我们所面临的云原生安全问题

目前云计算技术的不断发展，企业逐渐转向云端部署和容器化应用，云原生应用以其高度的灵活性、业务敏捷性和强扩展性，正逐渐成为企业数字化转型的关键驱动力。

然而，随着云原生技术的发展普及，云原生安全所面临的挑战和难点也日益凸显。下面德迅云安全将分享一些云原生技术的安全问题，以及相关的安全措施和解决方案。

云原生安全所面临的一些主要挑战和难点：

1、云原生应用的多样化架构和服务： 云原生应用通常由多个微服务组成，运行在容器中，并依赖于各种云服务。这种多样性增加了攻击面，使得安全管理变得更加复杂。不同的服务和组件可能采用不同的安全标准和机制，需要综合考虑整体的安全性。

2、动态性和可伸缩性： 云原生环境的动态性和可伸缩性也为安全带来了挑战。容器的快速部署和撤销使得传统的安全模型难以适应。传统的防御手段可能无法及时应对快速变化的环境，需要引入更加智能和自适应的安全策略。

3、服务网格安全： 服务网格通过在应用之间建立通信桥梁，提高了应用之间的可观察性和管理性。然而，服务网格的部署和配置也带来了一系列的安全挑战，如身份验证、授权、流量加密等问题。

4、合规性和监管： 云原生环境中，数据的存储和处理可能涉及多个地理位置和云服务提供商。合规性和监管成为一项困扰，企业需要确保其在全球范围内的操作都符合相关法规和标准。

5、人工智能和自动化的威胁： 云原生环境中广泛使用人工智能和自动化技术，这也为潜在的威胁提供了更多的攻击面。攻击者可能利用自动化流程进行攻击，企业需要建立智能化的威胁检测和响应机制。

6、缺乏可视性和多样化的威胁：与本地环境相比，云环境的安全与合规洞察严重不足。同时，网络安全专业人员和攻击者之间的攻防也从未停止。

7、组织模式的变化：组织模式的变化也给云原生安全带来了新的挑战。云原生安全建设和云基础设施关系紧密，导致安全职责需要重新考虑。新的安全模式对组织、流程、技术等都有了新的要求。

8、容器安全性： 容器作为云原生架构的基本单元，其安全性至关重要。容器逃逸、容器间通信、容器镜像的安全性等都是需要重点关注的问题。容器的快速部署和销毁也使得及时发现和应对容器安全问题变得更为紧迫。

针对当前云原生安全所面临的来自多方面的挑战和难点，我们需要一个能从多个角度、综合技术、策略等多个方面考虑的安全方案，只有这样，才能确保云原生应用的安全稳定运行，为企业数字化转型提供坚实的保障。

德迅蜂巢，针对云原生安全中至关重要的容器安全的一站式解决方案，它能够很好集成到云原生复杂多变的环境中，如 PaaS 云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog，解决云原生安全中至关重要的容器安全问题。

基于在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全和在运行阶段（Ops），遵循“持续监控 &响应”原则，做到完全自适应，通过这两个核心架构理念，从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力，提供覆盖容器全生命周期，可实现容器安全预测、防御、检测和响应的安全闭环。

德迅蜂巢对容器安全来说，所具有的实用性功能：

一、消除容器资产盲点

1、容器资产种类全面盘点

支持容器、镜像、Registry、主机、POD 等容器资产快速清点，为用户提供容器内资产的分类视图，实现容器资产的全面可视化。

支持资产自动化盘点，可快速从正在运行的环境中，反向自动化构建容器业务资产结构。

支持资产实时上报，持续监控资产变化，同时实时上报变化情况，确保资产与实际环境一致。

2、容器资产内容深度识别

可对每类资产进行深入分析，获取资产相关的高价值安全数据，帮助用户从安全角度细粒度观察资产运行状况。

覆盖资产种类全，覆盖 K8S、容器、容器内应用 3 大类工作负载，15 类资产类型，支持 1500+业务应用识别。

细粒度资产识别，对每类资产进行深入分析，进而获取资产相关的各项高价值的安全数据。

3、自动化、持续性容器资产清点

系统资产数据持续更新，每日及时地、自动化上报资产数据。基于历史清点的数据，每次只清点新启动的进程信息，极大降低对服务器性能的耗损。

二、全生命周期的镜像扫描

1、持续的镜像补丁检测能力

持续更新漏洞数据库，并与集群中的容器镜像进行匹配。一旦发现任何新镜像补丁信息，用户将收到通知，而不必定期重新扫描。

5w+安全补丁库、四大应用组件漏洞、五大检测引擎，可深入发现镜像中的敏感信息。

2、全面的补丁数据呈现

深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

进行构建文件检查、开源 License 检查、软件应用检查、基础镜像识别等，规范镜像构建过程。

支持 Oracle、Fedora、Ubuntu、Debian、OpenSUSE、Photon OS、Alpine 等主流镜像 OS，同时 X86/ARM 架构全栈适配。

