阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
云安全中心 免费版,不限时长
云安全中心免费试用套餐资源包,价值199.45元额度,3个月
简介: 2024年12月24日,阿里云容器服务团队与云安全中心团队获得中国信息通信研究院「云原生安全标杆案例」奖。

【阅读原文】戳:阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖

2024年12月24日,由中国信息通信研究院(以下简称“中国信通院”)主办的“2025中国信通院深度观察报告会:算力互联网分论坛”,在北京隆重召开。本次论坛以“算力互联网 新质生产力”为主题,全面展示中国信通院在算力互联网产业领域的研究、实践与业界共识,与产业先行者共同探索算力互联网产业未来发展的方向。

 

会议公布了“2024年度云原生与应用现代化标杆案例”评选结果,“阿里云容器服务&云安全中心一构建云原生运行时安全一体化”荣获“云原生安全标杆案例”

 

 

 

 

 

「云原生运行时安全一体化」技术创新及解决方案概况

 

 

 

在云原生时代背景下,应用的容器化转型为企业带来了诸多安全架构上的挑战。面对严峻的容器安全形势,阿里云容器服务团队与云安全中心团队携手构建的云原生运行时安全一体化方案,针对容器应用运行时刻的过度授权和容器逃逸等风险,提供了针对容器运行时节点安全、应用访问凭据安全和审计安全的全链路安全能力。

 

 

其核心技术创新点包括:

 

基于eBPF技术增强内核观测,提升性能,检测容器逃逸攻击,简化运维,并支持攻击溯源。

 

通过账号系统通知和安全基线,主动检测k8s风险,降低攻击利用;并实现Pod细粒度授权,防止多租户越权。

 

针对容器应用件和出入网关流量与传输安全问题,提供两种方案:

 

方案一:利用服务网格技术自动注入sidecar代理,实现流量拦截和TLS加密,支持多种认证和自定义鉴权。

 

方案二:通过云安全中心Agent监控容器流量,构建零信任安全环境。

 

结合服务网格的全链路mTLS加密和应用流量审计能力,提供了容器应用完备的审计和传输安全能力。

 

通过覆盖容器生命周期的安全防护和满足行业合规标准,为企业和重点行业客户提供全面且合规的容器云安全保障。

 

 

 

 

「云原生运行时安全一体化」方案核心优势

 

 

 

容器逃逸行为监控警告与审计

 

 

Pod exec作为容器逃逸攻击的一个手段,其带来的安全问题不容小觑。阿里云云原生运行时安全一体化方案针对容器逃逸问题提供全链路的安全能力。

 

自动追踪特定内核函数执行上下文事件:基于eBPF技术,针对内核中特权相关系统调用和进程执行等敏感行为创建对应的kprobe、tracepoint和LSM钩子。

 

降低用户配置学习成本:组件提供细颗粒度的预置策略模板,并提供高度定制化的监控能力。

 

实时自动记录攻击指令:面对攻击者利用CVE发起容器逃逸攻击时可完整记录其执行指令,并在内核中发生namespace命名空间逃逸、基于内核能力或特权的提权等事件发生时实时告警。同时基于K8s的webhook机制,结合eBPF的事件采集能力收集exec进容器后的命令执行事件,快速关联指定容器资产;通过云上日志服务构建完整审计与检索能力,提供基于规则的可疑事件警告能力。

 

云上安全运营全链路闭环

 

 

基于云原生生态,容器安全基于云原生生态,提供k8s资产管理功能,支持小集群、大集群、应用、镜像等视角,适应不同业务形态进行全局管理。配合丰富的风险统计和趋势报表,用户可快速掌握k8s集群的实时安全状态,提升安全管理效率。

 

实时入侵防范:通过供基线配置风险、合规风险、漏洞风险等方面的实时检测能力,有效防御勒索软件、挖矿病毒、木马、Webshell等恶意行为,以及网页篡改等攻击。

 

安全报告自动生成:配合云盾安全产品体系,通过对多产品的日志和告警进行聚合分析,可形成详细的安全事件报告。

 

安全事件自动处置:通过启动自动化响应编排,可联动相关云产品对威胁源执行封禁、隔离等安全措施,确保已知安全隐患在各环境都能得到收敛,未知问题有强力的诱导、反制手段。

 

 

集群节点默认安全性提升

 

 

提升容器集群节点的安全性是确保云上业务稳定运行的关键。云原生运行时安全一体化方案在节点、用户访问权限与主动巡检三个安全维度对集群节点做到企业级细致防护,为每一位用户上云保驾护航。

 

闲置与风险镜像自动清理:容器逃逸后,集群节点安全成为抵御横向攻击的关键,方案利用Image Cleaner插件自动化清理闲置或风险镜像,增强kubelet清理能力,预防数据盘空间占满风险。

 

应用层云资源访问权限隔离:当用户使用节点绑定的云上资源访问角色访问云上资源时,可能出现跨租户越权访问的风险,针对不容用户需求与使用场景,本方案提供多维度云上资源访问权限隔离的能力。

 

