守護雲原生環境,破局容器安全五大常見應用場景

綠盟科技發表於2020-08-19

當下,企業上雲已到中場,雲上應用已經逐漸走向成熟,大量雲原生應用開始爆發——以Kubernates、容器、微服務、Serverless等為代表雲原生技術開始成為新的技術應用趨勢。雲的革命性意義不在於換一個方式部署業務系統,而在於深度改變應用的開發和部署模式——這是應用爆發帶來的深層次需求,掀起新的軟體革命。

前些年主流的主機虛擬化並不能完美解決“業務爆炸和老舊技術架構”的矛盾,結合大量企業的實際需求,迫切需要將業務系統從傳統單體應用架構向微服務架構轉型,這也加速了容器雲技術的應用,但往往新技術的應用將會帶來新的安全風險,綠盟科技深耕網路安全領域多年,早已洞見容器環境下的安全風險需求,守護雲原生環境,綠盟雲安全已在路上。

一、容器技術應用現狀

近兩年,容器技術應用越來越廣泛,實際上它已經火了多年,容器的概念最早可以追溯到1979年的 Unix 工具 Chroot,2000年左右,FreeBSD 引入的 Jails 算是早期的容器技術之一,2004年 Solaris 提出 Container,引入了容器資源管理的概念。

隨著DevOps的概念在軟體開發行業中逐漸流行起來,越來越多的團隊希望實現產品的敏捷開發,而容器技術搭配微服務成為DevOps最好的實踐。根據雲原生產業聯盟釋出的《雲原生髮展白皮書(2020)》,2019年Gartner在容器報告中預測,到2020年將有50%的傳統老舊應用被以雲原生化的方式改造,到2022年將有75%的全球化企業將在生產中使用雲原生的容器化應用。

未來雲原生將廣泛應用於大資料和邊緣計算場景中,資料成為未來的核心資源,那麼,如何應對海量資料在儲存和分析過程中的管理和排程問題?一方面,大資料架構需要從一體化架構向分離的架構演進,並藉助雲原生環境提供儲存和計算能力;另一方面,傳統資料集中式的儲存和計算模式也無法滿足萬物互聯的需求,計算能力向邊緣下沉並透過中心統一管理、交付、運維,加速雲-邊協同的演進。

容器技術帶來這些便利的同時也帶來了新的安全要求和挑戰:首先基於固定IP的邊界安全模型已在雲原生環境中難以適用,經過微服務改造的業務應用在容器環境下,容器例項根據業務需求動態變化,無法準確獲得容器間的異常流量。其次,相比虛擬化環境中每個VM獨立的作業系統,容器例項共享作業系統是程式級的隔離,存在短板效應,一個容器例項的攻陷可能導致作業系統上的其他程式受到影響。最後,傳統的單體應用被拆解為多個微服務,拆分導致互動所需的埠大量增加,防護面也從集中在單體應用的出口變成了埠防護、訪問控制、業務鑑權等多個方面。

二、容器安全解決思路

基於市場調查和容器攻防技術的積累,在不斷的與客戶進行技術交流中,綠盟科技獲取了更加全面的容器安全需求。解決容器安全環境風險,需要構建完整的技術體系來覆蓋映象構建-映象傳輸/儲存-編排-容器執行全生命週期的檢測與防護場景。

綠盟科技採用容器環境中部署安全容器的技術方案,透過將安全容器像普通容器一樣藉助容器編排技術與容器環境無縫的對接部署在相應的執行節點上,安全容器整合檢測、監測相關的安全能力並且獲取節點的管理許可權,同時透過容器管理平臺可以有效控制容器的效能消耗,由於其原生於映象,可以透過容器編排快速的進行擴容和交付。

守護雲原生環境,破局容器安全五大常見應用場景

三、容器安全管理系統

綠盟科技容器安全管理系統秉承DevSecOps持續交付/持續整合的理念,在近年來安全不斷左移的情況下,產品自身率先採用微服務設計,容器映象交付,透過伺服器端與部署在節點上的安全容器進行通訊,安全容器提供對該節點執行的容器進行監測、檢測等能力。

除伺服器端外,其他元件都以容器映象的方式存在,可以放置在容器倉庫中,藉助容器編排無需任何代理可以快速的交付客戶,並且隨著容器節點的數量及業務增長快速的擴容交付。

由於本身的微服務化設計,容器安全元件也同樣處於容器安全引擎的檢測和監測範圍內,發現其漏洞和安全風險。

守護雲原生環境,破局容器安全五大常見應用場景

圖 2  容器安全部署示意圖

透過對產品功能的梳理和與研發團隊對容器技術場景的還原,綠盟科技歸納了五種常見的容器安全應用場景,分別為資源視覺化管理、映象風險管理、容器執行管理、合規性檢測、微服務API風險管理。

資源視覺化管理

容器、映象、主機作為容器環境中核心的資源,需要建立全域性的視覺化管理,清晰的瞭解資源的風險、數量、關係的變化。

映象風險管理

對來自公共倉庫和私有映象倉庫的映象檔案進行安全檢測,包括歷史命令、敏感資訊、映象漏洞等。

容器執行時安全管理

對執行中的容器進行安全監測,發現惡意程式、病毒等,保障容器執行時安全穩定。

合規性檢測

對容器編排環境進行合規性檢測,發現不安全的配置進行識別和加固。

微服務API風險管理

對容器環境中的微服務進行自動發現,並且獲取微服務的API資訊,分析API發現存在的Web安全風險。

綠盟容器安全管理系統已透過綠盟科技2020 TechWorld創新產品釋出會正式釋出,除了以上功能,容器網路微隔離、與雲安全集中管理系統整合為容器網路提供南北向流量防護等特性也在後續規劃中。綠盟科技將幫助使用者安心使用容器技術,構建容器雲平臺,擁抱雲原生時代的技術紅利。

相關文章