阿里云荣获可信云容器安全能力先进级认证, ACK/ACR为企业级安全护航

本文涉及的产品
容器镜像服务 ACR,镜像仓库100个 不限时长
简介: 在7月29日的2020可信云大会上,信通院发布了国内云厂商的容器安全评估结果。阿里云容器服务荣获最高级别先进级可信云安全能力认证,特别是在最小化攻击面,二进制镜像验签名,密文的BYOK加密等能力上国内领先,达到国际先进水平。

jnocvbcs.jpg
阿里云关注企业级用户的Kubernetes生产落地痛点,结合企业生产环境的大量实践,全面帮助企业真正落地云原生架构。安全侧问题,是众多大中型或金融领域企业的核心关注点。

端到端云原生安全架构

早在2018年,阿里云容器服务团队率先提出了“端到端的企业级安全能力”概念,并推出立体式的端到端云原生安全架构。
容器和云原生时代的安全挑战和传统安全主要有以下三点不同:

  • 第一个是高动态和高密度。传统时代一台机器只跑几个应用,而现在在一台服务器会运行上百个应用,是原来十几倍的密度。另外考虑到容器的自动恢复等特性,上一刻的容器在A机器,下一刻就会随时漂移到另一台机器。
  • 第二个是敏捷和快速迭代,容器 DevOps 化的应用发布非常频繁,是传统的几倍。
  • 第三,在开放标准、软件行业社会化大分工的时代,越来越多不可信三方开源软件的引入也加剧了安全风险。而容器的这些特点都会对云原生安全提出了更高的要求。
    为了应对这些安全风险,阿里云容器服务团队推出立体式的端到端云原生安全架构,并从三个层面来解决安全问题:

image.png

  • 最底层依托于阿里云平台已有的安全能力,包括物理安全,硬件安全,虚拟化安全和云产品安全能力;
  • 中间是容器基础设施安全层,基于最小化攻击面原则,提供了包括访问控制,权限收敛,配置加固和身份管理等重要的底座安全能力;同时针对凭证下发,证书、密钥,集群审计等用户访问链路上的安全要素,构建了对应的自动化运维体系;
  • 在容器基础设施安全层之上,针对容器应用从构建到运行的生命周期在供应链和运行时刻提供对应的安全能力,比如在构建阶段提供了镜像安全扫描和镜像签名能力;在部署和运行时刻,提供了集运行时策略管理,配置巡检,运行时安全扫描的一体化安全管理能力,同时支持安全沙箱容器和TEE机密计算技术,为企业容器应用提供更好的安全隔离性和数据安全私密性。

纵深防御,呵护容器应用全生命周期

随着云原生技术的日趋火热,已经有越来越多的企业选择在自己的生产环境中进行容器化的云原生改造,而K8s社区的火热使得其成为众多舆论媒体关注的目标之外,也使得其成为众多攻击者攻击的主要目标。

容器安全如今充满新挑战, 一方面是Kubernetes、helm、etcd等开源项目的高危漏洞频出,相关舆论愈发引起关注,据统计,从2018年开始,Kubernetes社区已经暴露了20余次CVE漏洞。

另一方面,Kubernetes作为云原生时代新的操作系统与不同的异构计算设备的广泛集成以及serverless技术的日趋发展也使得容器应用的生命周期越来越短,同时集群节点的容器应用部署密度也越来越高,传统的供应链侧的安全扫描已经很难将风险完全暴露, 面对上述种种安全挑战,需要针对云原生下容器技术的特点,在安全上构建更加明确的防护体系和相应的技术升级。

阿里云容器服务ACK和容器镜像服务ACR在上述的基础架构-软件供应链-运行时三层云安全架构基础上,还做了两大工作:纵深防御,构建从供应链到运行时的一体化安全流程;最小化攻击面,打造安全稳定的容器基础平台。

在企业级用户的应用生命周期中,基于阿里云容器服务安全的整体架构,首先在应用的开发,测试和构建阶段,用户可以在供应链侧通过镜像安全扫描提前暴露应用镜像中的安全风险,同时企业级用户可以在阿里云容器镜像服务企业版 ACR EE 中开启指定仓库的镜像签名能力为推送镜像自动签名;在应用部署前,默认安全是应用系统中安全设计的重要原则,而配置安全也是容器应用在生产环境命令的主要风险。为此集群的安全管理员可以通过阿里云容器服务提供的统一策略管理平台,遵循一致性的规则配置定义,为不同集群内的应用系统提供定制化的安全治理性;在应用成功部署后,并不意味着我们的安全工作就到此结束了,用户可以通过容器服务安全管理中心提供的运行时监控告警、配置巡检、集群审计和密钥加密等手段,保护容器应用的运行时刻安全,构建整个容器安全的纵深防御能力。
image.png

客户的选择,业界的认可,阿里云的使命

自2011年开始容器化进程,阿里开启了中国公司将云原生技术体系在电商、金融、制造等领域中大规模应用的先河,阿里云沉淀了最丰富的云原生产品家族、最全面的云原生开源贡献、最大的容器集群和客户群体和广泛的云原生应用实践。
很多选择了阿里云容器服务的客户也会有各种各样的安全场景需求:

某国际新零售巨头在意公司内部IT资产安全,使用容器镜像服务 ACR 安全软件供应链的镜像加签和扫描,RAM角色进行系列度RBAC权限控制,服务网格全链路mTLS认证、证书管理和审计。

某国际金融银行关注数据运转安全 ,不仅使用基于阿里云容器服务ACK的全链路数据加密和云安全中心运行时刻告警监控,而且还搭配使用托管服务网格ASM进行应用东西向流量的细粒度控制。

