上,負(fù)責(zé)節(jié)點(diǎn)上所有容器的鏡像漏洞掃描�、異常事件收集和安全策略實(shí)施。
2、管理Master負(fù)責(zé)Agent 的管理與運(yùn)維���。
3�����、智能知識庫,用于獲取漏洞庫�����、惡意程序庫等數(shù)據(jù),并進(jìn)行大數(shù)據(jù)AI訓(xùn)練�����。
4���、用戶使用CGS的操作控制臺。
目前,華為云容器安全服務(wù)已正式轉(zhuǎn)商,開啟后,即可實(shí)現(xiàn)容器防護(hù)列表查看��、鏡像列表查看��、安全策略設(shè)置����、漏洞修復(fù)�、運(yùn)行時(shí)監(jiān)控等的功能����。另外,華為云推出了安全大優(yōu)惠活動(dòng),整個(gè)九月,全場7.5折,歡迎參加,詳情見華為云官網(wǎng)。
