喬高馳

根據(jù)云原生計算基金會（CNCF）對云原生概念的定義，云原生是讓應用更有彈性、容錯性、觀測性的基礎(chǔ)技術(shù)，讓應用更容易部署、管理基礎(chǔ)軟件，讓應用更容易編寫、編排運行框架等。

面對當前云計算、5G、大數(shù)據(jù)等新型技術(shù)的發(fā)展，云原生技術(shù)的落地，使千行百業(yè)用戶在單一或多種云環(huán)境中更具彈性擴展的優(yōu)勢，上了云的用戶能更加靈敏地在云上“沖浪”。

可以說，“云原生”3個字本身就飽含了用戶對其寄托的使命：讓軟件在誕生之際就從云端出發(fā)，在遵循新的軟件開發(fā)、發(fā)布和運維模式等前提下，能夠最大程度地發(fā)揮云的優(yōu)勢效益。

云原生的代表技術(shù)琳瑯滿目，主要包含了容器、微服務(wù)、DevOps、服務(wù)網(wǎng)格、聲明式API和不可變基礎(chǔ)設(shè)施等。容器作為微服務(wù)的最佳載體，隨著越來越多組織向微服務(wù)或者DevOps轉(zhuǎn)型，容器在計算環(huán)境中扮演了越來重要的角色。以容器為代表的云原生技術(shù)在為用戶提供較大程度的彈性拓展優(yōu)勢時，也產(chǎn)生了一系列的問題。

層出不窮的云原生應用漏洞威脅

面對越來越蓬勃的容器云原生市場，相關(guān)組織在2021年發(fā)布的容器和Kubernetes安全態(tài)勢報告顯示，針對云原生應用的威脅已越來越多。在過去的12個月里，有94 %的組織在其容器環(huán)境中遇到過安全問題，其中69 %的組織檢測到錯誤配置，27 %的組織在運行時遇到安全事件，還有24 %的組織發(fā)現(xiàn)了嚴重的安全漏洞。

容器運行時階段高級威脅不絕

從縱向威脅層面上來看，由于Docker容器與宿主機共用內(nèi)核，在內(nèi)核層面的隔離性不足。這使得攻擊者可通過利用漏洞“逃逸”出自身擁有的權(quán)限，實現(xiàn)對宿主機或者宿主機上其他容器的訪問。臟牛、Docker runC等眾多漏洞都有可能成為觸發(fā)容器逃逸的一環(huán)。從橫向威脅層面上來看，攻擊者可利用被攻擊方在啟動容器時的不安全配置發(fā)起DDoS類型的攻擊。

過分占用業(yè)務(wù)系統(tǒng)資源

企業(yè)用戶通過堆疊多個安全Agent軟件以此應對各種安全需求，在實際環(huán)境中產(chǎn)生了嚴重的性能消耗，影響業(yè)務(wù)應用的正常運行。若云原生安全產(chǎn)品過多地搶占用戶資源而侵害了用戶業(yè)務(wù)應用的可用性，某種程度上來說，將使得安全失去意義。

總體上來說，云原生和云原生安全的出現(xiàn)確實為企業(yè)用戶業(yè)務(wù)系統(tǒng)的快速拓展提供了更加靈活的環(huán)境與方式，但帶來的問題也不容忽視。為了更好地抓住數(shù)字經(jīng)濟時代下的黃金發(fā)展風口，助推業(yè)務(wù)系統(tǒng)快速更迭，用戶需積極應對上述問題，以便抓住云原生的優(yōu)勢，搶占先機。

云甲可提供容器全生命周期安全防護。通過透明化分析鏡像容器資產(chǎn)信息、在鏡像倉庫和運行容器中，引入病毒檢測、異常檢測和合規(guī)掃描，截斷惡意代碼代入到運行環(huán)境，檢測防護容器自身、部署環(huán)境及運行時的安全。通過監(jiān)控POD、容器流量訪問，控制惡意流量入侵、配置網(wǎng)絡(luò)策略，全方位保障容器云安全。

做好多重安全，阻斷高危漏洞威脅

在持續(xù)集成/部署階段的安全防護中，可針對鏡像進行漏洞風險、病毒木馬、敏感信息以及歷史記錄的風險檢查，通過特定策略阻止風險鏡像被實例化成容器。在運行環(huán)境中，可采用雙線應對運行時安全，通過靜態(tài)檢測和動態(tài)監(jiān)控檢測容器運行時的已知風險和未知風險，同時對服務(wù)器進行安全合規(guī)檢查。

威脅檢測模型構(gòu)建容器運行時安全

基于威脅檢測模型所構(gòu)建的、基于規(guī)則的已知威脅檢測技術(shù)，以及基于行為模型的未知威脅檢測技術(shù)，賦予產(chǎn)品：容器Web進程監(jiān)控、容器逃逸、內(nèi)存馬查殺、行為模型等多種功能，以實時有效地檢測和應對高級威脅。

多種部署模式，有效解決資源占用顧慮

面對容器云越來越多的用戶環(huán)境，部署需求不盡相同。云甲采用平行容器和宿主機Agent兩套方案設(shè)計來支持容器云安全問題，包括：

平行容器部署模式

平行容器滿足更強的彈性伸縮，其利用容器的隔離性和良好的資源控制能力，在容器宿主機中部署防護容器以對主機文件系統(tǒng)進行實時監(jiān)控和處理響應，對宿主機環(huán)境依賴小，管理方便。

宿主機Agent部署模式

實現(xiàn)宿主機安全、容器安全兩種防護效果，通過在宿主機部署代理程序的方式，提供基礎(chǔ)的安全防護能力以及容器的清點、監(jiān)控、防護及響應能力。在支持宿主機防護的基礎(chǔ)上，可達到高效率、低損耗的效果，同時資源占用可管控，對業(yè)務(wù)影響小。

在云原生技術(shù)的帶動下，容器等為代表的云原生安全也至關(guān)重要。安全向來是環(huán)環(huán)相扣，只有做好容器全生命周期的安全防護，才能讓用戶安全無憂。作為云安全&云原生安全領(lǐng)域的領(lǐng)導廠商，安全狗旗下的容器云原生安全產(chǎn)品·云甲也倍受國際權(quán)威機構(gòu)Gartner的認可。未來，安全狗云甲也將向更加簡單、易于用戶操作、有利于用戶業(yè)務(wù)穩(wěn)定發(fā)展的方向持續(xù)演進。