重磅發(fā)布 | 騰訊云發(fā)布容器安全白皮書(shū)

11月4日，為期2天的騰訊數(shù)字生態(tài)大會(huì)在湖北武漢落下帷幕。在大會(huì)的云原生專(zhuān)場(chǎng)上，騰訊云容器服務(wù)TKE聯(lián)合騰訊安全云鼎實(shí)驗(yàn)室，聯(lián)合發(fā)布了《騰訊云容器安全白皮書(shū)》（簡(jiǎn)稱(chēng)白皮書(shū)）。白皮書(shū)對(duì)騰訊云容器用戶進(jìn)行了深入的調(diào)研和走訪，結(jié)合長(zhǎng)期以來(lái)的容器安全運(yùn)營(yíng)實(shí)踐，詳細(xì)梳理并分析了容器環(huán)境所面臨的安全挑戰(zhàn)，介紹了騰訊云在云原生容器安全建設(shè)上的思路、方案以及實(shí)踐。這是國(guó)內(nèi)首次大規(guī)模的對(duì)容器環(huán)境的安全現(xiàn)狀進(jìn)行分析總結(jié)。

（圖1 白皮書(shū)在數(shù)字生態(tài)大會(huì)的發(fā)布現(xiàn)場(chǎng)）

云原生充分利用云計(jì)算的彈性、敏捷、資源池化和服務(wù)化等特性，解決業(yè)務(wù)在開(kāi)發(fā)、集成、分發(fā)和運(yùn)行等整個(gè)生命周期中遇到的問(wèn)題，以其高效穩(wěn)定、快速響應(yīng)等特點(diǎn)極大的釋放了云計(jì)算效能，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力，有效推動(dòng)了國(guó)民經(jīng)濟(jì)的高質(zhì)量發(fā)展。

當(dāng)前，騰訊云原生產(chǎn)品體系和架構(gòu)已非常完善，涵蓋了軟件研發(fā)流程、計(jì)算資源、架構(gòu)框架、數(shù)據(jù)存儲(chǔ)和處理、安全等五大領(lǐng)域的多個(gè)場(chǎng)景。依托這些云原生產(chǎn)品，正在為不同行業(yè)、不同規(guī)模和不同發(fā)展階段的數(shù)十萬(wàn)家客戶提供云原生服務(wù)。

（圖2 騰訊云原生產(chǎn)品矩陣）

一次次安全事件的曝光，讓用戶在享受云原生紅利的同時(shí)，對(duì)安全產(chǎn)生了極大的擔(dān)憂。基于騰訊多年對(duì)安全攻防技術(shù)的研究積累，持續(xù)在安全能力上的沉淀，以及對(duì)云原生安全領(lǐng)域的研究和實(shí)踐運(yùn)營(yíng)，同時(shí)結(jié)合騰訊云容器平臺(tái)TKE千萬(wàn)級(jí)核心規(guī)模容器集群治理經(jīng)驗(yàn)，騰訊云容器服務(wù)TKE聯(lián)合騰訊安全云鼎實(shí)驗(yàn)室，聯(lián)合撰寫(xiě)了《騰訊云容器安全白皮書(shū)》，希望以這樣的方式，把我們的一些心得分享給業(yè)界，共同推動(dòng)云原生安全的發(fā)展。

提前規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)是用戶關(guān)注容器安全的主要原因

根據(jù)調(diào)研發(fā)現(xiàn)，有77.2%的受訪者為提前規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)而關(guān)注容器安全能力建設(shè)，甚至有50.8%的受訪者表示他們的業(yè)務(wù)系統(tǒng)已經(jīng)經(jīng)歷過(guò)容器或Kubernetes相關(guān)的安全攻擊事件。

（圖3 用戶關(guān)注容器安全的原因）

容器逃逸是用戶最關(guān)注的安全問(wèn)題，同時(shí)也是線上業(yè)務(wù)遇到最多的安全問(wèn)題

容器逃逸、鏡像安全、集群入侵是受訪者最關(guān)注的容器安全問(wèn)題。其中，集群入侵是運(yùn)維人員最關(guān)注的容器安全問(wèn)題；而安全人員最關(guān)注的是容器逃逸問(wèn)題；研發(fā)人員則更關(guān)注鏡像安全問(wèn)題。

