共计 2845 个字符,预计需要花费 8 分钟才能阅读完成。
随着企业上云步调的放慢,以容器、微服务及动静编排为代表的云原生技术为企业的业务翻新带来了弱小的推动力。然而,在容器应用环境中,因为共享操作系统内核,容器仅为运行在宿主机上的若干过程,其安全性特地是隔离性与传统虚拟机相比存在肯定的差距。在利用容器和 K8S 过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器平安,已成为企业最关怀的问题。
7 月 9 日,腾讯平安正式公布腾讯云容器平安服务产品 TCSS(Tencent Container Security Service),腾讯云容器平安服务为企业提供容器资产治理、镜像平安、运行时入侵检测等平安服务,保障容器从镜像生成、存储到运行时的全生命周期,帮忙企业构建容器平安防护体系。
(TCSS 帮忙打造原生牢靠的容器利用平安体系)
01
云原生时代容器现状
容器是云原生的基石之一,作为一种计算单元,在云原生环境中间接运行于主机内核之上,具备系统资源占用少、可大规模自动化部署以及弹性扩容能力强等劣势。另外容器化使开发过程中疾速集成和疾速部署成为可能,极大地晋升了利用开发和程序运行的效率。
为此,越来越多的企业抉择在生产环境中应用容器架构, 依据《中国云原生用户调查报告 2020》(下文简称《报告》)显示,曾经有 6 成以上的用户在生产环境中使用了容器技术,其中 43%的用户曾经将容器技术利用到非核心生产环境。
然而因为本身隔离性差,存活工夫短等特色,容器也成为易受网络攻击的对象。Tripwire 2019 年对 311 位 IT 平安业余人员进行了调研,发现 60% 的组织都遭逢过容器安全事故,《报告》数据也显示 63%的用户认为容器平安是紧迫需要。
02
常见的容器平安危险场景
逃逸危险
容器共享宿主机操作系统内核,隔离性方面存在缺点,将会造成容器逃逸。容器逃逸也是容器特有的平安问题,会间接影响到底层基础设施的安全性,次要分为三类:第一类是配置不当引起的逃逸,比方容许挂载敏感目录;第二类是容器自身设计的 BUG,比方 runC 容器逃逸破绽;第三类是内核破绽引起的逃逸,比方 dirtycow。
镜像危险
镜像是容器的动态表现形式,容器运行时的平安取决于镜像的平安。局部官网路径或者开源社区下载的容器镜像可能会蕴含各类第三方库文件和零碎利用,而这些库和利用可能存在破绽、木马或者后门,因此存在较大的平安危险。
同时,容器镜像在存储和应用的过程中,可能被篡改,如被植入恶意程序或被批改。一旦应用被歹意篡改的镜像创立容器后,将会影响容器和应用程序的平安。
运行环境危险
作为容器的载体和编排管理软件,主机和容器编排平台等运行环境也是容器平安的重要因素之一。若宿主机存在破绽或配置不标准、容器软件的相干环境配置不标准或编排利用配置不标准,都将影响整个容器环境的安全性。
例如 2018 年特斯拉在亚马逊上的 K8s 集群被入侵,起因为集群控制台没有设置密码保护,攻击者入侵后在一个 pod 中找到 AWS 的拜访凭证,并凭借这些凭证信息获取到特斯拉敏感信息。
03
腾讯 TCSS 解决方案护航云容器平安
为了解决容器平安问题, 腾讯平安联合二十多年的网络安全实践经验,推出了笼罩容器资产治理、镜像平安及运行时入侵检测等性能的腾讯云容器平安服务产品(TCSS),通过资产治理、镜像平安、运行时平安、平安基线四大外围能力来保障容器的全生命周期平安,帮忙企业疾速构建容器平安防护体系。
资产治理
