容器云安全现状和发展趋势分析.docx
《容器云安全现状和发展趋势分析.docx》由会员分享,可在线阅读,更多相关《容器云安全现状和发展趋势分析.docx(9页珍藏版)》请在第一文库网上搜索。
1、容器云安全现状和发展趋势分析SbA【摘要】基于云原生容器技术的容器云日益成为企业基础设施平台,但容器云的安全现状却不容乐观,容器云安全认知的匮乏,标准规范的不成熟,产品竞争激烈但同质化严重等使当前面临着诸多问题,容器云安全产品在具备镜像安全扫描、运行时入侵检测、合规检测等核心功能之外,微隔离、部署形态等也和容器云安全密切相关。容器云安全成为云原生安全的核心内容,未来容器云安全将会在深度和广度上继续发展,为企业云原生体系的打造更安全的基础设施。本文作者是容器云安全细分领域的老兵,希望文中观点能为大家带来参考和启发。容器云技术在弹性和效率上的巨大优势,使其日益成为主流的IT基础设施。根据Gartn
2、er的预测,到2025年,云原生平台将成为95%以上的新数字化计划的基础,而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设,其安全的重要性也水涨船高,安全厂商与各企业的安全运营部门都开始在这个方向投入。容器云安全不止是容器本身的安全,还包括镜像安全、编排(如K8s)安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应,也包括对开发生成的制品进行检查,防患于未然。虽然安全左移并非新概念,但容器云的安全建设相对传统云平台的安全建设,会更注重全生命周期。容器云安全现状-安全风险不容乐观据Sysdig2023云原生安全和使用报告显示,超过75%的运行容器存在
3、高危或严重漏洞、62%的容器被检测出包含She1I命令、76%的容器使用root权限运行。在我们之前接触的用户案例中,也存在不少企业的容器云允许kube1et被匿名访问,或者整个容器云平台没有任何防护措施,处于“裸奔”状态。诸多信息都表明企业的容器云存在较大安全风险,需要谨慎对待。早在2018年,某著名车企部署在AWS上的容器集群曾遭黑客植入挖矿木马。2023年初,又有一家企业的Kubernetes集群遭攻击团伙TeaInTNT入侵并植入挖矿木马。2023年4月1日,程序审计平台CodeeoV遭攻击,黑客利用Codecov的Docker镜像创建过程中出现的错误,非法获取脚本权限并对其进行修改,
4、最后将信息发送到Codecov基础架构之外的第三方服务器,影响数万名客户。从重保的角度来看,相对往年2023年8月份举行的攻防演练(HVV)明确了容器失陷的扣分标准,每失陷一个容器扣10分。基于集群与容器的数量关系,如果整个集群被攻陷,丢分会非常严重。由此我们可以得出结论,不管是真实的网络攻击,还是攻防演练,亦或是合规检查,容器云安全均处于重要位置,企业安全建设部门应当给予足够重视。-标准规范不断成熟早期的容器云安全是缺少国内规范和标准的,厂商与用户只能参考CIS的两个Benchmark,包括K8S和DoCkero但随着需求旺盛,相关机构开始组织行业专家编写相关规范,以指导相应的安全建设和产品
5、研发。O2023年,信通院发布容器安全标准,并据此推出可信容器云认证;o2023年,信通院发布云原生架构安全白皮书;o2023年,CSA大中华区发布了云原生安全技术规范(CNST),同时联合公安部第三研究所发布了针对云原生和云应用的安全可信认证。o2023年,公安三所编写等保2.0的容器云安全增补部分(征求意见稿)。除此之外,各个行业或企业也在根据自身特点进行标准制定。标准规范的推出和成熟,侧面反映了其必要性和重要性,也为产品研发和用户采购指明了方向,有较强的借鉴意义,降低了行业摸索走弯路的成本。容器云安全产品应该包括哪些功能,为用户创造哪些价值变得相对比较明确。-各家产品竞争激烈今年RSAC
6、创新沙盒大赛10强里面,有4家参赛企业选择了容器云安全相关领域,足以让我们感受到这个细分领域的热度。而在国内,我们看到有大约二十几家企业进入到这个赛道。其中既有奇安信、启明、绿盟这样的传统安全厂商,也有青藤这样的后起之秀,还有以小佑为典型的创业公司。笔者估计,未来会有更多的厂商参与进来。容器云安全的未来市场被看好,因此在需求还未完全释放的阶段,竞争已经提前进入了白热化。同时,竞争促使产品功能的同质化也日趋严重。容器云安全产品探讨作为容器云安全细分领域的老兵,笔者曾见过多家厂商的容器云安全产品,也曾亲自主导设计过某厂商的容器安全产品,后来又转到某甲方客户运营容器云安全。基于这几年的个人经验,用几
7、个话题抛砖引玉,供大家参考。-三大核心功能从用户需求出发,容器云安全产品应具备的功能应至少包含“合规检查”、“镜像扫描”和“入侵检测与响应“O这是最核心的需求,也是目前所有厂商的容器云安全产品都具备的功能。镜像扫描:由于“不可变基础设施”的特性,对容器的漏扫可以通过镜像扫描来实现,对容器的加固也需要通过镜像加固来实现。镜像扫描有一些不错的开源工具,例如CIair、Trivy,但这些开源工具的能力是不够的。一方面,扫描的深度应当细化到组件层面,与SCA功能结合起来。另一方面,扫描出来的漏洞如何管理,漏洞影响了哪些资产,哪些漏洞应该被优先修复,都是容器云安全建设中需要考虑的问题。商业产品的功能完整
8、度上普遍较好一些,但也参差不齐。入侵检测:入侵检测是网络安全攻防演练中最有价值的能力,但也是有难度的功能。容器云面临的攻击手段,与主机有很大相似性,例如反弹SheI1、账号提权都是常见方式。两者也有一定区别,因此M1TRE针对容器场景单独推出了一版ATT&CK框架,用于指导容器云安全建设。但在实际做入侵检测时,大多数容器安全产品只能基于单条指令去匹配规则,而不能基于上下文联系进行综合分析,自然也无法将检测到的攻击方式映射到攻击链的具体阶段。此外,大多数容器云安全产品的入侵检测准确率也有待提升。合规检查:合规检查是一个容易实现的功能,比产品实现更需要关注的是如何根据企业自身情况建立一套合适的容器
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 容器 云安 现状 发展趋势 分析