雲原生充分利用雲端計算的彈性、敏捷、資源池化和服務化等特性,解決業務在開發、整合、分發和執行等整個生命週期中遇到的問題,以其高效穩定、快速響應等特點極大的釋放了雲端計算效能,成為企業數字業務應用創新的原動力,有效推動了國民經濟的高質量發展。
當前,騰訊雲原生產品體系和架構已非常完善,涵蓋了軟體研發流程、計算資源、架構框架、資料儲存和處理、安全等五大領域的多個場景。依託這些雲原生產品,正在為不同行業、不同規模和不同發展階段的數十萬家客戶提供雲原生服務。
(圖1 騰訊雲原生產品矩陣)
一次次安全事件的曝光,讓使用者在享受雲原生紅利的同時,對安全產生了極大的擔憂。基於騰訊多年對安全攻防技術的研究積累,持續在安全能力上的沉澱,以及對雲原生安全領域的研究和實踐運營,同時結合騰訊雲容器平臺 TKE 千萬級核心規模容器叢集治理經驗,騰訊雲容器服務 TKE 聯合騰訊安全雲鼎實驗室,聯合撰寫了《騰訊雲容器安全白皮書》,希望以這樣的方式,把我們的一些心得分享給業界,共同推動雲原生安全的發展。
提前規避業務風險是使用者關注容器安全的主要原因
根據調研發現,有77.2%的受訪者為提前規避業務風險而關注容器安全能力建設,甚至有50.8%的受訪者表示他們的業務系統已經經歷過容器或 Kubernetes 相關的安全攻擊事件。
(圖2 使用者關注容器安全的原因)
容器逃逸是使用者最關注的安全問題,同時也是線上業務遇到最多的安全問題
容器逃逸、映象安全、叢集入侵是受訪者最關注的容器安全問題。其中,叢集入侵是運維人員最關注的容器安全問題;而安全人員最關注的是容器逃逸問題;研發人員則更關注映象安全問題。
(圖3 使用者最關注的容器安全問題)
2021年,騰訊雲容器安全服務監測到的可疑容器逃逸行為84萬次,檢出容器內掛馬事件共901次,這樣的運營資料也恰好驗證了使用者對逃逸行為的擔憂。
(圖4 2021年容器執行時入侵事件統計分佈)
針對容器的在野攻擊數量巨大,容器成為重要的攻擊環境
騰訊安全透過在網際網路上部署大量模擬執行的容器服務,持續跟蹤並捕獲正在發生的針對容器的在野攻擊。僅2021年9月份,騰訊雲安全監測捕獲到針對容器的在野攻擊達10.8萬次,發起容器攻擊的 IP 來源分佈分別為中國70619次,其次是俄羅斯11220次和美國7139次。
(圖5 針對容器的在野攻擊來源統計)
根據容器在野攻擊監測資料顯示,網際網路存在大量針對容器服務進行的持續脆弱性探測和入侵,包括容器未授權訪問探測、Kubernetes 叢集元件漏洞探測,容器登陸嘗試等行為。
容器安全能力已有不同程度的部署應用,但總體比例不高
調研資料顯示,59.7%的受訪者表示業務側已經應用了映象漏洞掃描能力,有52.6%已經實現了容器主機安全加固,有45.9%已經支援叢集監控和日誌審計。
(圖6 容器安全能力部署應用情況)
這樣的部署情況,一方面取決於雲原生技術確實存在一定的操作門檻,根據我們的調研資料,技術操作門檻高、業務側學習成本大是限制企業容器安全能力全面部署的主要因素。
(圖7 影響容器安全落地的主要因素)
另一方面,安全管理和安全運營的複雜性,也在一定程度上限制了容器安全的落地應用。例如,在業務遇到問題時,需要運維方和雲服務提供方人工介入進行問題排查以及引數調優等。這樣的操作在現實生產環境中比較常見,然後這又跟雲原生的不可變基礎設施等核心理念相沖突。
騰訊雲容器服務TKE提供原生的容器安全能力,助力容器使用者實現上線即安全
基於安全能力原生化、安全左移和零信任等安全設計原則,騰訊雲容器服務 TKE 採用層次化的安全體系,逐層實現安全防護。分別在承載容器雲平臺的基礎設施層、容器和容器雲平臺基礎架構層、以及容器承載的應用層實現安全防護。
(圖8 騰訊雲容器安全體系)
同時,容器安全體系還與 DevOps 體系進行協同聯動,在 DevOps 流程中嵌入安全能力,實現安全左移,降低執行過程中安全檢測和防護的成本。在安全管理和運營上,透過金鑰管理、安全策略管理、漏洞管理等服務,實現對使用者雲上的容器服務持續的檢測和響應,確保其安全性。