随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比存在一定的差距。在应用容器和K8S过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器安全,已成为企业最关心的问题。
7月9日,腾讯安全正式发布腾讯云容器安全服务产品TCSS(Tencent Container Security Service),腾讯云容器安全服务为企业提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。
(TCSS帮助打造原生可靠的容器应用安全体系)
云原生时代 容器面临多重安全风险
容器是云原生的基石之一,作为一种计算单元,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势。另外容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。
另一方面,容器的构建依赖于镜像,镜像库管理不当混入恶意镜像、镜像损坏、有漏洞的镜像没有及时更新、镜像认证和授权限制不足等都会给容器带来巨大安全隐患。同时,容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。容器逃逸也是容器特有的安全问题,会直接影响到底层基础设施的安全性,主要分为三类:第一类是配置不当引起的逃逸,比如允许挂载敏感目录;第二类是容器本身设计的BUG,比如runC容器逃逸漏洞;第三类是内核漏洞引起的逃逸,比如dirtycow。因此,容器逃逸也被许多学者视为容器安全的首要问题。
腾讯TCSS四大核心能力 守护容器全生命周期安全
为了解决容器安全问题,腾讯安全结合二十多年的网络安全实践经验,推出了覆盖容器资产管理、镜像安全及运行时入侵检测等功能的腾讯云容器安全服务产品(TCSS),通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。
其中,资产管理功能将提供自动化、细颗粒度的资产清点服务,目前已经支持九种资产信息统计,可统一管理容器、镜像、镜像仓库、主机等关键资产,帮助企业实现资产可视化;
(核心产品功能:资产管理)
镜像检测功能基于自主研发的容器安全杀毒引擎和漏洞引擎,共享病毒库和漏洞库,支持“一键检测”、“定时扫描”两种扫描模式,可以针对镜像、镜像仓库提供安全漏洞、木马病毒、敏感信息等多维度安全扫描;
(核心产品功能:镜像安全)
运行时提供了功能强大的入侵检测能力,基于自适应Agent识别黑客攻击,实时监控容器运行时环境,支持容器逃逸、异常进程、文件篡改、高危系统调用等五种运行时入侵检测功能,并提供异常进程拦截、文件篡改防护等全面保护;
(核心产品功能:运行时安全)
安全基线功能则可定期对容器、镜像、主机、Kubernetes、编排环境进行安全基线检测,帮助容器环境合规化,避免因配置缺陷引发安全问题,减少攻击面。
三大优势 助力构建云原生时代的基础安全
腾讯TCSS提供的四大安全防护功能,基本覆盖了容器全生命周期的安全需求,而且相比同类产品,TCSS采用超融合架构,支持简易安装,轻量部署,同时容器安全服务严格限制 Agent 资源占用,正常负载时消耗极低,负载过高时主动降级保证系统正常运行。
另外,腾讯拥有全球最大、覆盖最全的黑灰产大数据库,TCSS容器安全服务可使用腾讯安全数据库对容器环境发现的恶意程序样本进行关联分析,并基于威胁情报感知容器环境威胁行为,进一步增强安全保障。
传统安全体系在公有云上适应性差,无法有效检测新威胁形式,缺少自动化响应处置手段。目前,腾讯TCSS已经在多个行业展开了应用,帮助客户克服了云上资产种类多、数量大、不易盘点的问题,大大提升了客户的云上安全水平和安全运营管理效率。
在云原生环境下,企业通过微服务来交付应用系统的比例在增加,容器安全已经成为了云安全不可或缺的部分。未来,腾讯安全将继续完善容器安全一站式解决方案,推动行业构建云原生安全生态,为客户的应用安全提供更全面的保护。