节点绑定独立RAM角色,实现节点维度的权限隔离。

 

Pod使用K8s ServiceAccount和OIDC标准协议token,实现Pod维度的细粒度权限隔离。

 

主动定期配置巡检:应用Pod模板中不当安全配置也是攻击者施展攻击的重要手段,方案通过定期的配置巡检主动发现Pod配置中潜藏的安全风险并给出修复和加固建议。

 

 

授权最小化

 

 

用户在Kubernetes的日常运维和Pod访问Apiserver时需要kubeconfig凭据,而开发测试中容易产生过度授权和冗余凭据,随时间积累可能成为攻击者利用的目标。

 

凭据管理:通过凭据管理功能轮转临近过期的凭据,清理离职员工残留凭据。

 

凭据巡检:支持风险凭据的定期巡检和主动告警。

 

凭据恢复:对于误删的凭据,回收站支持一键恢复操作,保证应用稳定性。

 

 

应用无感零信任安全

 

 

方案中使用的阿里云服务网格ASM提供了一个全托管式的服务网格平台,兼容社区Istio开源服务网格,用于简化服务的治理,包括服务调用之间的流量路由与拆分管理、服务间通信的认证安全以及网格可观测性能力。

 

 

流量加密与鉴权:通过部署在同一个Pod中的Sidecar代理,透明拦截进出业务容器流量,并实现流量加解密及认证鉴权操作。


 

mTLS通信:通过每个数据面代理中各自的X.509证书,实现客户端与服务端的双向合法性验证。并在此基础上,数据面代理可以基于客户端的证书以及请求的L7信息实现丰富的授权能力。

 

 

 

 

「云原生运行时安全一体化」方案应用案例

 

 

 

针对容器运行时的攻击无论是从数量还是攻击水平上都呈日益上升的趋势。受影响的客户和相关的安全产品防护能力的需求也日益增长。以下是四个极具代表性的案例,展示本方案在实际业务中的应用价值。

 

 

借助凭据管理功能,某自动驾驶

领域客户实现集群运维「最小化授权」

 

 

某自动驾驶领域客户,因业务需求在核心业务集群中下发数百子部门员工的Kubeconfig,随着业务迭代与员工离职,存在离职员工利用集群残留的大量kubeconfig对开公网的测试集群进行恶意访问的安全隐患。通过本方案的凭据管理功能,可一次性发现账号下数百个风险kubeconfig凭据记录,涉及大量已删除RAM账号的离职员工凭据,并通过方案能力完成自动化的批量清理。此外,通过凭据管理的回收站及清理前的前置校验功能,帮助客户直观查询风险凭据是否还在被业务依赖,同时在误删时及时完成回滚操作。

 

面对多租业务场景,客户不同部门开发团队需共享同节点池完成业务部署,因此子部门间的权限隔离功能是客户的安全强需求。通过方案中的RRSA功能,实现了客户Pod维度的细粒度云上资源访问控制,部门业务Pod可独立绑定最小云资源权限,同时实现存量节点的绑定资源清理,避免了子部门间账号共享导致的越权风险。

 

 

「全链路应用层mTLS加密」

保障北京合思业务集群安全性

 

 

北京合思信息技术有限公司作为国内领先的财务数智化服务平台,业务通过500+合作伙伴覆盖国内外数百个城市,超7000家付费企业客户选择合思。其作为平台方为了服务上千的企业客户,同时需要支持跨集群的服务访问能力。利用本方案中的服务网格能力,客户不同集群间可以使用统一的ASM控制面管理功能,同时在跨集群的出入口网关,以及集群内不同业务 Pod 间实现东西向流量的mTLS加密传输和细粒度的认证鉴权。在应用该方案后,客户的多集群安全性显著提升,方案可以保证客户暴露于公网的用于跨集群通信的网关只能被可信客户端访问,显著提升了公网场景下多集群互联的整体安全性;同时在出口网关,通过ASM授权策略(AuthorizationPolicy)进行统一管控,显著提升集群安全性。配合ASM的跨地域容灾能力,实现了混合云多集群互相容灾的能力,显著提升客户业务稳定性。以上特性解决了客户关键业务诉求,帮助客户快速构建了高效、稳定的应用服务基础设施。

 

 

金融量化领域头客借助云原生运行时

一体化方案实现「容器可疑行为监测和审计」

 

 

某金融量化领域的头部客户,由于行业严格的监管合规要求,以及对业务核心模型数据的隐私保护强需求,非常重视构建业务运行时刻的安全监控以及对日常运维操作的安全审计。通过本方案的监控和审计能力比传统进程agent更节省性能开销。方案中的Tetragon agent在每秒产生近3k的安全事件压力测试下,单节点进程追踪和CPU性能开销分别控制在2%和1%以内,优于传统方案。部署方案的运行时威胁检测插件后,客户能实时监控容器逃逸攻击并提升风险响应能力。

 

同时,部署ack-advance-audit插件后,客户能审计运维人员的Pod操作命令,通过eBPF技术捕获可疑命令及上下文,实现命令执行审计,满足合规监管需求,规范内部操作,减少内部安全风险。

