阿里云榮獲可信云容器安全能力先進(jìn)級(jí)認(rèn)證

阿里云關(guān)注企業(yè)級(jí)用戶的Kubernetes生產(chǎn)落地痛點(diǎn)，結(jié)合企業(yè)生產(chǎn)環(huán)境的大量實(shí)踐，全面幫助企業(yè)真正落地云原生架構(gòu)。安全側(cè)問(wèn)題，是眾多大中型或金融領(lǐng)域企業(yè)的核心關(guān)注點(diǎn)。

端到端云原生安全架構(gòu)

早在2018年，阿里云容器服務(wù)團(tuán)隊(duì)率先提出了“端到端的企業(yè)級(jí)安全能力”概念，并推出立體式的端到端云原生安全架構(gòu)。

容器和云原生時(shí)代的安全挑戰(zhàn)和傳統(tǒng)安全主要有以下三點(diǎn)不同：

第一個(gè)是高動(dòng)態(tài)和高密度。傳統(tǒng)時(shí)代一臺(tái)機(jī)器只跑幾個(gè)應(yīng)用，而現(xiàn)在在一臺(tái)服務(wù)器會(huì)運(yùn)行上百個(gè)應(yīng)用，是原來(lái)十幾倍的密度。另外考慮到容器的自動(dòng)恢復(fù)等特性，上一刻的容器在A機(jī)器，下一刻就會(huì)隨時(shí)漂移到另一臺(tái)機(jī)器。

第二個(gè)是敏捷和快速迭代，容器DevOps化的應(yīng)用發(fā)布非常頻繁，是傳統(tǒng)的幾倍。

第三，在開(kāi)放標(biāo)準(zhǔn)、軟件行業(yè)社會(huì)化大分工的時(shí)代，越來(lái)越多不可信三方開(kāi)源軟件的引入也加劇了安全風(fēng)險(xiǎn)。而容器的這些特點(diǎn)都會(huì)對(duì)云原生安全提出了更高的要求。

為了應(yīng)對(duì)這些安全風(fēng)險(xiǎn)，阿里云容器服務(wù)團(tuán)隊(duì)推出立體式的端到端云原生安全架構(gòu)，并從三個(gè)層面來(lái)解決安全問(wèn)題：

最底層依托于阿里云平臺(tái)已有的安全能力，包括物理安全，硬件安全，虛擬化安全和云產(chǎn)品安全能力;

中間是容器基礎(chǔ)設(shè)施安全層，基于最小化攻擊面原則，提供了包括訪問(wèn)控制，權(quán)限收斂，配置加固和身份管理等重要的底座安全能力；同時(shí)針對(duì)憑證下發(fā)，證書(shū)、密鑰，集群審計(jì)等用戶訪問(wèn)鏈路上的安全要素，構(gòu)建了對(duì)應(yīng)的自動(dòng)化運(yùn)維體系；

在容器基礎(chǔ)設(shè)施安全層之上，針對(duì)容器應(yīng)用從構(gòu)建到運(yùn)行的生命周期在供應(yīng)鏈和運(yùn)行時(shí)刻提供對(duì)應(yīng)的安全能力，比如在構(gòu)建階段提供了鏡像安全掃描和鏡像簽名能力；在部署和運(yùn)行時(shí)刻，提供了集運(yùn)行時(shí)策略管理，配置巡檢，運(yùn)行時(shí)安全掃描的一體化安全管理能力，同時(shí)支持安全沙箱容器和TEE機(jī)密計(jì)算技術(shù)，為企業(yè)容器應(yīng)用提供更好的安全隔離性和數(shù)據(jù)安全私密性。

縱深防御，呵護(hù)容器應(yīng)用全生命周期

隨著云原生技術(shù)的日趨火熱，已經(jīng)有越來(lái)越多的企業(yè)選擇在自己的生產(chǎn)環(huán)境中進(jìn)行容器化的云原生改造，而K8s社區(qū)的火熱使得其成為眾多輿論媒體關(guān)注的目標(biāo)之外，也使得其成為眾多攻擊者攻擊的主要目標(biāo)。

容器安全如今充滿新挑戰(zhàn)，一方面是Kubernetes、helm、etcd等開(kāi)源項(xiàng)目的高危漏洞頻出，相關(guān)輿論愈發(fā)引起關(guān)注，據(jù)統(tǒng)計(jì)，從2018年開(kāi)始，Kubernetes社區(qū)已經(jīng)暴露了20余次CVE漏洞。

