隨著企業(yè)上云步伐的加快，以容器、微服務(wù)及動(dòng)態(tài)編排為代表的云原生技術(shù)為企業(yè)的業(yè)務(wù)創(chuàng)新帶來(lái)了強(qiáng)大的推動(dòng)力。然而，在容器應(yīng)用環(huán)境中，由于共享操作系統(tǒng)內(nèi)核，容器僅為運(yùn)行在宿主機(jī)上的若干進(jìn)程，其安全性特別是隔離性與傳統(tǒng)虛擬機(jī)相比存在一定的差距。在應(yīng)用容器和K8S過(guò)程中，近幾年陸續(xù)爆出大量的基于容器平臺(tái)的安全隱患，如何保障容器安全，已成為企業(yè)最關(guān)心的問(wèn)題。

7月9日，騰訊安全正式發(fā)布騰訊云容器安全服務(wù)產(chǎn)品TCSS(Tencent Container Security Service)，騰訊云容器安全服務(wù)為企業(yè)提供容器資產(chǎn)管理、鏡像安全、運(yùn)行時(shí)入侵檢測(cè)等安全服務(wù)，保障容器從鏡像生成、存儲(chǔ)到運(yùn)行時(shí)的全生命周期，幫助企業(yè)構(gòu)建容器安全防護(hù)體系。

(TCSS幫助打造原生可靠的容器應(yīng)用安全體系)

云原生時(shí)代 容器面臨多重安全風(fēng)險(xiǎn)

容器是云原生的基石之一，作為一種計(jì)算單元，在云原生環(huán)境中直接運(yùn)行于主機(jī)內(nèi)核之上，具有系統(tǒng)資源占用少、可大規(guī)模自動(dòng)化部署以及彈性擴(kuò)容能力強(qiáng)等優(yōu)勢(shì)。另外容器化使開(kāi)發(fā)過(guò)程中快速集成和快速部署成為可能，極大地提升了應(yīng)用開(kāi)發(fā)和程序運(yùn)行的效率。

另一方面，容器的構(gòu)建依賴(lài)于鏡像，鏡像庫(kù)管理不當(dāng)混入惡意鏡像、鏡像損壞、有漏洞的鏡像沒(méi)有及時(shí)更新、鏡像認(rèn)證和授權(quán)限制不足等都會(huì)給容器帶來(lái)巨大安全隱患。同時(shí)，容器共享宿主機(jī)操作系統(tǒng)內(nèi)核，隔離性方面存在缺陷，將會(huì)造成容器逃逸。容器逃逸也是容器特有的安全問(wèn)題，會(huì)直接影響到底層基礎(chǔ)設(shè)施的安全性，主要分為三類(lèi)：第一類(lèi)是配置不當(dāng)引起的逃逸，比如允許掛載敏感目錄;第二類(lèi)是容器本身設(shè)計(jì)的BUG，比如runC容器逃逸漏洞;第三類(lèi)是內(nèi)核漏洞引起的逃逸，比如dirtycow。因此，容器逃逸也被許多學(xué)者視為容器安全的首要問(wèn)題。

騰訊TCSS四大核心能力 守護(hù)容器全生命周期安全

為了解決容器安全問(wèn)題，騰訊安全結(jié)合二十多年的網(wǎng)絡(luò)安全實(shí)踐經(jīng)驗(yàn)，推出了覆蓋容器資產(chǎn)管理、鏡像安全及運(yùn)行時(shí)入侵檢測(cè)等功能的騰訊云容器安全服務(wù)產(chǎn)品(TCSS)，通過(guò)資產(chǎn)管理、鏡像安全、運(yùn)行時(shí)安全、安全基線四大核心能力來(lái)保障容器的全生命周期安全，幫助企業(yè)快速構(gòu)建容器安全防護(hù)體系。