某国际游戏厂商希望更高效管控各方权限,进行了pod级别的控制层面云资源的权限隔离,外部KMS系统的密钥同步导入更新,数据平面系列度的权限控制,以及密钥管理确保容器敏感信息不会泄露。

2020年5月, Gartner发布《Solution Comparison for the Native Security Capabilities 》报告,首次全面评估全球TOP云厂商的整体安全能力。阿里云作为亚洲唯一入围厂商,其整体安全能力拿下全球第二,11项安全能力被评估为最高水平(High)。

相关实践学习
通过容器镜像仓库与容器服务快速部署spring-hello应用
本教程主要讲述如何将本地Java代码程序上传并在云端以容器化的构建、传输和运行。
Kubernetes极速入门
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 本课程从Kubernetes的简介、功能、架构,集群的概念、工具及部署等各个方面进行了详细的讲解及展示,通过对本课程的学习,可以对Kubernetes有一个较为全面的认识,并初步掌握Kubernetes相关的安装部署及使用技巧。本课程由黑马程序员提供。   相关的阿里云产品:容器服务 ACK 容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级容器化应用的全生命周期管理。整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳容器化应用运行环境。 了解产品详情: https://www.aliyun.com/product/kubernetes
相关文章
|
1月前
|
供应链 安全 Cloud Native
阿里云飞天企业版获【可信云·容器平台安全能力】先进级认证
阿里云飞天企业版容器系列产品获中国信息通信研究院【可信云·容器平台安全能力】先进级认证,这是飞天企业版容器产品获得《等保四级PaaS平台》和《 云原生安全配置基线规范V2.0》之后,本年度再一次获得行业权威认可,证明飞天企业版的容器解决方案具备符合行业标准的最高等级容器安全能力。
阿里云飞天企业版获【可信云·容器平台安全能力】先进级认证
|
10天前
|
存储 Kubernetes 测试技术
企业级LLM推理部署新范式:基于ACK的DeepSeek蒸馏模型生产环境落地指南
本教程演示如何在ACK中使用vLLM框架快速部署DeepSeek R1模型推理服务。
|
8月前
|
敏捷开发 Kubernetes 测试技术
阿里云云效产品使用问题之 拉取阿里云acr仓库的镜像时,配置内网地址还是公网地址
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。
|
4月前
|
Kubernetes 安全 Cloud Native
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
本文介绍了云原生环境下Kubernetes集群的安全问题及攻击方法。首先概述了云环境下的新型攻击路径,如通过虚拟机攻击云管理平台、容器逃逸控制宿主机等。接着详细解释了Kubernetes集群架构,并列举了常见组件的默认端口及其安全隐患。文章通过具体案例演示了API Server 8080和6443端口未授权访问的攻击过程,以及Kubelet 10250端口未授权访问的利用方法,展示了如何通过这些漏洞实现权限提升和横向渗透。
373 0
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
|
6月前
|
运维 Devops
阿里云云效操作报错合集之创建镜像仓库时遇到报错,是什么导致的
本合集将整理呈现用户在使用过程中遇到的报错及其对应的解决办法,包括但不限于账户权限设置错误、项目配置不正确、代码提交冲突、构建任务执行失败、测试环境异常、需求流转阻塞等问题。阿里云云效是一站式企业级研发协同和DevOps平台,为企业提供从需求规划、开发、测试、发布到运维、运营的全流程端到端服务和工具支撑,致力于提升企业的研发效能和创新能力。
阿里云云效操作报错合集之创建镜像仓库时遇到报错,是什么导致的
|
6月前
|
存储 运维 数据安全/隐私保护
如何高效利用阿里云Docker镜像仓库管理您的容器镜像
如何高效利用阿里云Docker镜像仓库管理您的容器镜像
|
6月前
|
Kubernetes 监控 容灾
ACK One舰队管理:企业级多集群管理解决方案
ACK One舰队管理是阿里云为您提供的强大的多集群管理方案,功能众多:GitOps应用分发、多集群网关、多集群Service、全局可观测、服务网格、统一权限管理等,方便您轻松应对混合云、多集群、容灾等场景的问题,简化多集群管理。
|
6月前
|
弹性计算 Docker 容器
创建阿里云镜像仓库imagePullSecrets
创建阿里云镜像仓库imagePullSecrets
|
7月前
|
Kubernetes Cloud Native 微服务
企业级容器部署实战:基于ACK与ALB灵活构建云原生应用架构
这篇内容概述了云原生架构的优势,特别是通过阿里云容器服务Kubernetes版(ACK)和应用负载均衡器(ALB)实现的解决方案。它强调了ACK相对于自建Kubernetes的便利性,包括优化的云服务集成、自动化管理和更强的生态系统支持。文章提供了部署云原生应用的步骤,包括一键部署和手动部署的流程,并指出手动部署更适合有技术背景的用户。作者建议在预算允许的情况下使用ACK,因为它能提供高效、便捷的管理体验。同时,文章也提出了对文档改进的建议,如添加更多技术细节和解释,以帮助用户更好地理解和实施解决方案。最后,展望了ACK未来在智能化、安全性与边缘计算等方面的潜在发展。水文一篇,太忙了,见谅!
|
7月前
|
敏捷开发 Kubernetes 测试技术
阿里云云效产品使用合集之如何通过内网推送镜像到镜像仓库
云效作为一款全面覆盖研发全生命周期管理的云端效能平台,致力于帮助企业实现高效协同、敏捷研发和持续交付。本合集收集整理了用户在使用云效过程中遇到的常见问题,问题涉及项目创建与管理、需求规划与迭代、代码托管与版本控制、自动化测试、持续集成与发布等方面。

相关产品

  • 容器镜像服务
  • 容器服务Kubernetes版