如何应对容器和云原生时代的安全挑战?

本文涉及的产品
容器服务 Serverless 版 ACK Serverless,317元额度 多规格
容器镜像服务 ACR,镜像仓库100个 不限时长
容器服务 Serverless 版 ACK Serverless,952元额度 多规格
简介: 中国信息通信研究院认为,阿里云容器服务在最小化攻击面,二进制镜像验签名,密文的BYOK加密等能力上国内领先,达到国际先进水平。

作者 | 木环、大虎、壮怀
来源 | 凌云时刻(微信号:linuxpk)



“我们在2018年就有能力应对容器和云原生时代的安全挑战。”

容器和云原生时代的安全挑战和传统安全不同。

  • 高密度与高动态

传统时代一台机器只跑几个应用,而现在在一台服务器会运行上百个应用,是原来十几倍的密度。另外考虑到容器的自动恢复等特性,上一刻的容器在A机器,下一刻就会随时漂移到另一台机器。

  • 敏捷且快速迭代

容器 DevOps 化的应用发布非常频繁,是传统的几倍。

  • 更多风险来源

在开放标准、软件行业社会化大分工的时代,越来越多不可信三方开源软件的引入也加剧了安全风险。而容器的这些特点都会对云原生安全提出了更高的要求。

2018年,为应对以上不断“嚣张”的挑战,阿里云容器服务团队提出了“端到端的企业级安全能力”概念,推出立体式的端到端云原生安全架构。

image.png

最底层依托阿里云平台的物理安全,硬件安全,虚拟化安全和云产品安全能力。

中间是容器基础设施安全层,基于最小化攻击面原则,提供了包括访问控制,权限收敛,配置加固和身份管理等重要的底座安全能力;同时针对凭证下发,证书、密钥,集群审计等用户访问链路上的安全要素,构建了对应的自动化运维体系。

顶层则针对容器应用从构建到运行的生命周期在供应链和运行时刻提供对应的安全能力,比如在构建阶段提供了镜像安全扫描和镜像签名能力;在部署和运行时刻,提供了集运行时策略管理,配置巡检,运行时安全扫描的一体化安全管理能力,同时支持安全沙箱容器和TEE机密计算技术,为企业容器应用提供更好的安全隔离性和数据安全私密性。



“我们保障容器应用全生命周期的安全。”

如今,容器安全充满新挑战。一方面,Kubernetes、helm、etcd等开源项目的高危漏洞频出。一方面,容器应用的生命周期越来越短,集群节点的容器应用部署密度也越来越高,传统的供应链侧的安全扫描已经很难将风险完全暴露。

面对以上全新挑战,阿里云容器服务ACK和容器镜像服务ACR在“基础架构—软件供应链—运行时”三层云安全架构基础上,还进行了2项成功的尝试:

纵深防御,构建从供应链到运行时的一体化安全流程
最小化攻击面,打造安全稳定的容器基础平台

由此搭建完成阿里云容器服务安全的整体架构,实现容器应用全生命周期的安全保障。

image.png

阿里云容器服务安全整体架构在用户的应用生命周期中:

  • 应用的开发、测试和构建阶段

→ 用户可以在供应链侧通过镜像安全扫描提前暴露应用镜像中的安全风险

→ 企业级用户可以在阿里云容器镜像服务企业版 ACR EE 中开启指定仓库的镜像签名能力为推送镜像自动签名


  • 应用部署前

→ 集群的安全管理员可以通过阿里云容器服务提供的统一策略管理平台,为不同集群内的应用系统提供定制化的安全治理性


  • 应用成功部署后

→ 用户可以通过容器服务安全管理中心保护容器应用的运行时刻安全,构建整个容器安全的纵深防御能力



“我们有非常广泛的云原生应用实践。”

自2011年开启容器化进程,阿里在国内企业中率先将云原生技术体系大规模应用在电商、金融、制造等领域。

近十年来,选择了阿里云容器服务的客户对阿里云提出了各种各样的安全场景需求,如:

  • 公司内部IT资产安全

某国际新零售巨头使用容器镜像服务 ACR 安全软件供应链的镜像加签和扫描,RAM角色进行系列度RBAC权限控制,服务网格全链路mTLS认证、证书管理和审计。


  • 数据运转安全

某国际金融银行使用基于阿里云容器服务ACK的全链路数据加密和云安全中心运行时刻告警监控,同时搭配使用托管服务网格ASM进行应用东西向流量的细粒度控制。


  • 高效管控各方权限

某国际游戏厂商进行了pod级别的控制层面云资源的权限隔离,外部KMS系统的密钥同步导入更新,数据平面系列度的权限控制,以及密钥管理确保容器敏感信息不会泄露。

经历以上典型需求的考验,阿里云沉淀了最丰富的云原生产品家族、最全面的云原生开源贡献、最大的容器集群和客户群体和广泛的云原生应用实践。



结语

2020年5月,Gartner发布《Solution Comparison for the Native Security Capabilities 》报告,首次全面评估全球TOP云厂商的整体安全能力。阿里云作为亚洲唯一入围厂商,其整体安全能力全球第二,11项安全能力被评估为最高水平(High)。
所以这次的先进级可信云安全能力认证为什么给阿里云,以上是阿里云容器服务团队的解答。