3、灵活快速的检索方式

客户可根据需求灵活显示列表数据，定义表格显示。系统提供基于安全场景的筛选方式，如支持按 CVE 编号进行检索等，帮助用户迅速定位镜像和其安全补丁信息。

三、容器微隔离防止横向渗透实现零信任

1、提供业务视角的网络拓扑关系

基于实际业务的⼯作负载可视化展示容器间的访问⾏为，清晰展示网络拓扑关系，方便运维和安全人员理解。

2、覆盖各种云原生场景的隔离策略

集群内网络隔离，可设置基于 Namespace、Label、Controller、IP/CIDR 的隔离策略。

集群间网络隔离，可设置基于集群与非容器集群，集群与外部网络之间的隔离策略。

纯容器与胖容器，针对纯容器与胖容器提供不同的隔离策略。

3、提供“告警”模式，让用户放心设置策略

针对工作负载提供“仅告警”业务模式，不下发实际的隔离策略，而是模拟下发的情况，当发现偏离策略的行为则进行告警提示。通过此种模式，可避免因隔离错误而对业务造成影响。

4、全面适配云原生的网络环境

5w+适配各类云原生环境，支持多种网络，适配 Underlay、Overlay、Vxlan、Macvlan、Ovs 等诸多网络架构。

四、实时入侵检测 威胁闭环处理

1、基于已知威胁进行检测

德迅蜂巢通过监控容器内的进程创建、文件变化等行为，获取行为特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell 等攻击行为。

2、基于恶意行为进行检测

以 ATT&CK 框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立 IOC 模型进行分析，能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹 Shell、端口扫描、横向移动、K8S 的异常调用等行为。

结合专家经验、威胁情报、⼤数据、机器学习等多种分析⽅法，通过对⽤户容器环境的实时监控和深度了解，有效发现包括 “0Day” 在内的各种未知⿊客攻击。

3、基于异常行为进行检测

通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁；对攻击路径的每个节点进⾏监控，保证实时发现失陷容器，对⼊侵⾏为进⾏告警。

在独有的资产管理能⼒⽀持下，产品不仅能发现⼊侵，还能够提供详细的⼊侵分析和响应⼿段，从⽽让⽤户精准有效地解决问题。

五、满足监管要求和业务需求的合规基线产品

1、一键任务化检测，基线检查结果可视化呈现

用户可快捷创建基线扫描任务，⼀键⾃动化检测，基线扫描操作⼀键⾃动完成，⽆需⽤户复杂⼿动操作；根据检测需要，自行选择需要扫描的容器和基线，基线检查结果可视化呈现。

2、基于 Docker 基线多维检查

根据 CIS Benchmark 最佳实践方案，从运行时容器、镜像、主机三个维度，对各类容器配置问题进行检查

3、基于 Kubernetes 基线多节点检查

根据 CIS Benchmark 的规范，定时对 k8s 的 master 节点、worker 节点进行基线检查。扫描完成后，即可查看每个扫描详情以及扫描结果

深⼊可视化的结果展示，合规基线检测结果可视化列表呈现，⽤户可以清晰看到每⼀个检查项的说明、通过情况以及检测详情信息。帮助⽤户快速了解基线检测未通过的原因，及时对容器相关配置进⾏修改更新。

快速⽣成的合规检测报告，系统基线检测扫描结束后，⽤户快速⼀键⽣成基线的合规检测报告 CSV ⽂件。同时⽂件在系统中⾃动保存 7 天，便于⽤户及时导出过往检查结果进⾏⽐对分析。

上述分享的是关于云原生安全中容器安全的安全方案，当然，云原生安全面临的挑战和难点涵盖了多个方面，德迅云安全建议我们需要从多个角度综合考虑，制定全面的安全策略和流程，以应对不断变化的云安全威胁。