騰訊雲釋出容器安全白皮書

雲原生充分利用雲端計算的彈性、敏捷、資源池化和服務化等特性，解決業務在開發、整合、分發和執行等整個生命週期中遇到的問題，以其高效穩定、快速響應等特點極大的釋放了雲端計算效能，成為企業數字業務應用創新的原動力，有效推動了國民經濟的高質量發展。

當前，騰訊雲原生產品體系和架構已非常完善，涵蓋了軟體研發流程、計算資源、架構框架、資料儲存和處理、安全等五大領域的多個場景。依託這些雲原生產品，正在為不同行業、不同規模和不同發展階段的數十萬家客戶提供雲原生服務。

（圖1 騰訊雲原生產品矩陣）

一次次安全事件的曝光，讓使用者在享受雲原生紅利的同時，對安全產生了極大的擔憂。基於騰訊多年對安全攻防技術的研究積累，持續在安全能力上的沉澱，以及對雲原生安全領域的研究和實踐運營，同時結合騰訊雲容器平臺 TKE 千萬級核心規模容器叢集治理經驗，騰訊雲容器服務 TKE 聯合騰訊安全雲鼎實驗室，聯合撰寫了《騰訊雲容器安全白皮書》，希望以這樣的方式，把我們的一些心得分享給業界，共同推動雲原生安全的發展。

提前規避業務風險是使用者關注容器安全的主要原因

根據調研發現，有77.2%的受訪者為提前規避業務風險而關注容器安全能力建設，甚至有50.8%的受訪者表示他們的業務系統已經經歷過容器或 Kubernetes 相關的安全攻擊事件。

（圖2 使用者關注容器安全的原因）

容器逃逸是使用者最關注的安全問題，同時也是線上業務遇到最多的安全問題

容器逃逸、映象安全、叢集入侵是受訪者最關注的容器安全問題。其中，叢集入侵是運維人員最關注的容器安全問題；而安全人員最關注的是容器逃逸問題；研發人員則更關注映象安全問題。

（圖3 使用者最關注的容器安全問題）

2021年，騰訊雲容器安全服務監測到的可疑容器逃逸行為84萬次，檢出容器內掛馬事件共901次，這樣的運營資料也恰好驗證了使用者對逃逸行為的擔憂。

（圖4 2021年容器執行時入侵事件統計分佈）

針對容器的在野攻擊數量巨大，容器成為重要的攻擊環境

騰訊安全透過在網際網路上部署大量模擬執行的容器服務，持續跟蹤並捕獲正在發生的針對容器的在野攻擊。僅2021年9月份，騰訊雲安全監測捕獲到針對容器的在野攻擊達10.8萬次，發起容器攻擊的 IP 來源分佈分別為中國70619次，其次是俄羅斯11220次和美國7139次。

（圖5 針對容器的在野攻擊來源統計）

根據容器在野攻擊監測資料顯示，網際網路存在大量針對容器服務進行的持續脆弱性探測和入侵，包括容器未授權訪問探測、Kubernetes 叢集元件漏洞探測，容器登陸嘗試等行為。

容器安全能力已有不同程度的部署應用，但總體比例不高

調研資料顯示，59.7%的受訪者表示業務側已經應用了映象漏洞掃描能力，有52.6%已經實現了容器主機安全加固，有45.9%已經支援叢集監控和日誌審計。

（圖6 容器安全能力部署應用情況）

這樣的部署情況，一方面取決於雲原生技術確實存在一定的操作門檻，根據我們的調研資料，技術操作門檻高、業務側學習成本大是限制企業容器安全能力全面部署的主要因素。

（圖7 影響容器安全落地的主要因素）

另一方面，安全管理和安全運營的複雜性，也在一定程度上限制了容器安全的落地應用。例如，在業務遇到問題時，需要運維方和雲服務提供方人工介入進行問題排查以及引數調優等。這樣的操作在現實生產環境中比較常見，然後這又跟雲原生的不可變基礎設施等核心理念相沖突。

騰訊雲容器服務TKE提供原生的容器安全能力，助力容器使用者實現上線即安全

基於安全能力原生化、安全左移和零信任等安全設計原則，騰訊雲容器服務 TKE 採用層次化的安全體系，逐層實現安全防護。分別在承載容器雲平臺的基礎設施層、容器和容器雲平臺基礎架構層、以及容器承載的應用層實現安全防護。

（圖8 騰訊雲容器安全體系）

同時，容器安全體系還與 DevOps 體系進行協同聯動，在 DevOps 流程中嵌入安全能力，實現安全左移，降低執行過程中安全檢測和防護的成本。在安全管理和運營上，透過金鑰管理、安全策略管理、漏洞管理等服務，實現對使用者雲上的容器服務持續的檢測和響應，確保其安全性。