4月8日,第二屆華為云TechWave全球技術(shù)峰會(huì)在深圳舉行�,以“創(chuàng)新普惠”為主題,圍繞云原生��、分布式云等熱點(diǎn)話題,分享技術(shù)創(chuàng)新��,普惠千行百業(yè)�。峰會(huì)上,華為云安全服務(wù)產(chǎn)品總監(jiān)胡巍在云原生技術(shù)設(shè)施分論壇上與大家分享了華為云容器全生命周期安全防護(hù)方案——容器安全服務(wù) CGS���。
云原生2.0時(shí)代�,容器是云原生的代表技術(shù)之一��。容器的安全性是云原生企業(yè)重點(diǎn)關(guān)注的問題���。
4月8日����,第二屆華為云TechWave全球技術(shù)峰會(huì)在深圳舉行�����,以“創(chuàng)新普惠”為主題��,圍繞云原生����、分布式云等熱點(diǎn)話題,分享技術(shù)創(chuàng)新��,普惠千行百業(yè)����。峰會(huì)上,華為云安全服務(wù)產(chǎn)品總監(jiān)胡巍在云原生技術(shù)設(shè)施分論壇上與大家分享了華為云容器全生命周期安全防護(hù)方案——容器安全服務(wù) CGS�����。
容器天生具備優(yōu)越性
容器化部署有許多優(yōu)勢(shì)��,以華為云容器為例����,具備資源高效、資源隔離�、彈性擴(kuò)展、環(huán)境標(biāo)準(zhǔn)化�、簡化版本控制、跨平臺(tái)性等特點(diǎn)���,并結(jié)合存算分離���、分布式部署等云原生特征�,將成為云原生數(shù)據(jù)服務(wù)部署的發(fā)展趨勢(shì)��。
資源高效:容器技術(shù)創(chuàng)建容器實(shí)例比創(chuàng)建虛擬機(jī)實(shí)例速度快得多�����,比虛擬機(jī)消耗更少的資源���;資源隔離:每個(gè)容器之間互相隔離��,每個(gè)容器有自己的文件系統(tǒng)��,容器之間進(jìn)程不會(huì)相互影響����,能區(qū)分計(jì)算資源����;彈性擴(kuò)展:容器技術(shù)具備秒級(jí)彈性機(jī)制,華為云容器擴(kuò)縮容及時(shí)性<5s����,30秒擴(kuò)容1000容器實(shí)例,可實(shí)現(xiàn)業(yè)務(wù)按需極速跨云彈性伸縮。環(huán)境標(biāo)準(zhǔn)化:容器占用資源少�、部署快,每個(gè)應(yīng)用可以被打包成一個(gè)容器鏡像����。使用容器為應(yīng)用創(chuàng)建容器鏡像����,由于每個(gè)應(yīng)用不需要與其余的應(yīng)用堆棧組合,也不依賴于生產(chǎn)環(huán)境基礎(chǔ)結(jié)構(gòu)�,這使得從研發(fā)到測(cè)試、生產(chǎn)能提供一致環(huán)境�����;簡化版本控制:容器的每個(gè)鏡像都可以進(jìn)行版本控制�,方便跟蹤不同版本的容器,監(jiān)控版本間的差異�;跨平臺(tái)性:容器適配性強(qiáng),許多云平臺(tái)都支持容器���,用戶無需擔(dān)心受到云平臺(tái)的捆綁�����。
華為云容器全生命周期安全防護(hù)方案 CGS 為容器業(yè)務(wù)貼身護(hù)航
基于上述容器的特點(diǎn)��,結(jié)合開源生態(tài)的情況����,華為云發(fā)布了保護(hù)容器全生命周期安全的防護(hù)方案 —— 容器安全服務(wù)CGS,通過構(gòu)筑黃金鏡像��,容器逃逸防護(hù)機(jī)制等功能�����,助力容器將其自身的性能優(yōu)勢(shì)發(fā)揮到最大��,方便企業(yè)利用容器技術(shù)更高效地發(fā)展業(yè)務(wù)���。
華為云容器安全服務(wù)(Container Guard Service����,簡稱CGS)構(gòu)建了容器安全威脅縱深防御體系�����,提供包括鏡像掃描����、威脅檢測(cè)與威脅防護(hù)的一整套容器安全能力��,提供針對(duì)容器的Build��、Ship����、Run全生命周期保護(hù)能力����,滲透到整個(gè)容器DevOps流程���,保證容器虛擬環(huán)境從開發(fā)到生產(chǎn)整個(gè)流程的安全��。
1�����、幫助用戶構(gòu)建安全的黃金鏡像
在Docker Hub下載的官方鏡像中可能包含了漏洞����,研發(fā)人員在使用大量開源框架時(shí)也有可能加劇漏洞問題的出現(xiàn)��。CGS通過掃描鏡像倉庫與正在運(yùn)行的容器鏡像,發(fā)現(xiàn)鏡像中的漏洞�、惡意文件等并給出修復(fù)建議,幫助用戶得到一個(gè)安全的黃金鏡像��,從根本保證
Image的安全�����。
2�、支持智能安全策略,定制企業(yè)專屬安全容器
容器的行為通常是固定不變的��, CGS可通過配置安全策略�����,幫助企業(yè)制定容器進(jìn)程白名單和文件保護(hù)列表����,確保容器以最小權(quán)限運(yùn)行,從而提高系統(tǒng)和應(yīng)用的安全性�����。
3��、統(tǒng)一安全管理,提升運(yùn)營效率
CGS Agent負(fù)責(zé)節(jié)點(diǎn)上所有容器的鏡像漏洞掃描�����,安全策略實(shí)施和異常事件收集�,方便統(tǒng)一管理CCE集群中所有節(jié)點(diǎn)上運(yùn)行的容器與鏡像的安全狀態(tài)。
4����、智能安全檢測(cè),有效規(guī)避容器逃逸
CGS全球首創(chuàng)的基于機(jī)器學(xué)習(xí)的容器逃逸行為檢測(cè)能力�,內(nèi)置10大類��、100小類容器逃逸行為規(guī)則�����,對(duì)異常行為進(jìn)行檢測(cè)和關(guān)聯(lián)分析�,有效檢測(cè)shocker攻擊、進(jìn)程提權(quán)�、DirtyCow和文件暴力破解等逃逸行為。
5�����、全容器化安全解決方案 為容器業(yè)務(wù)貼身護(hù)航
華為云采用全容器化安全解決方案,安全檢測(cè)程序作為獨(dú)立容器運(yùn)行于節(jié)點(diǎn)上���,且CPU和內(nèi)存占用率極低��,生命周期由Kubernetes統(tǒng)一管理�����,可隨容器業(yè)務(wù)自動(dòng)伸縮�����,全程無需人為干預(yù)��,實(shí)現(xiàn)全自動(dòng)化�����、高效的安全保障��。
華為云是容器安全服務(wù)的首發(fā)云服務(wù)商�����,在“2020可信云大會(huì)“上�����,華為云容器安全服務(wù)通過可信云全部49項(xiàng)安全檢測(cè)��,獲得最高級(jí)認(rèn)證——先進(jìn)級(jí)認(rèn)證���,可以為云原生企業(yè)的容器安全提供全生命周期的安全防護(hù)��。
立即登錄���,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于百家號(hào),本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任����。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持���。如有侵權(quán)�����,請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除��!
閩公網(wǎng)安備 35010202001226號(hào)
