阿里云关注企业级用户的 Kubernetes 生产落地痛点，联合企业生产环境的大量实际，全面帮忙企业真正落地云原生架构。平安侧问题，是泛滥大中型或金融畛域企业的外围关注点。

端到端云原生平安架构

早在 2018 年，阿里云容器服务团队率先提出了“端到端的企业级平安能力”概念，并推出立体式的端到端云原生平安架构。容器和云原生时代的平安挑战和传统平安次要有以下三点不同：

• 第一个是高动静和高密度。传统时代一台机器只跑几个利用，而当初在一台服务器会运行上百个利用，是原来十几倍的密度。另外思考到容器的主动复原等个性，上一刻的容器在 A 机器，下一刻就会随时漂移到另一台机器。
• 第二个是麻利和疾速迭代，容器 DevOps 化的利用公布十分频繁，是传统的几倍。
• 第三，在凋谢规范、软件行业社会化大分工的时代，越来越多不可信三方开源软件的引入也加剧了平安危险。而容器的这些特点都会对云原生平安提出了更高的要求。
  为了应答这些平安危险，阿里云容器服务团队推出立体式的端到端云原生平安架构，并从三个层面来解决平安问题：

• 最底层依靠于阿里云平台已有的平安能力，包含物理平安，硬件安全，虚拟化平安和云产品安全能力;
• 两头是容器基础设施平安层，基于最小化攻击面准则，提供了包含访问控制，权限收敛，配置加固和身份治理等重要的底座平安能力；同时针对凭证下发，证书、密钥，集群审计等用户拜访链路上的平安因素，构建了对应的自动化运维体系；
• 在容器基础设施平安层之上，针对容器利用从构建到运行的生命周期在供应链和运行时刻提供对应的平安能力，比方在构建阶段提供了镜像平安扫描和镜像签名能力；在部署和运行时刻，提供了集运行时策略管理，配置巡检，运行时平安扫描的一体化平安治理能力，同时反对平安沙箱容器和 TEE 秘密计算技术，为企业容器利用提供更好的平安隔离性和数据安全私密性。

纵深进攻，呵护容器利用全生命周期

随着云原生技术的日趋炽热，曾经有越来越多的企业抉择在本人的生产环境中进行容器化的云原生革新，而 K8s 社区的炽热使得其成为泛滥舆论媒体关注的指标之外，也使得其成为泛滥攻击者攻打的次要指标。

容器平安现在充斥新挑战，一方面是 Kubernetes、helm、etcd 等开源我的项目的高危破绽频出，相干舆论愈发引起关注，据统计，从 2018 年开始，Kubernetes 社区曾经裸露了 20 余次 CVE 破绽。

另一方面，Kubernetes 作为云原生时代新的操作系统与不同的异构计算设施的宽泛集成以及 serverless 技术的日趋倒退也使得容器利用的生命周期越来越短，同时集群节点的容器利用部署密度也越来越高，传统的供应链侧的平安扫描曾经很难将危险齐全裸露，面对上述种种平安挑战，须要针对云原生下容器技术的特点，在平安上构建更加明确的防护体系和相应的技术升级。

阿里云容器服务 ACK 和容器镜像服务 ACR 在上述的基础架构 - 软件供应链 - 运行时三层云平安架构根底上，还做了两大工作：纵深进攻，构建从供应链到运行时的一体化平安流程；最小化攻击面，打造平安稳固的容器根底平台。

在企业级用户的利用生命周期中，基于阿里云容器服务平安的整体架构，首先在利用的开发，测试和构建阶段，用户能够在供应链侧通过镜像平安扫描提前裸露利用镜像中的平安危险，同时企业级用户能够在阿里云容器镜像服务企业版 ACR EE 中开启指定仓库的镜像签名能力为推送镜像主动签名；在利用部署前，默认平安是利用零碎中平安设计的重要准则，而配置平安也是容器利用在生产环境命令的次要危险。为此集群的平安管理员能够通过阿里云容器服务提供的对立策略管理平台，遵循一致性的规定配置定义，为不同集群内的利用零碎提供定制化的平安治理性；在利用胜利部署后，并不意味着咱们的平安工作就到此结束了，用户能够通过容器服务平安管理中心提供的运行时监控告警、配置巡检、集群审计和密钥加密等伎俩，爱护容器利用的运行时刻平安，构建整个容器平安的纵深防御能力。

客户的抉择，业界的认可，阿里云的使命

自 2011 年开始容器化过程，阿里开启了中国公司将云原生技术体系在电商、金融、制作等畛域中大规模利用的先河，阿里云积淀了最丰盛的云原生产品家族、最全面的云原生开源奉献、最大的容器集群和客户群体和宽泛的云原生利用实际。很多抉择了阿里云容器服务的客户也会有各种各样的平安场景需要：

某国内新批发巨头在意公司外部 IT 资产平安，应用容器镜像服务 ACR 安全软件供应链的镜像加签和扫描，RAM 角色进行系列度 RBAC 权限管制，服务网格全链路 mTLS 认证、证书治理和审计。

某国际金融银行关注数据运行平安，不仅应用基于阿里云容器服务 ACK 的全链路数据加密和云平安核心运行时刻告警监控，而且还搭配应用托管服务网格 ASM 进行利用东西向流量的细粒度管制。

某国内游戏厂商心愿更高效管控各方权限，进行了 pod 级别的管制层面云资源的权限隔离，内部 KMS 零碎的密钥同步导入更新，数据立体系列度的权限管制，以及密钥治理确保容器敏感信息不会泄露。

2020 年 5 月，Gartner 公布《Solution Comparison for the Native Security Capabilities》报告，首次全面评估寰球 TOP 云厂商的整体平安能力。阿里云作为亚洲惟一入围厂商，其整体平安能力拿下寰球第二，11 项平安能力被评估为最高程度（High）。

作者：中间件小哥

原文链接：https://yq.aliyun.com/article…_content=g_1000161280

本文为阿里云原创内容，未经容许不得转载。