隨著企業上雲步伐的加快,以容器、微服務及動態編排為代表的雲原生技術為企業的業務創新帶來了強大的推動力。然而,在容器應用環境中,由於共享作業系統核心,容器僅為執行在宿主機上的若干程式,其安全性特別是隔離性與傳統虛擬機器相比存在一定的差距。在應用容器和K8S過程中,近幾年陸續爆出大量的基於容器平臺的安全隱患,如何保障容器安全,已成為企業最關心的問題。
7月9日,騰訊安全正式釋出騰訊雲容器安全服務產品TCSS(Tencent Container Security Service),騰訊雲容器安全服務為企業提供容器資產管理、映象安全、執行時入侵檢測等安全服務,保障容器從映象生成、儲存到執行時的全生命週期,幫助企業構建容器安全防護體系。
(TCSS幫助打造原生可靠的容器應用安全體系)
01
雲原生時代容器現狀
容器是雲原生的基石之一,作為一種計算單元,在雲原生環境中直接執行於主機核心之上,具有系統資源佔用少、可大規模自動化部署以及彈性擴容能力強等優勢。另外容器化使開發過程中快速整合和快速部署成為可能,極大地提升了應用開發和程式執行的效率。
為此,越來越多的企業選擇在生產環境中使用容器架構,根據《中國雲原生使用者調查報告2020》(下文簡稱《報告》)顯示,已經有6成以上的使用者在生產環境中運用了容器技術,其中43%的使用者已經將容器技術應用到非核心生產環境。
然而由於自身隔離性差,存活時間短等特徵,容器也成為易受網路攻擊的物件。Tripwire 2019年對311位IT安全專業人員進行了調研,發現60%的組織都遭遇過容器安全事故,《報告》資料也顯示63%的使用者認為容器安全是緊迫需求。
02
常見的容器安全風險場景
逃逸風險
容器共享宿主機作業系統核心,隔離性方面存在缺陷,將會造成容器逃逸。容器逃逸也是容器特有的安全問題,會直接影響到底層基礎設施的安全性,主要分為三類:第一類是配置不當引起的逃逸,比如允許掛載敏感目錄;第二類是容器本身設計的BUG,比如runC容器逃逸漏洞;第三類是核心漏洞引起的逃逸,比如dirtycow。
映象風險
映象是容器的靜態表現形式,容器執行時的安全取決於映象的安全。部分官方途徑或者開源社群下載的容器映象可能會包含各類第三方庫檔案和系統應用,而這些庫和應用可能存在漏洞、木馬或者後門,因而存在較大的安全風險。
同時,容器映象在儲存和使用的過程中,可能被篡改,如被植入惡意程式或被修改。一旦使用被惡意篡改的映象建立容器後,將會影響容器和應用程式的安全。
執行環境風險
作為容器的載體和編排管理軟體,主機和容器編排平臺等執行環境也是容器安全的重要因素之一。若宿主機存在漏洞或配置不規範、容器軟體的相關環境配置不規範或編排應用配置不規範,都將影響整個容器環境的安全性。
例如2018年特斯拉在亞馬遜上的K8s叢集被入侵,原因為叢集控制檯沒有設定密碼保護,攻擊者入侵後在一個pod中找到AWS的訪問憑證,並憑藉這些憑證資訊獲取到特斯拉敏感資訊。
03
騰訊TCSS解決方案護航雲容器安全
為了解決容器安全問題,騰訊安全結合二十多年的網路安全實踐經驗,推出了覆蓋容器資產管理、映象安全及執行時入侵檢測等功能的騰訊雲容器安全服務產品(TCSS),透過資產管理、映象安全、執行時安全、安全基線四大核心能力來保障容器的全生命週期安全,幫助企業快速構建容器安全防護體系。
資產管理
