简介:分享阿里云容器平安的治理能力与教训,致力爱护生产环境平安。
都说国内需要离容器化还远,更谈不上关注平安,喊的冷落而落地艰难。但总得有些声音面向未来向前看。
在 2020 年 Forrester IaaS 平安评测中,阿里云容器平安和谷歌并列满分,技术能力领跑市场。阿里云在云计算各畛域技术始终当先一步,包含云原生平安,和作为其重要组成的容器平安。
本文总结了阿里云容器平安的治理能力和教训,出现云原生时代容器平安涌现的新特点。帮忙将来的你全面了解容器平安,爱护生产环境平安。
随着阿里云后退的足迹,咱们首先来了解容器是什么,以及容器和云原生的关系。
了解容器第一步: 云原生”大楼“的底座
2010 年,云原生的概念第一次在 WSO2 的首席技术官 Paul Fremantle 的博客中被提及,其后经验了 Pivotal、CNCF 等机构的补充,退出了 DevOps、继续交付、微服务、容器、服务网格(Service Mesh)、不可扭转的基础设施、申明式 API 等技术,通过这些技术能够构建出高弹性、高虚拟化、高容错性、自复原、易治理的分布式架构零碎。
但随着云原生所蕴含的概念越来越广,任何对其的定义仿佛都有管中窥豹的嫌疑。与其纠结定义的完整性,咱们无妨把眼光转向云原生给企业带来的益处和扭转。
总结精炼四个关键词:低成本、高可用、高平安、高效率。
低成本
企业服务器老本和虚构损耗大幅缩小。从物理主机,到虚拟化,再到容器化,客户不用再进行线下机房治理、应用资源占用量高的虚拟机,大大节约老本。
高可用
优雅地解决高并发场景下容量问题。在云原生容器化时代,不封装操作系统的容器,间接运行于主机内核之上,对系统资源的占用更少。加之镜像封装的技术,能够实现其大规模自动化部署,配合分布式架构,弹性扩容能力极强。
高平安
攻击面缩小。IDC 时代,所有的利用、过程都在一台服务器上运行,一旦某个过程被歹意冲破,整个主机都面临微小的危险。而在容器架构中,单个容器中可能只有一个过程,就算被攻打冲破,对主机的影响也无限。
高效率
云原生提倡 DevSecOps 理念,而容器化使得在开发过程中应用 CI/CD(疾速集成和疾速部署)成为可能,极大地晋升了利用开发和程序运行的效率。
咱们不难发现,云原生和容器之间的严密关系。能够说,容器彻底改变了企业 IT 基础设施的架构形式,是搭建云原生的要害。
如果说云原生是一栋高楼大厦,那么容器化便是这座大楼的底座,向上撑持分布式架构、微服务和不同工作负载,向下封装基础设施,屏蔽了底层架构的差异性,以本身镜像封装、内核共享、便当扩容等个性,构建了一栋云原生大厦。
随着企业上云率一直晋升,越来越多的企业抉择在生产环境中应用容器架构。
CNCF 2020 年公布的报告中显示,在生产中利用容器的企业比例从去年的 84% 增长到往年的 92%。艾瑞征询在《中国容器云市场钻研报告》中显示,2020 年有 84.7% 的中国企业曾经 & 打算应用容器。
但历史的教训通知咱们,所有繁荣景象之上,都悬着一把达摩克里斯之剑,Tripwire 2019 年对 311 位 IT 平安业余人员进行了调研,发现 60% 的组织都遭逢过容器安全事故,容器的背地存在着微小的安全隐患。
了解容器危险第二步: 运输中的“集装箱”
既然容器形成了云原生这座大厦的基座,那么防护容器平安就不仅仅是防护容器的平安这么简略。
如果咱们把容器看成一个个封装好的集装箱,想要让箱内的货物顺利配送到客户手上,那么从集装箱的制作、装置、打包、到运输箱子的货轮、快递配送员的平安,都须要思考在内。
也就是说,咱们须要在整体的 DevSecOps 的开发流程中,思考容器的平安:
依据上图咱们能够看到,在容器的全生命周期中,波及到四个局部的平安危险:
基础设施
容器构建于云平台 / 服务器之上,硬件设施、内核、云平台的平安是容器平安的根底,基础设施平安是容器平安的第一步。
供应链
当根底平台平安后,开发者能够在云上建设一整套 DevOps 的开发流程,通过容器化来晋升交付效率,那么首先须要实现容器的构建和部署。
