1、基于容器的平台安全标准解读中国信息通信研究院工程师 刘如明2020年10月1234单击此处添加文本具体内容容器技术简介单击此处添加文本具体内容单击此处添加文本具体内容容器技术风险容器安全标准下一步工作计划1容器技术简介传统应用架构将走向全面云原生化Gartner报告曾指出，2020年将有 50%的传统老旧应用被以云原生化的方式改造，到2022年，将有 75%的全球化企业将在生产中使用云原生的容器化应用。以基础设施资源为中心的云搬迁时代接近尾声，以应用价值为中心的云原生时代已经到来，云计算架构上越来越简化基础设施对用户侧的负担，用户可以聚焦价值密度更高的业务逻辑，天然生于云计算环境的应用能够最大

2、程度利用云的强大能力，传统应用向云原生应用转型的拐点已至。云原生关键技术敏捷基础设施提供灵活可扩展的计算资源，为应用提供敏捷标准化的部署环境应用微服务化使并行开发成为可能，大幅提升产品迭代效率DevOps理念将自动化运维贯穿研发运营的整个流程体系，降低频繁部署的不可预测性云原生时代三驾马车：容器、微服务、DevOps数字化转型技术中台容器技术在企业生产环境中的采纳率持续升高容器技术：一种进程级的虚拟化隔离技术，通过运行环境的打包封装可以简单便捷的实现不同机器上的环境强一致性。跨云平台支持：容器技术极强的适配性使多平台跨云部署成为可能。环境标准化：容器镜像技术可将应用运行的依赖环境打包，保证了部

3、署的环境一致性。轻量级与隔离：容器共享宿主机操作系统相比虚拟机更加轻量；通过namespace、cgroups等限制技术可实现容器资源的精准控制切分，高效利用资源。30.1%34.2%36.3%21.1%24.5%8.3%9.1%生产环境测试环境正在评估尚未使用36.4%2018年2017年数据来源：云计算开源产业联盟中国云计算开源发展调查报告（20192019年）应用容器市场连年飙升，复合增长率超30%容器采纳率持续升高，生产环境已有相当占比2容器技术安全风险历年Docker漏洞情况数据来源：2018绿盟容器安全技术报告Docker漏洞风险程度汇总数据来源：2018绿盟容器安全技术报告Doc

4、ker漏洞影响程度汇总数据来源：2018绿盟容器安全技术报告Docker漏洞频发威胁用户生产环境容器生命周期趋短，镜像更新较慢增加风险数据来源：sisdig 2019 Container Usage Report数据来源：sisdig 2019 Container Usage Report容器生命周期情况容器镜像生命周期情况镜像是容器云平台的主要安全威胁之一B攻击者上传恶意镜像C中间人攻击篡改镜像A镜像中的软件存在漏洞绝大多数的镜像存在高危漏洞，有的镜像高危漏洞数量甚至达到数十个之多。漏洞镜像基本都出现在应用软件，而主流操作系统的脆弱性管理较好，比如 centos 和 alpine 没有扫描出

5、 CVE 漏洞。对于特定某文件，一般可以使用杀毒软件进行扫描以确定该文件是否安全，但是目前的杀毒软件并没有能够 很好支持镜像的扫描。用户想确认下载的镜像是否安全，只能仔细检查下载的源是否有后门(比如运行镜像，然后在里面安装杀毒软件扫描)，并且确认我们的请求指向官方源。如果用户采用非加密的方式从镜像仓库下载镜像，镜像在传输过程中可能被中间人篡改。Docker 在 v1.8 版本中启用内容机制，其中已提供了相应的校验机制来应对这个问题。数据来源：sisdig 2019 Container Usage Report数据来源：2018绿盟容器安全技术报告容器Runtime潜在威胁多检测难度大数据来源：

6、sisdig 2019 Container Usage Report 敏感目录读写操作 启用特权容器 提权操作 特殊目录下的挂载操作3容器安全标准解读信通院牵头制定国内首个容器安全标准基础设施安全基于容器镜像的软件供应链安全容器运行时安全日志数据管理四大维度全覆盖容器平台安全要点基础设施安全3基础资源访问控制ACL资源访问控制RBAC访问控制1基础设施安全加固主机安全加固：主机漏扫、入侵检测、主机配置安全基线检查组件安全加固：部署合规基线检查、组件访问控制、组件通信安全加密、集群敏感信息保护容器网络安全4容器的公网访问限制、容器与宿主机之间的访问控制、容器流量可视化、四层流量控制、七层流量控制

7、多租户安全隔离2节点级别的部署隔离、租户级的进程隔离、租户间网络隔离、租户间数据隔离软件供应链安全镜像扫描、扫描结果等级标注、修复指引、反向追踪、多漏洞库对接、镜像内组件漏扫、镜像内配置漏扫、镜像内恶意程序检测、扫描规则自定义镜像仓库基础能力、镜像签名、镜像仓库访问控制镜像文件安全传输，如通过TLS加密等单击此处添加标题镜像的加签、验签能力镜像签名扫描引擎对接、镜像仓库的访问策略控制、防DDos、企业级仓库对接、基于扫描结果的推拉限制、镜像拉取的自定义策略限制镜像仓库基础能力镜像推入时漏扫触发、仓储镜像的漏扫、仓储镜像扫描告警、定期扫描、漏洞库更新时镜像扫描镜像仓库扫描管理镜像安全镜像仓库管理

8、镜像传输安全容器运行时安全单击此处添加文本具体内容，简明扼要的阐述您的观点。容器数据信息加密单击此处添加文本具体内容，简明扼要的阐述您的观点。容器安全策略管理单击此处添加文本具体内容，简明扼要的阐述您的观点。容器运行时检测单击此处添加文本具体内容，简明扼要的阐述您的观点。容器资源隔离限制容器文件系统调用的权限限制、容器系统的调用权限限制、磁盘容量限制、容器间网络流量限制容器落盘存储的数据信息全盘加密对接凭据管理系统，对身份认证、秘钥等非落盘数据进行加密保护容器特权用户限制、容器的文件目录做访问控制、容器资源访问控制、不合规的镜像配置策略基于白名单的程序控制、容器内异常行为检测、容器逃逸检测、不同逃逸行为的告警、木马检测、敏感文件操作的检测日志管理安全DEAPI对象操作的日志记录守护进程安全合规配置的扫描日志记录镜像扫描的日志记录镜像仓库中所有操作行为的日志记录基于平台日志做审计管理ABC容器平台安全能力评测已通过先进级评估的云服务商腾讯云3阿里云2华为云14下一步工作计划下半年工作规划标准白皮书报告联盟生态云原生安全标准体系云原生安全白皮书云原生安全调查报告中国云原生技术全景视图项目云原生安全工作组技术沙龙下一步工作计划