酷应用

守护云原生环境，破局容器安全五大常见应用场景

百家作者：绿盟科技 2020-08-19 19:42:35

当下，企业上云已到中场，云上应用已经逐渐走向成熟，大量云原生应用开始爆发——以Kubernates、容器、微服务、Serverless等为代表云原生技术开始成为新的技术应用趋势。云的革命性意义不在于换一个方式部署业务系统，而在于深度改变应用的开发和部署模式——这是应用爆发带来的深层次需求，掀起新的软件革命。

前些年主流的主机虚拟化并不能完美解决“业务爆炸和老旧技术架构”的矛盾，结合大量企业的实际需求，迫切需要将业务系统从传统单体应用架构向微服务架构转型，这也加速了容器云技术的应用，但往往新技术的应用将会带来新的安全风险，绿盟科技深耕网络安全领域多年，早已洞见容器环境下的安全风险需求，守护云原生环境，绿盟云安全已在路上。

容器技术应用现状

近两年，容器技术应用越来越广泛，实际上它已经火了多年，容器的概念最早可以追溯到1979年的 Unix 工具 Chroot，2000年左右，FreeBSD 引入的 Jails 算是早期的容器技术之一，2004年 Solaris 提出 Container，引入了容器资源管理的概念。

随着DevOps的概念在软件开发行业中逐渐流行起来，越来越多的团队希望实现产品的敏捷开发，而容器技术搭配微服务成为DevOps最好的实践。根据云原生产业联盟发布的《云原生发展白皮书（2020）》，2019年Gartner在容器报告中预测，到2020年将有50%的传统老旧应用被以云原生化的方式改造，到2022年将有75%的全球化企业将在生产中使用云原生的容器化应用。

未来云原生将广泛应用于大数据和边缘计算场景中，数据成为未来的核心资源，那么，如何应对海量数据在存储和分析过程中的管理和调度问题？一方面，大数据架构需要从一体化架构向分离的架构演进，并借助云原生环境提供存储和计算能力；另一方面，传统数据集中式的存储和计算模式也无法满足万物互联的需求，计算能力向边缘下沉并通过中心统一管理、交付、运维，加速云-边协同的演进。

容器技术带来这些便利的同时也带来了新的安全要求和挑战：首先基于固定IP的边界安全模型已在云原生环境中难以适用，经过微服务改造的业务应用在容器环境下，容器实例根据业务需求动态变化，无法准确获得容器间的异常流量。其次，相比虚拟化环境中每个VM独立的操作系统，容器实例共享操作系统是进程级的隔离，存在短板效应，一个容器实例的攻陷可能导致操作系统上的其他进程受到影响。最后，传统的单体应用被拆解为多个微服务，拆分导致交互所需的端口大量增加，防护面也从集中在单体应用的出口变成了端口防护、访问控制、业务鉴权等多个方面。

容器安全解决思路

基于市场调研和容器攻防技术的积累，在不断的与客户进行技术交流中，绿盟科技获取了更加全面的容器安全需求。解决容器安全环境风险，需要构建完整的技术体系来覆盖镜像构建-镜像传输/存储-编排-容器运行全生命周期的检测与防护场景。

绿盟科技采用容器环境中部署安全容器的技术方案，通过将安全容器像普通容器一样借助容器编排技术与容器环境无缝的对接部署在相应的运行节点上，安全容器集成检测、监测相关的安全能力并且获取节点的管理权限，同时通过容器管理平台可以有效控制容器的性能消耗，由于其原生于镜像，可以通过容器编排快速的进行扩容和交付。