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
目录
相关文章
|
5天前
|
Kubernetes Cloud Native 云计算
云原生之旅:从容器到微服务的探索之路
【10月更文挑战第20天】在数字化转型的浪潮中,云原生技术成为推动企业创新的重要力量。本文将深入探讨云原生的核心概念、技术架构及其在现代软件开发中的应用,揭示如何通过云原生技术提升业务的灵活性和可扩展性。
|
2天前
|
运维 Kubernetes Cloud Native
云原生入门:Kubernetes和容器化的未来
【10月更文挑战第23天】本文将带你走进云原生的世界,探索Kubernetes如何成为现代软件部署的心脏。我们将一起揭开容器化技术的神秘面纱,了解它如何改变软件开发和运维的方式。通过实际的代码示例,你将看到理论与实践的结合,感受到云原生技术带来的革命性影响。无论你是初学者还是有经验的开发者,这篇文章都将为你开启一段新的旅程。让我们一起踏上这段探索之旅,解锁云原生技术的力量吧!
|
17天前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
17天前
|
安全 Cloud Native Shell
云上攻防:云原生篇&Docker容器逃逸
本文介绍了Docker的基本概念及其对渗透测试的影响,重点讲解了容器逃逸的方法。Docker是一种轻量级的容器技术,与虚拟机相比,具有更高的便携性和资源利用率。然而,这也带来了安全风险,特别是容器逃逸问题。文章详细描述了三种常见的容器逃逸方法:不安全的配置、相关程序漏洞和内核漏洞,并提供了具体的检测和利用方法。此外,还介绍了几种特定的漏洞(如CVE-2019-5736和CVE-2020-15257)及其复现步骤,帮助读者更好地理解和应对这些安全威胁。
云上攻防:云原生篇&Docker容器逃逸
|
21天前
|
Kubernetes Cloud Native 云计算
云原生之旅:构建你的第一个容器化应用
【8月更文挑战第75天】在数字化浪潮中,云原生技术成为推动企业创新和效率提升的关键动力。本篇文章将引导你开启云原生之旅,通过一个简易的步骤指南,帮助你构建并部署第一个容器化应用。我们将一起探索Docker容器的魅力,以及如何利用Kubernetes进行集群管理,实现服务的自动化部署、扩展和管理。无论你是云原生新手还是希望深化理解,这篇文章都将为你提供实践操作的启示和深入思考的契机。
|
26天前
|
消息中间件 负载均衡 Cloud Native
云原生之旅:从容器到微服务的架构演变
在数字化转型的风潮中,云原生技术以其灵活性、可扩展性和弹性而备受青睐。本文将通过一个虚拟的故事,讲述一个企业如何逐步拥抱云原生,实现从传统架构向容器化和微服务架构的转变,以及这一过程中遇到的挑战和解决方案。我们将以浅显易懂的方式,探讨云原生的核心概念,并通过实际代码示例,展示如何在云平台上部署和管理微服务。
|
26天前
|
运维 监控 Cloud Native
云原生之旅:从容器到微服务的演进之路
本文将引导您踏上云原生技术的探索之旅,从容器技术的核心概念出发,逐步深入到微服务架构的世界。我们将一起揭开云原生的神秘面纱,探索它如何改变现代软件的开发、部署和运维方式。通过本文,您将获得对云原生技术基础的深刻理解,并激发您进一步探索和应用这些前沿技术的兴趣和灵感。
|
26天前
|
运维 Kubernetes Cloud Native
云原生之旅:从容器化到微服务架构的演进之路
在数字化转型的浪潮中,云原生技术如同一股清流,为现代软件开发和运维带来革命性的变化。本文将通过深入浅出的方式,探索云原生的核心概念、关键技术以及它们如何共同塑造了今天的云基础设施和服务模式。我们将一起走进云原生的世界,了解它如何影响应用程序的设计、部署和扩展,并揭示这一趋势背后的哲学和实践。
27 1
|
1月前
|
Kubernetes Cloud Native 持续交付
云原生之旅:Docker容器化与Kubernetes集群管理
【9月更文挑战第33天】在数字化转型的浪潮中,云原生技术如同一艘航船,带领企业乘风破浪。本篇文章将作为你的航海指南,从Docker容器化的基础讲起,直至Kubernetes集群的高级管理,我们将一起探索云原生的奥秘。你将学习到如何封装应用、实现环境隔离,以及如何在Kubernetes集群中部署、监控和扩展你的服务。让我们启航,驶向灵活、可伸缩的云原生未来。
|
1月前
|
Kubernetes Cloud Native Docker
云原生时代的容器化实践:Docker与Kubernetes入门
【9月更文挑战第30天】在云计算的浪潮中,云原生技术正以前所未有的速度重塑着软件开发和运维领域。本文将通过深入浅出的方式,带你了解云原生的核心组件——Docker容器和Kubernetes集群,并探索它们如何助力现代应用的构建、部署和管理。从Docker的基本命令到Kubernetes的资源调度,我们将一起开启云原生技术的奇妙之旅。

热门文章

最新文章