TCSS 容器平安服务提供自动化、细粒度资产盘点性能,可疾速盘点出运行环境中的容器、镜像、镜像仓库、主机等要害资产信息,帮忙企业实现资产可视化。目前,TCSS 资产治理模块已反对 9 种资产信息统计。
(外围产品性能:资产治理)
镜像平安
TCSS 容器平安服务针对镜像、镜像仓库提供“一键检测“或“定时扫描”,反对安全漏洞、木马病毒、敏感信息等多维度平安扫描。在敏感信息方面,可检测包含 root 启动、代码透露、认证信息透露等敏感信息透露事件,避免敏感信息透露。
(外围产品性能:镜像平安)
由腾讯自主研发的容器平安杀毒引擎和破绽引擎,基于腾讯弱小的平安数据根底,可共享腾讯管家病毒库和破绽库,同时与传统杀毒软件放弃歹意样本替换单干,带来弱小的平安数据检测反对。其中,安全漏洞数据库蕴含了所有 CVE 破绽库、开源和商业情报库、腾讯平安实验室破绽库;木马病毒检测基于腾讯云全国百亿级样本,笼罩海量病毒、木马、僵尸网络等恶意代码样本。
腾讯自研 TAV 引擎,高效查杀二进制木马病毒,通过多个国内第三方测评机构认证,病毒检出率达 100%。弱小的根底能力和全面的单干生态,保障 TCSS 一直进化,继续提供镜像平安反对。
运行时平安
为了保障容器运行时安全性,实现入侵行为的即时告警与响应,须要对容器运行时的各项指标进行实时监控。腾讯云容器平安服务运行时平安检测性能包含容器逃逸、反弹 Shell、异样过程、文件篡改、高危零碎调用等多维度的入侵检测引擎。
其中,异样过程、文件篡改、高危零碎调用属于高级进攻性能,通过丰盛的零碎规定和用户自定义检测规定,实时监控过程异样启动行为、违反安全策略的文件异样拜访行为及容器内发动的可能引起平安危险的 linux 零碎调用行为,并实时告警告诉或拦挡。
(外围产品性能:运行时平安)
平安基线
基于 TCSS 所提供的平安基线性能,可定期对容器、镜像、主机、Kubernetes 编排环境进行平安基线检测,帮忙容器环境合规化,防止因配置缺点引发的平安问题,缩小攻击面。
目前反对“容器、镜像、主机、K8S”四种维度检测,帮忙客户查看因为容器运行环境配置不当而引发的平安问题。
04
三大劣势助力云原生时代的根底平安
TCSS 容器平安服务采纳超交融架构,反对繁难装置,轻量部署,助力客户罢黜对容器平安的担心,专一于本身外围业务。
TCSS 严格限度 Agent 资源占用,负载过高时被动降级保证系统失常运行,失常负载时耗费极低。实测表明,CPU 资源占用不到 5%、30M 内存。TCSS 兼容 CentOS、Debian、RedHat 等支流操作系统,可一键部署,实现主动在线降级,一经装置,终生免保护,令客户全程无忧。
TCSS 失去腾讯云弱小的情报和威逼感知能力赋能。腾讯领有寰球最大、笼罩最全的黑灰产大数据库,TCSS 容器平安服务应用腾讯平安数据库对容器环境发现的恶意程序样本进行关联剖析,基于威逼情报感知容器环境威逼行为。超过 3500 人的腾讯平安专家团队专一于腾讯云平安建设,带来切实的实力保障。
传统平安体系在私有云上适应性差,无奈无效检测新威逼模式,短少自动化响应处理伎俩。目前,腾讯 TCSS 曾经在多个行业开展了利用,帮忙客户克服了云上资产品种多、数量大、不易盘点的问题,大大晋升了客户的云上平安程度和平安经营管理效率。
在云原生环境下,企业通过微服务来交付利用零碎的比例在减少,容器平安曾经成为了云平安不可或缺的局部。将来,腾讯平安将持续欠缺容器平安一站式解决方案,推动行业构建云原生平安生态,为客户的利用平安提供更全面的爱护。
点击腾讯云容器平安服务内测,预约申请腾讯云容器平安服务内测。