容器外部个别分为三层,底层为 BootFS 文件系统,中层为镜像层,下层为可改写的容器层:
容器外部档次
容器的构建依赖于镜像,镜像由镜像库治理。在构建容器过程中只须要从镜像库中调取镜像即可。如果因为镜像库治理不当,混入了歹意镜像,或者镜像受到损坏,有破绽的镜像没有及时更新,镜像的认证和受权限度有余等,会给容器带来微小的安全隐患。
容器构建实现之后,还须要对其进行正确的部署,拿容器网络来举例,在默认的 -host 的网络配置下,容器运行时默认能够通过网络拜访其余容器及主机操作系统,一旦单个容器被入侵就可能影响到宿主机上部署的所有容器。依据 StackRox 的报告,配置谬误恰好是企业对于容器平安最担心的局部。
容器运行时
容器构建结束之后,依赖 Cgroup、Namespace、Capability 等性能在内核上实现相互隔离,并应用编排工具和容器运行时组件进行批量化治理和应用。
而编排平台,如 Kubernetes、OpenShift 等,存在不少高危破绽,依据 NVD(National Vulnerablity Database)的数据统计,光是 K8S 平台被找到的 CVE 破绽就有 109 个,其中重大(Critical)的破绽有 10 个,高危(High)的破绽有 39 个,一旦使用者没有及时修复相干破绽,就有可能被攻击者利用,威逼容器平安。
利用平安
当咱们顺藤摸瓜一步步往上走,从基础设施层到网络层,最终达到处于最上层的应用层,也就是容器这条船上承载的一个个“货物”,较为容易蒙受 DDoS 攻打、账号盗用、数据泄露等攻打。
除了在整体开发流程中了解容器平安外,容器自身的个性也给平安防护带去了不一样的侧重点:
1、容器隔离性差
和虚拟机基于零碎的隔离不同,容器是基于过程的隔离,没有明确的平安边界,更容易产生容器逃逸、宿主机内核蒙受攻打的问题。
2、容器存活工夫短
和传统的虚拟机相比,容器具备轻量级的劣势,能够疾速部署,疾速迭代,这也意味着单个容器的存活工夫也急速变短。据 Datadog 的数据统计,传统云虚拟机的均匀生存周期是 23 天,而容器只有 2.5 天,极短的存活期导致在运行时对它进行爱护变得更加艰难,所以在供应链侧就要保障容器的平安。
此外,容器的更新速度也对镜像库的更新速度有了更高的要求。
3、容器部署密度高
因为大规模部署,对容器的批量化治理必然须要应用编排工具,对于编排工具、镜像库、镜像的平安保障就变得更为重要。
了解容器平安第三步:动静防护全生命周期
在对容器的生命周期进行梳理之后,咱们会发现防护容器平安,其实就是防护生产环境的平安。那么在整个链路中,容器最常蒙受的攻打是什么,企业应该如何防护?
阿里云从 2011 年即开启了摸索的脚步,推动容器化的技术改造和落地,推动云原生技术,2020 年实现了外围零碎全面云原生化,积攒了大量的实践经验,同步公布了国内首个云原生容器平安 ATT&CK 攻防矩阵。
会合多年的技术积攒和实战经验,为了更好地应答容器化过程中的平安挑战,阿里云认为企业的容器平安该当做到动静防护,笼罩容器全生命周期。
基础设施平安
大部分企业会抉择在云平台上搭建容器,或间接应用容器运营商的容器服务,为了保障容器底层基础设施的平安,企业在抉择云服务商时须要分外关注其平安能力:
1、云平台是否平安合规
一方面是云平台本身的平安,是否是可信的云环境;另一方是云平台合规平安,云服务商须要基于业界通用的平安合规规范,保障服务组件配置的默认安全性。
2、云平台平安能力是否弱小
云平台的根底平安能力,例如主机 /VM 的防护、SLB 访问控制、DDoS、WAF 能力、CWPP/CSPM 性能等。
3、云平台治理能力
版本更新和漏洞补丁的装置能力也是保障基础设施平安的根本防护措施,须要云厂商具备破绽分级响应机制和版本升级能力。
阿里云的云平台防护能力毋庸置疑:
· 通过可信芯片提供芯片级别的防护能力,保障服务器 - 云平台 - 虚拟机 / 容器环境的整体环境可信,实现以后技术倒退阶段下最高等级平安;
