近日，國(guó)際權(quán)威咨詢機(jī)構(gòu)IDC發(fā)布了《PRC SDC Software Market Overview， 2019H2/2019》報(bào)告。報(bào)告顯示，華為云容器軟件市場(chǎng)份額位居國(guó)內(nèi)廠商第一。除杰出的市場(chǎng)表現(xiàn)，華為云容器優(yōu)異的技術(shù)特別是安全性再次成為焦點(diǎn)。其實(shí)早在去年9月，全球權(quán)威咨詢機(jī)構(gòu)Forrester發(fā)布的報(bào)告就指出，華為云容器有“強(qiáng)大的安全和應(yīng)用生命周期管理能力”，“安全能力覆蓋面很廣”。

一、容器安全為何如此重要？

為何測(cè)評(píng)機(jī)構(gòu)如此看重容器的安全性，將其作為衡量容器產(chǎn)品最重要的競(jìng)爭(zhēng)力之一呢？

容器，本質(zhì)是將操作系統(tǒng)、應(yīng)用等資源（也叫宿主機(jī)）虛擬化出相互隔離的獨(dú)立單元，是某個(gè)容器鏡像的一個(gè)實(shí)現(xiàn)。

容器“麻雀雖小五臟俱全”，可以用于業(yè)務(wù)的開(kāi)發(fā)、交付和部署等。容器鏡像則是輕量的軟件包 ，包含開(kāi)發(fā)、交付和部署等所需的代碼、運(yùn)行環(huán)境、系統(tǒng)工具、系統(tǒng)庫(kù)和設(shè)置等?？梢?jiàn)，容器可以用更少的資源來(lái)實(shí)現(xiàn)更豐富的功能。

但與所有新技術(shù)一樣，容器也面臨新的安全挑戰(zhàn)：一旦某個(gè)容器被攻陷，就會(huì)導(dǎo)致同在一個(gè)宿主機(jī)上的其它容器也面臨被攻陷的風(fēng)險(xiǎn)（也即“容器逃逸”），并由此導(dǎo)致更多的安全問(wèn)題：

1.容器本身也是軟件，不安全的鏡像會(huì)導(dǎo)致容器被攻擊。

2.傳統(tǒng)的主機(jī)間防火墻規(guī)則不適用于容器。

3.安全隔離面更小，核心模塊更易被直接攻擊，危及整個(gè)系統(tǒng)的安全。

4.容器運(yùn)行在某個(gè)具體的容器集群環(huán)境中，環(huán)境相關(guān)的系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)都要進(jìn)行安全加固、檢測(cè)和防護(hù)。

二、華為云全球首發(fā)容器安全服務(wù)

華為云在設(shè)計(jì)容器之初就考慮和妥善解決了這些可能影響用戶使用的安全問(wèn)題，并于2018年8月全球首發(fā)了容器安全服務(wù)（Container Guard Service，CGS），從容器集群安全、鏡像構(gòu)建安全（Build）、鏡像倉(cāng)庫(kù)安全（Ship）、鏡像運(yùn)行安全（Run）保障容器全生命周期安全。CGS主要功能包括：

1.保障容器集群安全

容器集群包括容器運(yùn)行的某個(gè)宿主機(jī)和宿主機(jī)的管理節(jié)點(diǎn)。華為云采用了宿主機(jī)系統(tǒng)漏洞檢測(cè)修復(fù)、集群組件安全加固、網(wǎng)絡(luò)隔離、租戶資源隔離、資源訪問(wèn)控制等措施，保障容器集群的安全。

2.實(shí)時(shí)安全檢測(cè)防止容器逃逸

首先，CGS可對(duì)容器進(jìn)行細(xì)粒度的租戶隔離，防止租戶間相關(guān)攻擊和資源濫用；其次，CGS可對(duì)異常行為進(jìn)行檢測(cè)和關(guān)聯(lián)分析，準(zhǔn)確發(fā)現(xiàn)和阻斷shocker攻擊、進(jìn)程提權(quán)、DirtyCow和文件暴力破解等攻擊，及早規(guī)避容器逃逸。

3.安全掃描保障鏡像安全運(yùn)行

CGS對(duì)官方鏡像進(jìn)行定時(shí)漏洞掃描，幫助用戶在制作鏡像前進(jìn)行漏洞修復(fù)。在容器的構(gòu)建階段，CGS即可掃描鏡像編碼的安全問(wèn)題。在容器分發(fā)階段，CGS會(huì)持續(xù)對(duì)鏡像進(jìn)行安全掃描，發(fā)現(xiàn)可能存在的漏洞和風(fēng)險(xiǎn)，并給出修復(fù)和調(diào)整意見(jiàn)。

4.自定義運(yùn)行時(shí)的安全策略

在容器運(yùn)行的時(shí)候，CGS可通過(guò)惡意程序庫(kù)，有效檢測(cè)挖礦、勒索病毒等惡意程序；用戶可設(shè)置安全策略對(duì)某些安全漏洞和風(fēng)險(xiǎn)進(jìn)行攔截和告警，也可設(shè)置進(jìn)程白名單，有效阻止異常進(jìn)程、提權(quán)攻擊、違規(guī)操作等風(fēng)險(xiǎn)；文件只讀保護(hù)功能能鎖定和保護(hù)關(guān)鍵文件，避免被篡改。

總之，通過(guò)以上一系列安全措施，華為云讓用戶更加安心地使用容器。

責(zé)任編輯：gt