為解決云原生時代容器面臨的各類風險，火山引擎推出容器安全防護平臺

2022-09-20 13:36:36 來源：作者：　

摘要：隨著互聯網快速發展，企業業務逐步上云，越來越多的工作和生產需要運用到云原生技術架構，容器技術作為云原生的基礎，是云原生時代軟件開發和運維的標準基礎設施。

隨著互聯網快速發展，企業業務逐步上云，越來越多的工作和生產需要運用到云原生技術架構，容器技術作為云原生的基礎，是云原生時代軟件開發和運維的標準基礎設施。根據Gartner的分析預測報告顯示，到2024年，所有應用中將有15%的應用運行在容器中，75％的大型企業將會在生產中使用容器技術。

隨著云原生的逐漸普及，容器技術及云原生普遍面臨業務隔離性差、風險暴露面多、新型攻擊方式應對能力不足等問題，安全相關需求突出，但傳統的防護方案卻無法實現對安全風險的有效解決。

近日，火山引擎推出容器安全防護平臺，能為企事業單位的軟件交付全生命周期和容器環境全棧提供安全防護。火山引擎容器安全防護平臺通過深度融合云原生特性，將安全能力左延到構建階段，利用數據驅動安全的創新技術路線，主動持續開展風險分析，并通過獨有的近源端控制實現安全防護，構建獨特的云原生安全防護體系。

容器面臨的各類安全風險

火山引擎容器安全團隊針對當下企業業務的容器安全問題進行了全面分析和整理，主要集中于以下幾個方面：

鏡像軟件供應鏈安全風險

開發者通常會在互聯網的鏡像倉庫獲取源鏡像，之后鏡像在本地環境中會經過鏡像構建、倉庫存儲、測試及生產環境部署等多個環節，這其中的每個階段均可能引入安全風險。常見風險可分為：鏡像本身的安全風險，如漏洞、不安全的配置、惡意代碼植入等；不安全的鏡像來源，不少源鏡像來自第三方組織甚至個人，源鏡像版本老舊甚至已經被投毒；第三方開發組件的安全風險，應用軟件的第三方依賴包(jar)存在安全漏洞等。

業務環境鏡像中的各類風險

容器運行時安全風險

容器運行過程中，入侵者會采用多樣化的入侵手段對容器側進行攻擊，包括病毒和惡意程序攻擊、容器內部入侵、容器逃逸和高風險操作等惡意攻擊風險行為。其中，容器逃逸最為嚴重，它會直接影響到承載容器的底層基礎設施和集群內所有容器的安全穩定（諸如危險配置、掛載、程序漏洞、內核漏洞等行為均有可能造成容器逃逸）。

容器運行時配置安全風險

容器網絡應用安全風險

容器環境下微服務之間的調用關系復雜，同時東西向網絡流量增大、容器間網絡隔離控制較弱、應用層防護能力缺失、流量封裝IP快速變化等問題，均有可能造成流量可視化不足。某個容器一旦失陷，就會被攻擊者作為跳板入侵容器網絡中其他可訪達資產，這將讓企業的網絡資產面臨巨大風險。

容器平臺的東西向業務流量

容器平臺環境安全風險

容器平臺環境中的底層操作系統、容器引擎、編排系統都可能存在漏洞、不恰當配置、惡意文件等各種風險，攻擊者通過利用平臺環境的風險，能夠輕易獲取高級別的權限，造成較大的安全風險。常見的風險如平臺自身漏洞導致非法提權和逃逸攻擊、不安全配置引起賬戶管理問題導致系統入侵、不同安全級容器混合部署導致高安全級容器面臨入侵風險、資源使用不設限導致拒絕服務攻擊、訪問策略配置不當導致非法訪問。

傳統的安全技術手段，如漏洞掃描工具、EDR、安全基線掃描、防火墻、安全管理平臺等均無法解決以上容器安全風險。以鏡像的漏洞掃描為例，容器鏡像是一種典型的分層架構，是基于基礎鏡像一層一層疊加生成的，傳統漏洞掃描無法覆蓋這種分層架構。

火山引擎通過深入研究容器安全場景需求，基于字節跳動多年的云原生安全實踐經驗，深度感知容器場景面臨的安全風險，利用容器安全防護平臺，持續保障企業容器平臺上業務穩定運行。