· 2020 年公布的 108 项自带平安能力的云产品,提供弱小的平台平安防护能力;
· 亚太地区取得权威合规资质最多的云厂家,为客户解决云上合规问题。
软件供应链动静防护:采集、可视、关联剖析和响应的全流程建设
因为容器的存活工夫短,运行时平安防护艰难增大,所以须要在供应链侧,也就是容器构建时行将平安纳入思考领域,实现平安左移,将 DevSecOps 观点纳入交付流程。
在思考容器供应链平安时,动静思维极为要害。就容器生成的外围:镜像而言,如果存在歹意镜像或镜像破绽没有失去及时更新,可能会造成大批量的入侵。据 Prevasio 对于托管在 Docker Hub 上 400 万个容器镜像的考察统计,有 51% 的镜像存在高危破绽;另外有 6432 个镜像被检测出蕴含歹意木马或挖矿程序,这些歹意镜像就曾经被累计下载了 3 亿次。
为了应答供应链中的平安挑战,平安厂商须要提供实时动静的防护能力:
1、实时破绽扫描:对镜像进行多维度深度扫描,检测 CVE 破绽、SCA 中间件、WebShell 歹意脚本、确保镜像无破绽;
2、镜像资产治理:获取主机镜像信息,对镜像资产进行梳理,关联镜像、仓库、主机节点,便于对镜像资产进行疾速检索;
3、镜像扫描、验证:除了漏扫以外,还需对镜像的配置、CIS 动态基线等内容,缩小镜像配置谬误;同时建设镜像加签规定,确保进入镜像库的镜像平安、无误,散发和部署中的镜像不被篡改。
4、镜像修复:目前市面上还没有较为成熟的领有主动镜像修复能力的厂商,大部分服务商仅提供修复倡议。
阿里云的平安防护能力笼罩供应链全周期。在扫描能力上,提供专人治理和保护的宏大数据库,收录 10w+ 安全漏洞,领有最新突发破绽的检测能力,反对多操作系统下的破绽扫描。同时检测时间极快,根本能够达到 1min 出后果。在破绽修复能力上,提供在 OS 下的镜像主动修复能力,让破绽修复更简略,升高运维人员压力。在 CIS 基线治理上,阿里云容器服务提交的 CIS Kubernetes benchmark for ACK 正式通过 CIS 社区组织的认证审核,成为国内首家公布 CIS Kubernetes 国内平安规范基线的云服务商。
运行时平安
容器运行时是用于运行容器的每个主机操作系统对应的二进制文件,用于建设和保护每个容器环境。容器进行时协调多个操作系统组件,隔离资源和资源使用量,并通过操作系统与宿主机进行交互,能够说是容器运行的保障,在这个阶段,企业须要关注:
1、容器运行时破绽、威逼扫描
2、容器运行时网络可视化
3、容器运行时配置合规平安
阿里云对容器运行时提供两大平安保障,一个是实时威逼检测,避免容器逃逸。通过 200+ 平安监测模型能无死角实现逃逸检测,无效监控容器运行时攻打、配置谬误、AK 泄露等问题;另一个是破绽治理,全面笼罩系统漏洞、利用破绽、应急 0Day 破绽,同时 SCA 破绽检测能力还笼罩生态及开源软件破绽查看,无效升高破绽入侵危险。
此外,阿里云平安还提供容器运行时网络连接可视化,通过 Agent 采集数据,实现货色、南北向网络可视化,轻松辨认网络连接平安危险,同时进行配置合规查看,保障容器运行时的配置平安。
随着云原生对于计算机基础设施和利用架构的从新定义,原生平安也在进一步迭代。Gartner 在其 Marktet Trends 中提到建设云原生平安生态,平安从原来单点式的防护开始向集成化、内生化倒退。容器技术和生态的成熟,使得新的容器应用场景也在涌现,边缘计算、机器学习、大数据分析、aPaaS 正在成为容器平安的新关键词。
阿里云平安也在进行容器与平安服务一站式深度整合,通过集成云平安核心、密钥治理、日志治理等平安服务,构建原生的平安能力,在 DevOps 流程中默认植入平安,晋升整体继续集成和继续交付(CI/CD)流水线的平安和防御能力。
在云原生的挑战下,阿里云容器服务也会走在技术火线,在容器平安畛域放弃世界级的竞争力,为客户的利用平安保驾护航。
原文链接
本文为阿里云原创内容,未经容许不得转载。