近日,国际权威咨询机构Forrester发布了企业级全球公有云容器平台评估报告,报告显示:华为云容器进入“强劲表现者”象限,稳居全球容器产品TOP阵营,是客户使用容器混合云的最佳选择。报告指出:华为云容器有“强大的安全和应用生命周期管理能力”,“安全能力覆盖面很广”,使其强大的安全性备受关注,具体是如何做的?
一、容器安全为何如此重要?
为何测评机构如此看重容器的安全性,将其作为衡量容器产品最重要的竞争力之一呢?
容器,本质是在一台物理主机(也叫宿主机)上虚拟出的很多相互隔离的操作系统,一旦某个容器被攻击成功,就会导致同在一个宿主机上的其它容器被攻陷(也即“容器逃逸”)。而且,容器本身也是软件,就可能存在安全漏洞,而这往往被使用者忽略,又缺少专业安全团队的帮助,给攻击者带来可乘之机。
在使用场景上,容器经常应用于支撑研发环境,涉及开发、测试和运维等重要研发环节,牵一发而动全身;另一面,容器是运行在某个具体的系统环境中,相关系统、应用和网络都要进行安全加固、检测和防护。因此,从容器的构建到分发到运行的安全性对容器就变得非常重要。
二、华为云全球首发容器安全服务
针对上述安全问题,华为云全球首发容器安全服务(CGS),保障容器从构建到分发到运行的安全性。服务有三大特点:
1、镜像安全扫描提前至容器构建开发阶段:在容器的构建开发阶段,CGS即可扫描镜像编码的安全问题,进行持续集成和持续发布。在容器分发阶段,CGS可进行打包后的扫描,一旦发现安全问题,即可通知开发人员进行修复和调整;
2、实时安全检测防止容器逃逸:CGS可对容器中的异常行为进行检测,与其他行为进行关联分析,准确发现逃逸行为。同时,CGS可对容器权限配置、高危的系统调用、shocker攻击、进程提权、DirtyCow和文件暴力破解等进行检测,及早规避容器逃逸等风险;
3、自定义运行时的安全策略:在运行和仓库镜像时,用户可设置安全策略对某些安全漏洞和风险进行拦截和告警,如阻断存在致命漏洞的程序进入生产环境。运行时,用户可设置白名单,有效阻止异常进程、提权攻击、违规操作等风险;也可设置文件只读保护,锁定和保护关键文件,避免被篡改。
其架构图如下,由四部分组成:
1、CGS的Agent作为一个容器运行在每个容器节点(主机)上,负责节点上所有容器的镜像漏洞扫描、异常事件收集和安全策略实施。
2、管理Master负责Agent 的管理与运维。
3、智能知识库,用于获取漏洞库、恶意程序库等数据,并进行大数据AI训练。
4、用户使用CGS的操作控制台。
目前,华为云容器安全服务已正式转商,开启后,即可实现容器防护列表查看、镜像列表查看、安全策略设置、漏洞修复、运行时监控等的功能。另外,华为云推出了安全大优惠活动,整个九月,全场7.5折,欢迎参加,详情见华为云官网。