其中，資產(chǎn)管理功能將提供自動(dòng)化、細(xì)顆粒度的資產(chǎn)清點(diǎn)服務(wù)，目前已經(jīng)支持九種資產(chǎn)信息統(tǒng)計(jì)，可統(tǒng)一管理容器、鏡像、鏡像倉(cāng)庫(kù)、主機(jī)等關(guān)鍵資產(chǎn)，幫助企業(yè)實(shí)現(xiàn)資產(chǎn)可視化;

(核心產(chǎn)品功能：資產(chǎn)管理)

鏡像檢測(cè)功能基于自主研發(fā)的容器安全殺毒引擎和漏洞引擎，共享病毒庫(kù)和漏洞庫(kù)，支持“一鍵檢測(cè)”、“定時(shí)掃描”兩種掃描模式，可以針對(duì)鏡像、鏡像倉(cāng)庫(kù)提供安全漏洞、木馬病毒、敏感信息等多維度安全掃描;

(核心產(chǎn)品功能：鏡像安全)

運(yùn)行時(shí)提供了功能強(qiáng)大的入侵檢測(cè)能力，基于自適應(yīng)Agent識(shí)別黑客攻擊，實(shí)時(shí)監(jiān)控容器運(yùn)行時(shí)環(huán)境，支持容器逃逸、異常進(jìn)程、文件篡改、高危系統(tǒng)調(diào)用等五種運(yùn)行時(shí)入侵檢測(cè)功能，并提供異常進(jìn)程攔截、文件篡改防護(hù)等全面保護(hù);

(核心產(chǎn)品功能：運(yùn)行時(shí)安全)

安全基線功能則可定期對(duì)容器、鏡像、主機(jī)、Kubernetes、編排環(huán)境進(jìn)行安全基線檢測(cè)，幫助容器環(huán)境合規(guī)化，避免因配置缺陷引發(fā)安全問(wèn)題，減少攻擊面。

三大優(yōu)勢(shì) 助力構(gòu)建云原生時(shí)代的基礎(chǔ)安全

騰訊TCSS提供的四大安全防護(hù)功能，基本覆蓋了容器全生命周期的安全需求，而且相比同類(lèi)產(chǎn)品，TCSS采用超融合架構(gòu)，支持簡(jiǎn)易安裝，輕量部署，同時(shí)容器安全服務(wù)嚴(yán)格限制 Agent 資源占用，正常負(fù)載時(shí)消耗極低，負(fù)載過(guò)高時(shí)主動(dòng)降級(jí)保證系統(tǒng)正常運(yùn)行。

另外，騰訊擁有全球最大、覆蓋最全的黑灰產(chǎn)大數(shù)據(jù)庫(kù)，TCSS容器安全服務(wù)可使用騰訊安全數(shù)據(jù)庫(kù)對(duì)容器環(huán)境發(fā)現(xiàn)的惡意程序樣本進(jìn)行關(guān)聯(lián)分析，并基于威脅情報(bào)感知容器環(huán)境威脅行為，進(jìn)一步增強(qiáng)安全保障。

傳統(tǒng)安全體系在公有云上適應(yīng)性差，無(wú)法有效檢測(cè)新威脅形式，缺少自動(dòng)化響應(yīng)處置手段。目前，騰訊TCSS已經(jīng)在多個(gè)行業(yè)展開(kāi)了應(yīng)用，幫助客戶(hù)克服了云上資產(chǎn)種類(lèi)多、數(shù)量大、不易盤(pán)點(diǎn)的問(wèn)題，大大提升了客戶(hù)的云上安全水平和安全運(yùn)營(yíng)管理效率。

在云原生環(huán)境下，企業(yè)通過(guò)微服務(wù)來(lái)交付應(yīng)用系統(tǒng)的比例在增加，容器安全已經(jīng)成為了云安全不可或缺的部分。未來(lái)，騰訊安全將繼續(xù)完善容器安全一站式解決方案，推動(dòng)行業(yè)構(gòu)建云原生安全生態(tài)，為客戶(hù)的應(yīng)用安全提供更全面的保護(hù)。