重磅發(fā)布 | 騰訊云發(fā)布容器安全白皮書

11月4日，為期2天的騰訊數(shù)字生態(tài)大會(huì)在湖北武漢落下帷幕。在大會(huì)的云原生專場上，騰訊云容器服務(wù)TKE聯(lián)合騰訊安全云鼎實(shí)驗(yàn)室，聯(lián)合發(fā)布了《騰訊云容器安全白皮書》（簡稱白皮書）。白皮書對(duì)騰訊云容器用戶進(jìn)行了深入的調(diào)研和走訪，結(jié)合長期以來的容器安全運(yùn)營實(shí)踐，詳細(xì)梳理并分析了容器環(huán)境所面臨的安全挑戰(zhàn)，介紹了騰訊云在云原生容器安全建設(shè)上的思路、方案以及實(shí)踐。這是國內(nèi)首次大規(guī)模的對(duì)容器環(huán)境的安全現(xiàn)狀進(jìn)行分析總結(jié)。

（圖1 白皮書在數(shù)字生態(tài)大會(huì)的發(fā)布現(xiàn)場）

云原生充分利用云計(jì)算的彈性、敏捷、資源池化和服務(wù)化等特性，解決業(yè)務(wù)在開發(fā)、集成、分發(fā)和運(yùn)行等整個(gè)生命周期中遇到的問題，以其高效穩(wěn)定、快速響應(yīng)等特點(diǎn)極大的釋放了云計(jì)算效能，成為企業(yè)數(shù)字業(yè)務(wù)應(yīng)用創(chuàng)新的原動(dòng)力，有效推動(dòng)了國民經(jīng)濟(jì)的高質(zhì)量發(fā)展。

當(dāng)前，騰訊云原生產(chǎn)品體系和架構(gòu)已非常完善，涵蓋了軟件研發(fā)流程、計(jì)算資源、架構(gòu)框架、數(shù)據(jù)存儲(chǔ)和處理、安全等五大領(lǐng)域的多個(gè)場景。依托這些云原生產(chǎn)品，正在為不同行業(yè)、不同規(guī)模和不同發(fā)展階段的數(shù)十萬家客戶提供云原生服務(wù)。

（圖2 騰訊云原生產(chǎn)品矩陣）

一次次安全事件的曝光，讓用戶在享受云原生紅利的同時(shí)，對(duì)安全產(chǎn)生了極大的擔(dān)憂。基于騰訊多年對(duì)安全攻防技術(shù)的研究積累，持續(xù)在安全能力上的沉淀，以及對(duì)云原生安全領(lǐng)域的研究和實(shí)踐運(yùn)營，同時(shí)結(jié)合騰訊云容器平臺(tái)TKE千萬級(jí)核心規(guī)模容器集群治理經(jīng)驗(yàn)，騰訊云容器服務(wù)TKE聯(lián)合騰訊安全云鼎實(shí)驗(yàn)室，聯(lián)合撰寫了《騰訊云容器安全白皮書》，希望以這樣的方式，把我們的一些心得分享給業(yè)界，共同推動(dòng)云原生安全的發(fā)展。

提前規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)是用戶關(guān)注容器安全的主要原因

根據(jù)調(diào)研發(fā)現(xiàn)，有77.2%的受訪者為提前規(guī)避業(yè)務(wù)風(fēng)險(xiǎn)而關(guān)注容器安全能力建設(shè)，甚至有50.8%的受訪者表示他們的業(yè)務(wù)系統(tǒng)已經(jīng)經(jīng)歷過容器或Kubernetes相關(guān)的安全攻擊事件。

（圖3 用戶關(guān)注容器安全的原因）

容器逃逸是用戶最關(guān)注的安全問題，同時(shí)也是線上業(yè)務(wù)遇到最多的安全問題

容器逃逸、鏡像安全、集群入侵是受訪者最關(guān)注的容器安全問題。其中，集群入侵是運(yùn)維人員最關(guān)注的容器安全問題；而安全人員最關(guān)注的是容器逃逸問題；研發(fā)人員則更關(guān)注鏡像安全問題。