另一方面，Kubernetes作為云原生時(shí)代新的操作系統(tǒng)與不同的異構(gòu)計(jì)算設(shè)備的廣泛集成以及serverless技術(shù)的日趨發(fā)展也使得容器應(yīng)用的生命周期越來(lái)越短，同時(shí)集群節(jié)點(diǎn)的容器應(yīng)用部署密度也越來(lái)越高，傳統(tǒng)的供應(yīng)鏈側(cè)的安全掃描已經(jīng)很難將風(fēng)險(xiǎn)完全暴露，面對(duì)上述種種安全挑戰(zhàn)，需要針對(duì)云原生下容器技術(shù)的特點(diǎn)，在安全上構(gòu)建更加明確的防護(hù)體系和相應(yīng)的技術(shù)升級(jí)。

阿里云容器服務(wù)ACK和容器鏡像服務(wù)ACR在上述的基礎(chǔ)架構(gòu)-軟件供應(yīng)鏈-運(yùn)行時(shí)三層云安全架構(gòu)基礎(chǔ)上，還做了兩大工作：縱深防御，構(gòu)建從供應(yīng)鏈到運(yùn)行時(shí)的一體化安全流程；最小化攻擊面，打造安全穩(wěn)定的容器基礎(chǔ)平臺(tái)。

在企業(yè)級(jí)用戶的應(yīng)用生命周期中，基于阿里云容器服務(wù)安全的整體架構(gòu)，首先在應(yīng)用的開(kāi)發(fā)，測(cè)試和構(gòu)建階段，用戶可以在供應(yīng)鏈側(cè)通過(guò)鏡像安全掃描提前暴露應(yīng)用鏡像中的安全風(fēng)險(xiǎn)，同時(shí)企業(yè)級(jí)用戶可以在阿里云容器鏡像服務(wù)企業(yè)版ACR EE中開(kāi)啟指定倉(cāng)庫(kù)的鏡像簽名能力為推送鏡像自動(dòng)簽名；在應(yīng)用部署前，默認(rèn)安全是應(yīng)用系統(tǒng)中安全設(shè)計(jì)的重要原則，而配置安全也是容器應(yīng)用在生產(chǎn)環(huán)境命令的主要風(fēng)險(xiǎn)。為此集群的安全管理員可以通過(guò)阿里云容器服務(wù)提供的統(tǒng)一策略管理平臺(tái)，遵循一致性的規(guī)則配置定義，為不同集群內(nèi)的應(yīng)用系統(tǒng)提供定制化的安全治理性；在應(yīng)用成功部署后，并不意味著我們的安全工作就到此結(jié)束了，用戶可以通過(guò)容器服務(wù)安全管理中心提供的運(yùn)行時(shí)監(jiān)控告警、配置巡檢、集群審計(jì)和密鑰加密等手段，保護(hù)容器應(yīng)用的運(yùn)行時(shí)刻安全，構(gòu)建整個(gè)容器安全的縱深防御能力。

客戶的選擇，業(yè)界的認(rèn)可，阿里云的使命

自2011年開(kāi)始容器化進(jìn)程，阿里開(kāi)啟了中國(guó)公司將云原生技術(shù)體系在電商、金融、制造等領(lǐng)域中大規(guī)模應(yīng)用的先河，阿里云沉淀了最豐富的云原生產(chǎn)品家族、最全面的云原生開(kāi)源貢獻(xiàn)、最大的容器集群和客戶群體和廣泛的云原生應(yīng)用實(shí)踐。

很多選擇了阿里云容器服務(wù)的客戶也會(huì)有各種各樣的安全場(chǎng)景需求：

某國(guó)際新零售巨頭在意公司內(nèi)部IT資產(chǎn)安全，使用容器鏡像服務(wù)ACR安全軟件供應(yīng)鏈的鏡像加簽和掃描，RAM角色進(jìn)行系列度RBAC權(quán)限控制，服務(wù)網(wǎng)格全鏈路mTLS認(rèn)證、證書(shū)管理和審計(jì)。

某國(guó)際金融銀行關(guān)注數(shù)據(jù)運(yùn)轉(zhuǎn)安全，不僅使用基于阿里云容器服務(wù)ACK的全鏈路數(shù)據(jù)加密和云安全中心運(yùn)行時(shí)刻告警監(jiān)控，而且還搭配使用托管服務(wù)網(wǎng)格ASM進(jìn)行應(yīng)用東西向流量的細(xì)粒度控制。

某國(guó)際游戲廠商希望更高效管控各方權(quán)限，進(jìn)行了pod級(jí)別的控制層面云資源的權(quán)限隔離，外部KMS系統(tǒng)的密鑰同步導(dǎo)入更新，數(shù)據(jù)平面系列度的權(quán)限控制，以及密鑰管理確保容器敏感信息不會(huì)泄露。

2020年5月，Gartner發(fā)布《Solution Comparison for the Native Security Capabilities》報(bào)告，首次全面評(píng)估全球TOP云廠商的整體安全能力。阿里云作為亞洲唯一入圍廠商，其整體安全能力拿下全球第二，11項(xiàng)安全能力被評(píng)估為最高水平（High）。