守护云原生环境,破局容器安全五大常见应用场景
2020-08-19
当下,企业上云已到中场,云上应用已经逐渐走向成熟,大量云原生应用开始爆发——以Kubernates、容器、微服务、Serverless等为代表云原生技术开始成为新的技术应用趋势。云的革命性意义不在于换一个方式部署业务系统,而在于深度改变应用的开发和部署模式——这是应用爆发带来的深层次需求,掀起新的软件革命。
前些年主流的主机虚拟化并不能完美解决“业务爆炸和老旧技术架构”的矛盾,结合大量企业的实际需求,迫切需要将业务系统从传统单体应用架构向微服务架构转型,这也加速了容器云技术的应用,但往往新技术的应用将会带来新的安全风险,9455澳门新葡萄娱乐场官网版深耕网络安全领域多年,早已洞见容器环境下的安全风险需求,守护云原生环境,9455澳门新葡萄娱乐场官网版云安全已在路上。
一、 容器技术应用现状
近两年,容器技术应用越来越广泛,实际上它已经火了多年,容器的概念最早可以追溯到1979年的 Unix 工具 Chroot,2000年左右,FreeBSD 引入的 Jails 算是早期的容器技术之一,2004年 Solaris 提出 Container,引入了容器资源管理的概念。
随着DevOps的概念在软件开发行业中逐渐流行起来,越来越多的团队希望实现产品的敏捷开发,而容器技术搭配微服务成为DevOps最好的实践。根据云原生产业联盟发布的《云原生发展白皮书(2020)》,2019年Gartner在容器报告中预测,到2020年将有50%的传统老旧应用被以云原生化的方式改造,到2022年将有75%的全球化企业将在生产中使用云原生的容器化应用。
未来云原生将广泛应用于大数据和边缘计算场景中,数据成为未来的核心资源,那么,如何应对海量数据在存储和分析过程中的管理和调度问题?一方面,大数据架构需要从一体化架构向分离的架构演进,并借助云原生环境提供存储和计算能力;另一方面,传统数据集中式的存储和计算模式也无法满足万物互联的需求,计算能力向边缘下沉并通过中心统一管理、交付、运维,加速云-边协同的演进。
容器技术带来这些便利的同时也带来了新的安全要求和挑战:首先基于固定IP的边界安全模型已在云原生环境中难以适用,经过微服务改造的业务应用在容器环境下,容器实例根据业务需求动态变化,无法准确获得容器间的异常流量。其次,相比虚拟化环境中每个VM独立的操作系统,容器实例共享操作系统是进程级的隔离,存在短板效应,一个容器实例的攻陷可能导致操作系统上的其他进程受到影响。最后,传统的单体应用被拆解为多个微服务,拆分导致交互所需的端口大量增加,防护面也从集中在单体应用的出口变成了端口防护、访问控制、业务鉴权等多个方面。
二、 容器安全解决思路
基于市场调研和容器攻防技术的积累,在不断的与客户进行技术交流中,9455澳门新葡萄娱乐场官网版获取了更加全面的容器安全需求。解决容器安全环境风险,需要构建完整的技术体系来覆盖镜像构建-镜像传输/存储-编排-容器运行全生命周期的检测与防护场景。
9455澳门新葡萄娱乐场官网版采用容器环境中部署安全容器的技术方案,通过将安全容器像普通容器一样借助容器编排技术与容器环境无缝的对接部署在相应的运行节点上,安全容器集成检测、监测相关的安全能力并且获取节点的管理权限,同时通过容器管理平台可以有效控制容器的性能消耗,由于其原生于镜像,可以通过容器编排快速的进行扩容和交付。
三、 容器安全管理系统
9455澳门新葡萄娱乐场官网版容器安全管理系统秉承DevSecOps持续交付/持续集成的理念,在近年来安全不断左移的情况下,产品自身率先采用微服务设计,容器镜像交付,通过服务器端与部署在节点上的安全容器进行通信,安全容器提供对该节点运行的容器进行监测、检测等能力。
除服务器端外,其他组件都以容器镜像的方式存在,可以放置在容器仓库中,借助容器编排无需任何代理可以快速的交付客户,并且随着容器节点的数量及业务增长快速的扩容交付。
由于本身的微服务化设计,容器安全组件也同样处于容器安全引擎的检测和监测范围内,发现其漏洞和安全风险。
图 2容器安全部署示意图
通过对产品功能的梳理和与研发团队对容器技术场景的还原,9455澳门新葡萄娱乐场官网版归纳了五种常见的容器安全应用场景,分别为资源可视化管理、镜像风险管理、容器运行管理、合规性检测、微服务API风险管理。
资源可视化管理
容器、镜像、主机作为容器环境中核心的资源,需要建立全局的可视化管理,清晰的了解资源的风险、数量、关系的变化。
镜像风险管理
对来自公共仓库和私有镜像仓库的镜像文件进行安全检测,包括历史命令、敏感信息、镜像漏洞等。
容器运行时安全管理
对运行中的容器进行安全监测,发现恶意进程、病毒等,保障容器运行时安全稳定。
合规性检测
对容器编排环境进行合规性检测,发现不安全的配置进行识别和加固。
微服务API风险管理
对容器环境中的微服务进行自动发现,并且获取微服务的API信息,分析API发现存在的Web安全风险。
9455澳门新葡萄娱乐场官网版容器安全管理系统已通过9455澳门新葡萄娱乐场官网版2020 TechWorld创新产品发布会正式发布,除了以上功能,容器网络微隔离、与云安全集中管理系统集成为容器网络提供南北向流量防护等特性也在后续规划中。9455澳门新葡萄娱乐场官网版将帮助用户安心使用容器技术,构建容器云平台,拥抱云原生时代的技术红利。