（圖4 用戶最關(guān)注的容器安全問題）

2021年，騰訊云容器安全服務(wù)監(jiān)測到的可疑容器逃逸行為84萬次，檢出容器內(nèi)掛馬事件共901次，這樣的運(yùn)營數(shù)據(jù)也恰好驗(yàn)證了用戶對(duì)逃逸行為的擔(dān)憂。

（圖5 2021年容器運(yùn)行時(shí)入侵事件統(tǒng)計(jì)分布）

針對(duì)容器的在野攻擊數(shù)量巨大，容器成為重要的攻擊環(huán)境

騰訊安全通過在互聯(lián)網(wǎng)上部署大量模擬運(yùn)行的容器服務(wù)，持續(xù)跟蹤并捕獲正在發(fā)生的針對(duì)容器的在野攻擊。僅2021年9月份，騰訊云安全監(jiān)測捕獲到針對(duì)容器的在野攻擊達(dá)10.8萬次，發(fā)起容器攻擊的IP來源分布分別為中國70619次，其次是俄羅斯11220次和美國7139次。

（圖6 針對(duì)容器的在野攻擊來源統(tǒng)計(jì)）

根據(jù)容器在野攻擊監(jiān)測數(shù)據(jù)顯示，互聯(lián)網(wǎng)存在大量針對(duì)容器服務(wù)進(jìn)行的持續(xù)脆弱性探測和入侵，包括容器未授權(quán)訪問探測、Kubernetes集群組件漏洞探測，容器登陸嘗試等行為。

容器安全能力已有不同程度的部署應(yīng)用，但總體比例不高

調(diào)研數(shù)據(jù)顯示，59.7%的受訪者表示業(yè)務(wù)側(cè)已經(jīng)應(yīng)用了鏡像漏洞掃描能力，有52.6%已經(jīng)實(shí)現(xiàn)了容器主機(jī)安全加固，有45.9%已經(jīng)支持集群監(jiān)控和日志審計(jì)。

（圖7 容器安全能力部署應(yīng)用情況）

這樣的部署情況，一方面取決于云原生技術(shù)確實(shí)存在一定的操作門檻，根據(jù)我們的調(diào)研數(shù)據(jù)，技術(shù)操作門檻高、業(yè)務(wù)側(cè)學(xué)習(xí)成本大是限制企業(yè)容器安全能力全面部署的主要因素。

（圖8 影響容器安全落地的主要因素）

另一方面，安全管理和安全運(yùn)營的復(fù)雜性，也在一定程度上限制了容器安全的落地應(yīng)用。例如，在業(yè)務(wù)遇到問題時(shí)，需要運(yùn)維方和云服務(wù)提供方人工介入進(jìn)行問題排查以及參數(shù)調(diào)優(yōu)等。這樣的操作在現(xiàn)實(shí)生產(chǎn)環(huán)境中比較常見，然后這又跟云原生的不可變基礎(chǔ)設(shè)施等核心理念相沖突。

騰訊云容器服務(wù)TKE提供原生的容器安全能力，助力容器用戶實(shí)現(xiàn)上線即安全

基于安全能力原生化、安全左移和零信任等安全設(shè)計(jì)原則，騰訊云容器服務(wù)TKE采用層次化的安全體系，逐層實(shí)現(xiàn)安全防護(hù)。分別在承載容器云平臺(tái)的基礎(chǔ)設(shè)施層、容器和容器云平臺(tái)基礎(chǔ)架構(gòu)層、以及容器承載的應(yīng)用層實(shí)現(xiàn)安全防護(hù)。

（圖9 騰訊云容器安全體系）

同時(shí)，容器安全體系還與DevOps體系進(jìn)行協(xié)同聯(lián)動(dòng)，在DevOps流程中嵌入安全能力，實(shí)現(xiàn)安全左移，降低運(yùn)行過程中安全檢測和防護(hù)的成本。在安全管理和運(yùn)營上，通過密鑰管理、安全策略管理、漏洞管理等服務(wù)，實(shí)現(xiàn)對(duì)用戶云上的容器服務(wù)持續(xù)的檢測和響應(yīng)，確保其安全性。