腾讯：腾讯云容器安全白皮书（38页）.pdf

1、1 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 目录 Contents 01. 概述 02. 容器面临的安全威胁和挑战 03. 容器安全的行业现状 3.2. 当前容器环境面临的主要安全问题 13 17 061.1 概述 2.1 容器面临的安全威胁 2.2 容器安全的挑战 09 11 3.1 用户视角下的容器安全 3.1.1. 混合云是用户部署容器业务的主要选择 3.1.2. 提前规避业务风险是用户关注容器安全的主要原因 3.1.3. 容器逃逸是用户最关注的容器安全问题 3.1.4 容器安全能力已有

2、不同程度落地应用，但总体比例不高 3.1.5 技术门槛高是影响容器安全落地部署的主要因素 3.2.1. 镜像安全问题仍然突出 3.2.2. 容器逃逸是线上容器业务面临最多的风险 3.2.3. 针对容器的在野攻击数量巨大 3.2.4 安全配置的合规性仍不乐观 3.2.5 安全管理和运营难度大 3.2.6 多种复杂因素影响着容器安全的落地 14 14 15 16 16 17 18 19 20 20 20 04. 腾讯云容器安全体系 05. 全面的可观测性 06. 容器安全管理和运营 07. 总结 4.1. 容器安全体系设计四大原则 5.1. 日志服务 5.2. 监控服务 5.3. 追踪服务 7.1

3、. 总结 6.1. 资产组件管理 6.2. 密钥管理 6.3. 安全策略管理 6.4. 漏洞管理 4.2. 全方位层次化的容器安全体系框架 22 32 33 34 39 37 37 37 37 24 23 23 23 24 25 25 29 4.1.1. 安全能力原生化 4.1.2. 安全左移 4.1.3. 零信任架构 4.1.4 安全防护全生命周期 4.2.1. 容器基础设施安全 4.2.2. 容器基础架构安全 4.2.3. 容器应用安全 5 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 概述 O

4、verview 6 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 近年来，云计算的模式逐渐被认可和接受，但总体而言，当前企业上云更多只是基础设施形态的改变，在上云 的实践中，传统应用升级缓慢、架构臃肿、无法快速迭代等问题逐渐的显现出来，云原生的概念便应运而生。 云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性，解决业务在开发、集成、分发和运行等整个 生命周期中遇到的问题。尤其是随着“新基建”的加速布局，以及企业数字化转型的逐步深入，云原生以其高效 稳定、快速响应等特点极大的释放了云计算效能，

5、成为企业数字业务应用创新的原动力，有效推动了国民经济 的高质量发展。 对于云原生，CNCF 给出了相对标准的定义：云原生技术有利于各组织在公有云、私有云和混合云等新型动态 环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和 声明式 API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原 生技术使工程师能够轻松的对系统作出频繁和可预测的重大变更。 在实现云原生的主要技术中，容器作为支撑应用运行的重要载体，为应用的运行提供了隔离和封装，成为云原 生应用的基础设施底座，近年来被广泛的认可和应用。根据中国云原生用户调查

6、报告（2020）1显示， 60% 以上用户已在生产环境中应用容器技术。 然而一次次安全事件的曝光，不管是特斯拉在亚马逊上的 Kubernetes 集群被入侵，还是 Docker Hub 频繁被 爆含有漏洞和恶意程序的镜像，让用户在享受云原生红利的同时，产生了极大的安全担忧。 中国云原生用户调查报告（2020）显示，容器的安全问题已成为用户应用云原生的最大担忧，其中 63% 的用户认为容器安全是紧迫的需求。容器的安全与否，将直接影响着整个云原生系统的安全性。相关组织在 2021 年发布的容器和 Kubernetes 安全态势报告中同样指出 2，在过去一年时间中，有 94的组织在其容器 环境中遇到