云原生安全|云原生应用安全风险应对关键点

↑ 点击上方“安全狗”关注我们

目前主机还是大多数企业用来承载核心业务的工具，虚拟主机在一定程度上整合了服务器、提高了资源的利用率，并且对比容器技术在隔离性方面也具有较大优势，因此很多用户选择它。

为什么越来越多人采用云原生容器技术？

这是因为容器技术从根本上改变了应用程序的开发和部署方式，与此同时，容器极大地简化了依赖关系管理，因此发布新功能或代码比以往任何时候都要快。Docker容器和Kubernetes非常适合DevOps，但它们也带来了新的安全挑战。以往在工作负载层只需关注主机安全，而现在还需增加对容器安全的关注，故而云主机+容器安全问题已经成为企业网络安全防护的重中之重，安全人员和开发人员都必须认真了解即将面对的安全风险，并积极解决二者带来的安全威胁问题。

图1

主机安全&容器安全的关系

从本质上讲，Docker容器是围绕Linux控制组和命名空间的包装器。Cgroups在Linux内核中用于监视和限制一组进程中的资源。命名空间确定进程可以看到的内容，例如，命名空间限制在容器中可以看到哪些进程。cgroupsPID在主机上运行的每个容器共享一个通用的底层内核，容器之间彼此隔离。从安全的角度来看，这是有利的。

图2

从上图可以看到主机操作系统是Ubuntu。Docker Client和Docker Daemon（统称为Docker Engine）在Host OS上运行，每个容器共享主机操作系统内核。CentOS和BusyBox是Linux Base OS映像。“No OS”容器表明不需要基本操作系统即可在Linux中运行容器。可以创建一个Docker文件，该文件的基本映像为scratch，然后运行直接使用内核的二进制文件。

然而现有容器技术并不像虚拟化能够做完全隔离，一个不达标的容器受到攻击很可能导致其他容器沦陷。同样，如容器所使用的是易受攻击的库，则可能会被利用来获取对宿主机的访问权限。如果主机操作系统受到威胁，则在其上运行的所有容器都将面临失陷风险。因此只要单个点被入侵，受到的影响可能覆盖整个面。

根据Gartner的描述可以发现，云主机安全和容器安全，实际上都是云原生应用安全保护平台里重要的功能。如何在发挥好容器的云原生效能的同时，又确保云主机安全的关键点，实际上都落在如何做好云原生应用安全防护上。

云原生应用安全面临的安全风险

云原生应用安全实践

为帮助企业更好地解决与应对上述的安全风险点，安全狗基于自身多年云安全技术沉淀打磨并推出了云原生应用安全解决方案。

图3

基于Gartner提出的CWPP理念&CNAPP理念，并融入了安全狗在微隔离、云原生容器安全的产品经验，同时针对市面上常见的多个Agent堆叠使用、占据资源消耗的弊病进行改进，只需要使用一个Agent即可实现主机+容器的全方位安全监控、防护、响应、处置。不仅不占用用户资源，还能满足新形势下用户微隔离、云原生安全、主机安全等全栈安全需求，实现容器及主机安全的全方位的安全保障。

图4

总结

本文通过对主机与容器的安全关系介绍，同时也列举出部分安全风险如容器逃逸、镜像安全、docker及K8S基础服务的安全风险，我们可以看到，云原生技术的广泛应用也伴随着新的安全风险，相关安全人员、研发人员在日常的开发过程以及安全运维过程中都需要注意。希望文中提出的安全建议能够对相关从业人员有所帮助。