 

 

「容器运行时安全左移」协助

某四大银行旗下证券中心实现DevSecOps

 

 

某四大银行旗下的证券中心在过去的几年间,因其业务增长迅速,为保证业务的健康与稳定性,部署了超过100000多个容器,平均单月镜像仓库拉取镜像超过6000次,镜像安全问题引发重视。而与此同时,大型容器集群的安全管理与业务访问关系治理也成为了不可忽视的潜在风险。

 

云安全中心-容器安全专为客户的运维和安全运营团队提供云原生安全功能,帮助企业实现DevSecOps,为企业解决风险发现提效问题。通过默认打通云原生容器服务生态组件,集成安全至CI/CD流程,早期发现并修复代码问题,避免生产环境风险。同时,它自动学习容器业务访问关系,帮助客户在云迁移中保持访问控制,并结合客户业务在云环境下的最佳实践案例,提供集群内外流量管控,实现云上容器流量的可视化与安全管控。




我们是阿里巴巴云计算和大数据技术幕后的核心技术输出者。

欢迎关注 “阿里云基础设施”同名微信微博知乎

获取关于我们的更多信息~

相关文章
|
3月前
|
Kubernetes Cloud Native 安全
云原生机密计算新范式 PeerPods技术方案在阿里云上的落地和实践
PeerPods 技术价值已在阿里云实际场景中深度落地。
|
1月前
|
消息中间件 人工智能 监控
【云故事探索 | NO.15】:阿里云云原生加速鸣鸣很忙数字化
【云故事探索 | NO.15】:阿里云云原生加速鸣鸣很忙数字化
|
2月前
|
Cloud Native 中间件 调度
云原生信息提取系统:容器化流程与CI/CD集成实践
本文介绍如何通过工程化手段解决数据提取任务中的稳定性与部署难题。结合 Scrapy、Docker、代理中间件与 CI/CD 工具,构建可自动运行、持续迭代的云原生信息提取系统,实现结构化数据采集与标准化交付。
100 1
云原生信息提取系统:容器化流程与CI/CD集成实践
|
2月前
|
消息中间件 人工智能 监控
【云故事探索】NO.15:阿里云云原生加速鸣鸣很忙数字化
鸣鸣很忙集团作为中国最大休闲食品饮料连锁零售商,通过数字化与云原生技术实现快速扩张,4年完成其他企业10年的数字化进程。其采用阿里云全栈云原生方案,实现弹性扩容、智能补货、模块化开店等创新实践,支撑日均超430万交易数据稳定运行。未来将深化AI应用,推动供应链智能化与业务全面升级。
|
3月前
|
Cloud Native 关系型数据库 分布式数据库
客户说|知乎基于阿里云PolarDB,实现最大数据库集群云原生升级
近日,知乎最大的风控业务数据库集群,基于阿里云瑶池数据库完成了云原生技术架构的升级。此次升级不仅显著提升了系统的高可用性和性能上限,还大幅降低了底层资源成本。
|
2月前
|
云安全 弹性计算 安全
阿里云服务器安全功能解析:基础防护与云安全产品参考
在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题。阿里云服务器除了提供基础的防护之外,还提供了一系列安全防护类云产品,以确保用户云服务器的安全。本文将详细介绍阿里云服务器的基础安全防护有哪些,以及阿里云的一些安全防护类云产品,帮助用户更好地理解和使用阿里云服务器的安全功能。
|
7月前
|
云安全 存储 监控
云安全:云计算安全
云安全是指在云计算环境中保护数据、应用程序和相关服务不受威胁的一系列策略、技术和控制措施。随着云计算的快速发展,云安全已成为企业和个人用户最关心的问题之一。云安全的目标是确保云环境中数据的机密性、完整性和可用性,同时防止数据丢失、服务中断和不正当访问。
724 81
|
6月前
|
云安全 弹性计算 安全
阿里云服务器安全攻略参考:基础防护与云安全产品简介
在使用云服务器的过程中,云服务器的安全问题是很多用户非常关心的问题,阿里云服务器除了提供基础的防护之外,我们也可以选择其他的云安全类产品来确保我们云服务器的安全。本文为您介绍阿里云服务器的基础安全防护机制,以及阿里云提供的各类云安全产品,帮助用户全面了解并选择合适的防护手段,为云上业务保驾护航。
659 11
|
7月前
|
云安全 人工智能 安全
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
用AI来做云安全是怎样一种体验?阿里云安全AI能力大曝光
|
6月前
|
云安全 机器学习/深度学习 人工智能
课时12:阿里云安全产品之态势感知
阿里云态势感知是基于人工智能的安全产品,帮助企业应对高隐蔽性网络攻击。它通过机器学习全面感知网络威胁,覆盖网络层、主机层和应用层,提供实时入侵检测与响应。具备威胁模型、专家定制、超强检索及全网威胁情报等六大核心优势,显著增强企业网络安全防御能力。在G20峰会期间,成功实现平台用户网站安全运营零干扰。
270 0