容器安全技术发展研究及政策建议——《网络安全技术和产业动态》总第17期

2021-11-30

摘自:《网络安全技术和产业动态》2021年第11期,总第17期。

中国网络安全产业联盟(CCIA)主办,北京启明星辰信息安全技术有限公司供稿。


容器安全技术面向容器环境,提供针对容器“构建-分发-运行”全生命周期的安全防护,对容器环境、容器平台、容器编排引擎等场景提供全方位的安全防护体系,为云计算、虚拟化场景下的容器化业务和应用系统提供安全保障。


一、容器安全技术发展情况

容器是一个承载和运行工作负载的单元,如同虚拟机、物理主机一样,其本质上是一种操作系统层面的轻量虚拟化技术。

容器安全技术围绕如何保障容器里承载的业务和应用系统的安全而开展,以Container Security的独立名称定义出现在2019年Gartner出版的“云安全技术成熟度曲线”报告中,随后改名为Container and Kubernetes Security。Kubernetes是目前使用最广泛的容器编排平台,支持容器化工作负载的自动化部署、大规模可伸缩、应用容器化管理等流程。容器安全技术已经不局限于容器本身的安全,还需要考虑围绕容器技术发展的其他各项衍生技术的安全问题。

容器安全技术需要围绕容器全生命周期提供各项安全措施,包括构建、传输和运行三个阶段,同时在运行阶段对容器运行环境和运行状态进行实时检测,提供安全防护措施,并应对动态变化的容器虚拟化场景。


二、容器安全技术发展难点

容器安全技术的目标是面向容器、容器环境、容器编排引擎等一系列对象,提供自适应的安全防护能力,健全用户安全防护体系。 

容器安全技术体系主要包括七种方面,包括镜像漏洞扫描、CI/CD集成、容器资产梳理、容器微隔离、运行环境合规审计、容器运行时防护和微服务治理。容器安全技术发展的主要难点包括:

1.镜像漏洞扫描技术

由于容器镜像的特殊格式,传统漏洞扫描技术无法适用于面向镜像的漏洞扫描场景,首先需要对容器镜像进行解析然后才能进行后续步骤。镜像漏洞扫描技术的镜像对象主要来源于CI/CD集成环境和镜像仓库两部分,需要对相关对象进行对接和适配,形成标准化的解决方案。镜像漏洞扫描技术也需要与威胁情报等外部情报、分析方法结合提供更准确和更有价值的信息。

2.容器级别的网络隔离技术

容器级别的隔离技术需要适应容器环境,而容器网络是虚拟化的逻辑网络,传统宿主机的网络隔离技术难以适配,因此需要在容器环境中实现自适应的容器网络隔离能力。

3.容器入侵检测技术

随着攻击技术的发展,攻击技术向复杂化、高级化和持续化发展,传统面向网络特征的入侵检测技术难以适用于现在的网络环境中。一方面,容器环境中通常一个容器提供一个服务,其网络特征相对单一;另一方面,由于未知攻击和未知漏洞的存在,容器入侵检测技术还需要进行容器行为监测、容器异常行为检测。

4.容器环境基线核查技术

容器场景下的各项问题、各项风险均处于研究过程中,因此面向容器环境的基线和合规条件还处于研究和逐步落地阶段,对容器环境的基线核查基准需要进一步深化研究。



三、容器安全技术产业落地情况

目前容器安全技术在国外相对成熟,而国内处于发展阶段。国外研究较早、积累较多,美国国家标准与技术研究院(NIST)在2017年发布了 SP800-190《容器安全指南》。该标准总结概括了在容器使用过程存在的安全问题,并对这些问题提供了针对性的对策建议。另外,Palo Alto Networks、Aqua Security、Symantec、McAfee、NeuVector、Qualys、StackRox等安全公司也正在大力建设容器安全体系,推出其容器安全相关产品。

国内容器安全虽然起步较晚,但是发展迅速,目前阿里云、腾讯云、华为云等云服务供应商已逐步推出其容器安全相关产品,启明星辰、绿盟科技、天融信等综合安全厂商也已推出容器安全系列产品,小佑科技等初创安全厂商也在大力投入容器安全领域并推出相关产品。预计未来各类厂商的容器安全产品成熟度将进一步增加,形成有竞争力的产品和活跃的市场。



四、意见和建议

随着数字化转型进程加快,网络架构、业务形态等飞速发展,容器技术及其衍生技术和产品成为最热门的方向之一。容器技术为业务快速迭代、上线、动态扩展、弹性扩容提供了便捷的基础,容器技术面临新型安全挑战,因此,建议从以下方面来促进容器安全技术的发展:

1.加快研究制定容器安全相关标准

建议国内加速容器安全的相关标准化进程,制定容器安全技术相关技术规范系列标准、技术测试系列标准等,同时在各行业内逐步形成各行业规范,并开展相关国际化工作,提高我国容器安全技术国际影响力。

2.加强容器安全关键技术研究

建议加强对容器安全技术的研究力度,集中安全厂商、云服务供应商的力量,进一步加强云计算、虚拟化等应用领域的安全防护体系研究和合作,加速形成合作技术和产业氛围。

联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号