《基于容器的平台安全能力要求》标准解读—刘如明（中国信通院）（21页）.pdf

《《基于容器的平台安全能力要求》标准解读—刘如明（中国信通院）（21页）.pdf》由会员分享，可在线阅读，更多相关《《基于容器的平台安全能力要求》标准解读—刘如明（中国信通院）（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、基于容器的平台安全标准解读中国信息通信研究院工程师 刘如明2020年10月1234单击此处添加文本具体内容容器技术简介单击此处添加文本具体内容单击此处添加文本具体内容容器技术风险容器安全标准下一步工作计划1容器技术简介传统应用架构将走向全面云原生化Gartner报告曾指出，2020年将有 50%的传统老旧应用被以云原生化的方式改造，到2022年，将有 75%的全球化企业将在生产中使用云原生的容器化应用。以基础设施资源为中心的云搬迁时代接近尾声，以应用价值为中心的云原生时代已经到来，云计算架构上越来越简化基础设施对用户侧的负担，用户可以聚焦价值密度更高的业务逻辑，天然生于云计算环境的应用能够最大

2、程度利用云的强大能力，传统应用向云原生应用转型的拐点已至。云原生关键技术敏捷基础设施提供灵活可扩展的计算资源，为应用提供敏捷标准化的部署环境应用微服务化使并行开发成为可能，大幅提升产品迭代效率DevOps理念将自动化运维贯穿研发运营的整个流程体系，降低频繁部署的不可预测性云原生时代三驾马车：容器、微服务、DevOps数字化转型技术中台容器技术在企业生产环境中的采纳率持续升高容器技术：一种进程级的虚拟化隔离技术，通过运行环境的打包封装可以简单便捷的实现不同机器上的环境强一致性。跨云平台支持：容器技术极强的适配性使多平台跨云部署成为可能。环境标准化：容器镜像技术可将应用运行的依赖环境打包，保证了部

3、署的环境一致性。轻量级与隔离：容器共享宿主机操作系统相比虚拟机更加轻量；通过namespace、cgroups等限制技术可实现容器资源的精准控制切分，高效利用资源。30.1%34.2%36.3%21.1%24.5%8.3%9.1%生产环境测试环境正在评估尚未使用36.4%2018年2017年数据来源：云计算开源产业联盟中国云计算开源发展调查报告（20192019年）应用容器市场连年飙升，复合增长率超30%容器采纳率持续升高，生产环境已有相当占比2容器技术安全风险历年Docker漏洞情况数据来源：2018绿盟容器安全技术报告Docker漏洞风险程度汇总数据来源：2018绿盟容器安全技术报告Doc

4、ker漏洞影响程度汇总数据来源：2018绿盟容器安全技术报告Docker漏洞频发威胁用户生产环境容器生命周期趋短，镜像更新较慢增加风险数据来源：sisdig 2019 Container Usage Report数据来源：sisdig 2019 Container Usage Report容器生命周期情况容器镜像生命周期情况镜像是容器云平台的主要安全威胁之一B攻击者上传恶意镜像C中间人攻击篡改镜像A镜像中的软件存在漏洞绝大多数的镜像存在高危漏洞，有的镜像高危漏洞数量甚至达到数十个之多。漏洞镜像基本都出现在应用软件，而主流操作系统的脆弱性管理较好，比如 centos 和 alpine 没有扫描出

5、 CVE 漏洞。对于特定某文件，一般可以使用杀毒软件进行扫描以确定该文件是否安全，但是目前的杀毒软件并没有能够 很好支持镜像的扫描。用户想确认下载的镜像是否安全，只能仔细检查下载的源是否有后门(比如运行镜像，然后在里面安装杀毒软件扫描)，并且确认我们的请求指向官方源。如果用户采用非加密的方式从镜像仓库下载镜像，镜像在传输过程中可能被中间人篡改。Docker 在 v1.8 版本中启用内容机制，其中已提供了相应的校验机制来应对这个问题。数据来源：sisdig 2019 Container Usage Report数据来源：2018绿盟容器安全技术报告容器Runtime潜在威胁多检测难度大数据来源：

6、sisdig 2019 Container Usage Report 敏感目录读写操作 启用特权容器 提权操作 特殊目录下的挂载操作3容器安全标准解读信通院牵头制定国内首个容器安全标准基础设施安全基于容器镜像的软件供应链安全容器运行时安全日志数据管理四大维度全覆盖容器平台安全要点基础设施安全3基础资源访问控制ACL资源访问控制RBAC访问控制1基础设施安全加固主机安全加固：主机漏扫、入侵检测、主机配置安全基线检查组件安全加固：部署合规基线检查、组件访问控制、组件通信安全加密、集群敏感信息保护容器网络安全4容器的公网