11月4日,為期2天的騰訊數(shù)字生態(tài)大會在湖北武漢落下帷幕����。在大會的云原生專場上����,騰訊云容器服務TKE聯(lián)合騰訊安全云鼎實驗室�,聯(lián)合發(fā)布了《騰訊云容器安全白皮書》(簡稱白皮書)。
11月4日�,為期2天的騰訊數(shù)字生態(tài)大會在湖北武漢落下帷幕����。在大會的云原生專場上���,騰訊云容器服務TKE聯(lián)合騰訊安全云鼎實驗室���,聯(lián)合發(fā)布了《騰訊云容器安全白皮書》(簡稱白皮書)。白皮書對騰訊云容器用戶進行了深入的調研和走訪���,結合長期以來的容器安全運營實踐,詳細梳理并分析了容器環(huán)境所面臨的安全挑戰(zhàn)�,介紹了騰訊云在云原生容器安全建設上的思路����、方案以及實踐�����。這是國內首次大規(guī)模的對容器環(huán)境的安全現(xiàn)狀進行分析總結�����。
(圖1 白皮書在數(shù)字生態(tài)大會的發(fā)布現(xiàn)場)
云原生充分利用云計算的彈性、敏捷�����、資源池化和服務化等特性,解決業(yè)務在開發(fā)�����、集成�、分發(fā)和運行等整個生命周期中遇到的問題�����,以其高效穩(wěn)定����、快速響應等特點極大的釋放了云計算效能���,成為企業(yè)數(shù)字業(yè)務應用創(chuàng)新的原動力,有效推動了國民經濟的高質量發(fā)展�����。
當前,騰訊云原生產品體系和架構已非常完善���,涵蓋了軟件研發(fā)流程、計算資源���、架構框架、數(shù)據存儲和處理�、安全等五大領域的多個場景。依托這些云原生產品,正在為不同行業(yè)�����、不同規(guī)模和不同發(fā)展階段的數(shù)十萬家客戶提供云原生服務��。
(圖2 騰訊云原生產品矩陣)
一次次安全事件的曝光�����,讓用戶在享受云原生紅利的同時���,對安全產生了極大的擔憂?����;隍v訊多年對安全攻防技術的研究積累,持續(xù)在安全能力上的沉淀�,以及對云原生安全領域的研究和實踐運營����,同時結合騰訊云容器平臺TKE千萬級核心規(guī)模容器集群治理經驗,騰訊云容器服務TKE聯(lián)合騰訊安全云鼎實驗室�,聯(lián)合撰寫了《騰訊云容器安全白皮書》���,希望以這樣的方式�����,把我們的一些心得分享給業(yè)界�����,共同推動云原生安全的發(fā)展�。
提前規(guī)避業(yè)務風險是用戶關注容器安全的主要原因
根據調研發(fā)現(xiàn)�,有77.2%的受訪者為提前規(guī)避業(yè)務風險而關注容器安全能力建設���,甚至有50.8%的受訪者表示他們的業(yè)務系統(tǒng)已經經歷過容器或Kubernetes相關的安全攻擊事件���。
(圖3 用戶關注容器安全的原因)
容器逃逸是用戶最關注的安全問題,同時也是線上業(yè)務遇到最多的安全問題
容器逃逸�、鏡像安全�、集群入侵是受訪者最關注的容器安全問題����。其中��,集群入侵是運維人員最關注的容器安全問題;而安全人員最關注的是容器逃逸問題�����;研發(fā)人員則更關注鏡像安全問題。
(圖4 用戶最關注的容器安全問題)
2021年�,騰訊云容器安全服務監(jiān)測到的可疑容器逃逸行為84萬次�,檢出容器內掛馬事件共901次�����,這樣的運營數(shù)據也恰好驗證了用戶對逃逸行為的擔憂�����。
(圖5 2021年容器運行時入侵事件統(tǒng)計分布)
針對容器的在野攻擊數(shù)量巨大�,容器成為重要的攻擊環(huán)境
騰訊安全通過在互聯(lián)網上部署大量模擬運行的容器服務�,持續(xù)跟蹤并捕獲正在發(fā)生的針對容器的在野攻擊����。僅2021年9月份���,騰訊云安全監(jiān)測捕獲到針對容器的在野攻擊達10.8萬次�����,發(fā)起容器攻擊的IP來源分布分別為中國70619次���,其次是俄羅斯11220次和美國7139次。
(圖6 針對容器的在野攻擊來源統(tǒng)計)
根據容器在野攻擊監(jiān)測數(shù)據顯示����,互聯(lián)網存在大量針對容器服務進行的持續(xù)脆弱性探測和入侵�����,包括容器未授權訪問探測、Kubernetes集群組件漏洞探測����,容器登陸嘗試等行為�����。
容器安全能力已有不同程度的部署應用,但總體比例不高
調研數(shù)據顯示�,59.7%的受訪者表示業(yè)務側已經應用了鏡像漏洞掃描能力�,有52.6%已經實現(xiàn)了容器主機安全加固���,有45.9%已經支持集群監(jiān)控和日志審計�。
(圖7 容器安全能力部署應用情況)
這樣的部署情況���,一方面取決于云原生技術確實存在一定的操作門檻��,根據我們的調研數(shù)據��,技術操作門檻高、業(yè)務側學習成本大是限制企業(yè)容器安全能力全面部署的主要因素�����。
(圖8 影響容器安全落地的主要因素)
另一方面,安全管理和安全運營的復雜性���,也在一定程度上限制了容器安全的落地應用。例如��,在業(yè)務遇到問題時�,需要運維方和云服務提供方人工介入進行問題排查以及參數(shù)調優(yōu)等�。這樣的操作在現(xiàn)實生產環(huán)境中比較常見����,然后這又跟云原生的不可變基礎設施等核心理念相沖突�。
騰訊云容器服務TKE提供原生的容器安全能力����,助力容器用戶實現(xiàn)上線即安全
基于安全能力原生化、安全左移和零信任等安全設計原則�,騰訊云容器服務TKE采用層次化的安全體系���,逐層實現(xiàn)安全防護�����。分別在承載容器云平臺的基礎設施層、容器和容器云平臺基礎架構層�、以及容器承載的應用層實現(xiàn)安全防護����。
(圖9 騰訊云容器安全體系)
同時����,容器安全體系還與DevOps體系進行協(xié)同聯(lián)動,在DevOps流程中嵌入安全能力����,實現(xiàn)安全左移����,降低運行過程中安全檢測和防護的成本��。在安全管理和運營上�����,通過密鑰管理、安全策略管理、漏洞管理等服務��,實現(xiàn)對用戶云上的容器服務持續(xù)的檢測和響應,確保其安全性�����。
立即登錄,閱讀全文
版權說明:
本文內容來自于騰訊云原生���,本站不擁有所有權���,不承擔相關法律責任��。文章內容系作者個人觀點�����,不代表快出海對觀點贊同或支持。如有侵權���,請聯(lián)系管理員(zzx@kchuhai.com)刪除!
閩公網安備 35010202001226號
