近年來，以容器為代表的雲原生得到了市場的高度認可，正逐步成為新一代主流IT基礎設施。但由於容器以及容器應用環境引發的安全風險與安全事件不斷爆出，容器的安全問題也隨之浮出水面。

8月6日，騰訊安全和青藤雲安全共同舉辦容器安全平臺新品戰略合作釋出會，基於騰訊安全提供的高效穩定的雲服務為基礎，以青藤的最新容器安全平臺為依託，打造青藤蜂巢·容器安全平臺，助力企業客戶有效解決安全上雲問題。

騰訊安全與青藤新品戰略合作釋出儀式

容器安全成雲安全重要抓手，保障安全需“軟硬兼施”

從簡單的應用容器化，到雲原生應用的開發，容器技術成為了其最基礎也是最核心的支撐技術。騰訊安全專家謝奕智在釋出會上談到，容器安全是雲安全非常重要的一個組成部分，也是一個非常重要的抓手，主要表現為以下幾個方面：

• 映象安全，例如映象中包含了惡意程式碼、映象中的元件存在漏洞、明文秘鑰等；
• 資產管理，整個容器的資產可見性是IT人員比較重視的；
• 配置管理，自動發現配置上的安全問題，可以提升研發效率；
• 滿足合規要求；
• 執行時的威脅防護，包括入侵檢測、病毒逃逸和木馬；
• 網路隔離，尤其是在東西向流量劇增情況下確保其安全性；
• 風險管理。

未來在硬體上需要為整個容器提供可信計算的環境，而在軟體方面，更多地要關注應用。

聯合打造青藤蜂巢，為容器提供全生命週期安全防護

由於容器技術的廣泛使用，安全需要進一步左移，在映象構建早期階段就發現問題，儘早地定位安全問題，以解決攻擊面和潛在的執行問題。

騰訊安全聯合青藤雲安全打造的青藤蜂巢，提供全生命週期的一站式解決方案，實現了安全預測、防禦、檢測和響應的安全閉環。青藤蜂巢主要提供容器資產清點、映象安全、執行時安全、合規基線等功能。

青藤蜂巢全生命週期的一站式解決方案

• 詳細的業務級別的資產清點，一方面讓安全人員可以去清晰地瞭解自己的保護物件，另一方面可以在發生了一些入侵行為，或者是發現一些風險的時候，可以透過資產清點做進一步的分析和溯源。
• 容器安全裡面非常重要的一點是，映象安全。在CI/CD環節，映象倉庫裡面，使用的映象進行深度的掃描。
• 執行環境的安全，包括了K8S的安全、宿主機節點的安全問題。
• 入侵檢測會實時檢測容器內的入侵行為，比如Webshell等。容器裡面的訪問關係，儘可能的梳理客戶業務關係，提供細粒度的隔離策略，幫助客戶更好地進行內網環境的隔離。
• 合規基線，基於K8S等基線的要求，做了容器以及K8S在使用過程中需要遵循的配置安全問題。
• 容器審計，會記錄容器裡面所有的行為，在發生了入侵行為的時候，可以透過這樣的審計記錄很好地去溯源，看駭客進入到容器裡面以後又發生了什麼事情。

目前青藤蜂巢支援兩種安裝部署方式，一種是作業系統上安裝主機Agent，這種方式可以一個Agent同時覆蓋主機安全以及容器安全的問題。第二種方式是契合雲原生的安全架構，提供了容器化的Agent，優勢主要是在於可以整合到K8S裡，透過集中管理更好地部署在容器環境中。

在雲原生環境下，必須要將容器安全視為雲安全的一部分，透過容器安全加強雲安全態勢，有助於從根源上解決雲原生安全問題。未來，騰訊安全將與青藤雲安全深入聯手，共同打造最佳的容器安全一站式解決方案，維護客戶容器安全以及雲安全，推動構建雲原生安全新生態。