火山引擎容器安全防護平臺

火山引擎容器安全防護平臺，能為企事業單位的軟件交付全生命周期和容器環境全棧提供安全防護。火山引擎容器安全防護平臺通過深度融合云原生特性，將安全能力左延到構建階段，利用數據驅動安全的創新技術路線，主動持續開展風險分析，并通過獨有的近源端控制實現安全防護，構建獨特的云原生安全防護體系。

火山引擎容器安全防護平臺能夠全面覆蓋上述提到的業務場景安全風險，包括：鏡像軟件供應鏈安全、容器運行時工作負載安全、容器網絡應用安全保障、容器平臺環境設施安全。

容器環境全生命周期立體化安全防護

鏡像軟件供應鏈安全

鏡像軟件供應鏈的安全能力主要集中于資產清點、漏洞掃描、配置基線、木馬病毒、阻斷控制等。

首先，火山引擎容器安全防護平臺基于資產清點可以清點容器環境下各類資產，并設置基礎鏡像，要求當前環境中的所有業務鏡像必須基于統一安全的基礎鏡像進行構建。火山引擎容器安全防護平臺能夠在鏡像構建時設置合理的安全卡點，確保帶有漏洞、配置、低版本軟件包的鏡像無法構建成功，實現安全左移的落地。

其次，火山引擎容器安全防護平臺能對漏洞風險進行高效掃描分析，并通過多種維度進行修復優先級判定，如結合環境風險要素、漏洞武器化情況、是否由基礎鏡像引入等進行綜合考量，優先修復重要緊急漏洞。

最后在部署到生產環境之前，火山引擎容器安全防護平臺能夠再次設置安全卡點，阻斷風險鏡像啟動成容器。

容器運行時工作負載安全

容器運行時安全檢測是防容器業務入侵的重中之重，火山引擎容器安全防護平臺基于業內領先的云原生化容器安全技術實踐，實現深度感知容器內部各類安全事件。

火山引擎容器安全防護平臺利用容器的不變性和單一性，通過行為基線引擎、敏感行為引擎對異常行為實現高效檢測，并結合多維度數據關聯分析，對入侵威脅持續監控發現，自動感知失陷容器并做出及時響應，全面覆蓋各類已知和未知威脅場景。

同時火山引擎容器安全防護平臺可有效覆蓋，包括容器逃逸、橫向移動運行挖礦程序、駐留后門程序、數據轉移、反彈Shell、執行惡意程序、遠程控制等復雜場景下的攻擊。

智能化威脅檢測能力展示

容器網絡應用安全保障

在網絡應用安全方面，火山引擎容器安全防護平臺可以深度感知并可視化展示當前環境下的網絡流量，梳理微服務之間的網絡拓撲關系。

火山引擎容器安全防護平臺可以將容器網絡微隔離與傳統防火墻相結合，構建全方位立體化的訪問控制體系，幫助業務實現網絡安全的可知、可見與可控。

同時，火山引擎容器安全防護平臺還可高效兼容Calico、OVS、MacVlan、 Flannel 等各種云原生網絡方案，不僅能對四層網絡進行有效精準的隔離控制，還具備業內領先的容器級WAF能力，為客戶業務提供集告警、攻擊行為攔截為一體的威脅防護方案，實現對WebShell、SQL注入攻擊、遠程控制等眾多Web應用攻擊的有效防護。

容器平臺環境設施安全

火山引擎容器安全防護平臺在環境安全加固方面，可基于CIS-Docker、CIS-Kubernetes等通用合規基線，以及安全專家總結優化出的規則基線，定制靈活、細粒度的配置檢查策略。

火山引擎容器安全防護平臺在運行環境控制方面，可以有效限制用戶對容器引擎的接口進行惡意訪問操作，實現有效縮小底層組件的不安全暴露面；在安全審計方面，可以通過規則有效的篩選日志中所包含的認證、憑據濫用、代碼執行等威脅行為進行安全告警。

原生化快速部署

火山引擎容器安全防護平臺在部署方面，以全棧云原生的思路為指導，確保所有的安全組件均采用容器化部署，以非特權容器的形式部署在容器平臺節點上，對業務容器零侵入與干擾，有效實現輕量化、高可用、資源彈性擴展等效果。