TCSS容器安全服務提供自動化、細粒度資產清點功能,可快速清點出執行環境中的容器、映象、映象倉庫、主機等關鍵資產資訊,幫助企業實現資產視覺化。目前,TCSS資產管理模組已支援9種資產資訊統計。
(核心產品功能:資產管理)
映象安全
TCSS容器安全服務針對映象、映象倉庫提供“一鍵檢測“或“定時掃描”,支援安全漏洞、木馬病毒、敏感資訊等多維度安全掃描。在敏感資訊方面,可檢測包括root啟動、程式碼洩漏、認證資訊洩漏等敏感資訊洩漏事件,防止敏感資訊洩漏。
(核心產品功能:映象安全)
由騰訊自主研發的容器安全防毒引擎和漏洞引擎,基於騰訊強大的安全資料基礎,可共享騰訊管家病毒庫和漏洞庫,同時與傳統防毒軟體保持惡意樣本交換合作,帶來強大的安全資料檢測支援。其中,安全漏洞資料庫包含了所有CVE漏洞庫、開源和商業情報庫、騰訊安全實驗室漏洞庫;木馬病毒檢測基於騰訊雲全國百億級樣本,覆蓋海量病毒、木馬、殭屍網路等惡意程式碼樣本。
騰訊自研TAV引擎,高效查殺二進位制木馬病毒,透過多個國際第三方測評機構認證,病毒檢出率達100%。強大的基礎能力和全面的合作生態,保障TCSS不斷進化,持續提供映象安全支援。
執行時安全
為了保障容器執行時安全性,實現入侵行為的即時告警與響應,需要對容器執行時的各項指標進行實時監控。騰訊雲容器安全服務執行時安全檢測功能包括容器逃逸、反彈Shell、異常程式、檔案篡改、高危系統呼叫等多維度的入侵檢測引擎。
其中,異常程式、檔案篡改、高危系統呼叫屬於高階防禦功能,透過豐富的系統規則和使用者自定義檢測規則,實時監控程式異常啟動行為、違反安全策略的檔案異常訪問行為及容器內發起的可能引起安全風險的linux系統呼叫行為,並實時告警通知或攔截。
(核心產品功能:執行時安全)
安全基線
基於TCSS所提供的安全基線功能,可定期對容器、映象、主機、Kubernetes編排環境進行安全基線檢測,幫助容器環境合規化,避免因配置缺陷引發的安全問題,減少攻擊面。
目前支援“容器、映象、主機、K8S”四種維度檢測,幫助客戶檢查由於容器執行環境配置不當而引發的安全問題。
04
三大優勢助力雲原生時代的基礎安全
TCSS容器安全服務採用超融合架構,支援簡易安裝,輕量部署,助力客戶免除對容器安全的擔憂,專注於自身核心業務。
TCSS嚴格限制 Agent 資源佔用,負載過高時主動降級保證系統正常執行,正常負載時消耗極低。實測表明,CPU資源佔用不到5%、30M記憶體。TCSS相容CentOS、Debian、RedHat等主流作業系統,可一鍵部署,實現自動線上升級,一經安裝,終生免維護,令客戶全程無憂。
TCSS得到騰訊雲強大的情報和威脅感知能力賦能。騰訊擁有全球最大、覆蓋最全的黑灰產大資料庫,TCSS容器安全服務使用騰訊安全資料庫對容器環境發現的惡意程式樣本進行關聯分析,基於威脅情報感知容器環境威脅行為。超過3500人的騰訊安全專家團隊專注於騰訊雲安全建設,帶來切實的實力保障。
傳統安全體系在公有云上適應性差,無法有效檢測新威脅形式,缺少自動化響應處置手段。目前,騰訊TCSS已經在多個行業展開了應用,幫助客戶克服了雲上資產種類多、數量大、不易盤點的問題,大大提升了客戶的雲上安全水平和安全運營管理效率。
在雲原生環境下,企業透過微服務來交付應用系統的比例在增加,容器安全已經成為了雲安全不可或缺的部分。未來,騰訊安全將繼續完善容器安全一站式解決方案,推動行業構建雲原生安全生態,為客戶的應用安全提供更全面的保護。
點選騰訊雲容器安全服務內測,預約申請騰訊雲容器安全服務內測。