（圖4 用戶最關(guān)注的容器安全問(wèn)題）

2021年，騰訊云容器安全服務(wù)監(jiān)測(cè)到的可疑容器逃逸行為84萬(wàn)次，檢出容器內(nèi)掛馬事件共901次，這樣的運(yùn)營(yíng)數(shù)據(jù)也恰好驗(yàn)證了用戶對(duì)逃逸行為的擔(dān)憂。

（圖5 2021年容器運(yùn)行時(shí)入侵事件統(tǒng)計(jì)分布）

針對(duì)容器的在野攻擊數(shù)量巨大，容器成為重要的攻擊環(huán)境

騰訊安全通過(guò)在互聯(lián)網(wǎng)上部署大量模擬運(yùn)行的容器服務(wù)，持續(xù)跟蹤并捕獲正在發(fā)生的針對(duì)容器的在野攻擊。僅2021年9月份，騰訊云安全監(jiān)測(cè)捕獲到針對(duì)容器的在野攻擊達(dá)10.8萬(wàn)次，發(fā)起容器攻擊的IP來(lái)源分布分別為中國(guó)70619次，其次是俄羅斯11220次和美國(guó)7139次。

（圖6 針對(duì)容器的在野攻擊來(lái)源統(tǒng)計(jì)）

根據(jù)容器在野攻擊監(jiān)測(cè)數(shù)據(jù)顯示，互聯(lián)網(wǎng)存在大量針對(duì)容器服務(wù)進(jìn)行的持續(xù)脆弱性探測(cè)和入侵，包括容器未授權(quán)訪問(wèn)探測(cè)、Kubernetes集群組件漏洞探測(cè)，容器登陸嘗試等行為。

容器安全能力已有不同程度的部署應(yīng)用，但總體比例不高

調(diào)研數(shù)據(jù)顯示，59.7%的受訪者表示業(yè)務(wù)側(cè)已經(jīng)應(yīng)用了鏡像漏洞掃描能力，有52.6%已經(jīng)實(shí)現(xiàn)了容器主機(jī)安全加固，有45.9%已經(jīng)支持集群監(jiān)控和日志審計(jì)。

（圖7 容器安全能力部署應(yīng)用情況）

這樣的部署情況，一方面取決于云原生技術(shù)確實(shí)存在一定的操作門(mén)檻，根據(jù)我們的調(diào)研數(shù)據(jù)，技術(shù)操作門(mén)檻高、業(yè)務(wù)側(cè)學(xué)習(xí)成本大是限制企業(yè)容器安全能力全面部署的主要因素。

（圖8 影響容器安全落地的主要因素）

另一方面，安全管理和安全運(yùn)營(yíng)的復(fù)雜性，也在一定程度上限制了容器安全的落地應(yīng)用。例如，在業(yè)務(wù)遇到問(wèn)題時(shí)，需要運(yùn)維方和云服務(wù)提供方人工介入進(jìn)行問(wèn)題排查以及參數(shù)調(diào)優(yōu)等。這樣的操作在現(xiàn)實(shí)生產(chǎn)環(huán)境中比較常見(jiàn)，然后這又跟云原生的不可變基礎(chǔ)設(shè)施等核心理念相沖突。

騰訊云容器服務(wù)TKE提供原生的容器安全能力，助力容器用戶實(shí)現(xiàn)上線即安全

基于安全能力原生化、安全左移和零信任等安全設(shè)計(jì)原則，騰訊云容器服務(wù)TKE采用層次化的安全體系，逐層實(shí)現(xiàn)安全防護(hù)。分別在承載容器云平臺(tái)的基礎(chǔ)設(shè)施層、容器和容器云平臺(tái)基礎(chǔ)架構(gòu)層、以及容器承載的應(yīng)用層實(shí)現(xiàn)安全防護(hù)。

（圖9 騰訊云容器安全體系）

同時(shí)，容器安全體系還與DevOps體系進(jìn)行協(xié)同聯(lián)動(dòng)，在DevOps流程中嵌入安全能力，實(shí)現(xiàn)安全左移，降低運(yùn)行過(guò)程中安全檢測(cè)和防護(hù)的成本。在安全管理和運(yùn)營(yíng)上，通過(guò)密鑰管理、安全策略管理、漏洞管理等服務(wù)，實(shí)現(xiàn)對(duì)用戶云上的容器服務(wù)持續(xù)的檢測(cè)和響應(yīng)，確保其安全性。