作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

容器作為云原生的代表技術，很多人認為是容器技術掀起云原生的變革：2004 年，谷歌開始使用容器技術，并在2006年發布進程容器，將容器虛擬化基礎設施引入 Linux 內核。2013 年，Docker 正式發布，隨即成為現象級的開源項目，同年，“云原生”概念提出。

當容器浪潮席卷而來之際，隨著容器的廣泛應用，開發者重視容器安全技術。因為據 Gartner 分析師表示，“容器使用共享操作系統(OS)模型對主機操作系統中的漏洞的攻擊可能導致所有容器被影響，容器本身并不安全，但由開發人員以不安全的方式部署，安全團隊很少或根本沒有參與，安全架構師也沒有指導。傳統的網絡和基于主機的安全解決方案對容器是無效的。容器安全解決方案保護容器的整個生命周期安全，從產生到生產。”

早在 2018 年，專注容器安全的小佑科技就看到其中機遇，自研 PaaS 容器安全防護產品，致力為開發者解決容器全生命周期的安全問題，推出“鏡界”容器安全防護平臺。為什么他們如此早就重視容器安全？對此，CSDN 采訪到小佑科技創始人&CEO 袁曙光，一起聊聊云原生時代下安全的那點事兒。

袁曙光

17年安全界老兵，探路容器安全

袁曙光是原聯眾游戲CISO，負責聯眾運維及安全工作，具有17年安全行業經驗，在甲方、乙方公司分別呆過很長時間，從事過安全研發、售前、服務咨詢及管理崗位，可以說是安全界的“老炮”。他帶領懂云計算和安全技術的4人團隊開啟云原生安全創業之路。

為什么當初袁曙光不選擇發展已久的傳統安全，而是探索剛發展的云計算安全？

袁曙光表示，企業上云是全球趨勢，一是當企業上云后，面臨的安全威脅將會增多，所以說云安全是企業的剛需。二是在上云過程中，由于IT基礎設施逐漸云化，云改變企業的底層基礎設施架構，安全也隨之往云化，傳統安全架構不再適用于云上，云上防護的方式變得更多元化、復雜化，云安全將重新定義企業的安全架構。

今年，Gartner發布《Solution Comparison for the Native Security Capabilities 》報告，首次全面評估全球 TOP 云廠商的整體安全能力，這從側面說明云安全是業內需重點關注的 IT 技術潮流之一。

其中，容器作為云計算新一代技術，正是未來十年云計算的核心，容器在云計算的地位像是發動機的“引擎”，據調查統計，有 83% CTO 愿意采用容器技術。Gartner 在 2017、2019 年將容器安全列入年度安全趨勢，容器安全大有可為。

“鏡像”容器平臺

安全出身的袁曙光，在打造云時代安全產品時也遇到不少挫折。由于容器網絡的虛擬化方式和傳統完全不同，傳統安全技術解決不了云時代下的安全問題。例如傳統防火墻無法使用；防病毒網關在容器的虛擬化網絡中無法使用；容器鏡像分層存儲，傳統的漏洞掃描僅僅在OS和網絡進行掃描；無論網絡還是主機的IDS都無法檢測到容器內的數據包……

云時代下，企業需要怎樣的新型容器安全技術來防護呢？

袁曙光在探索的過程中，還發現以下容器安全痛點：

一、隔離性較弱。容器基于進程的隔離，其隔離性不如虛擬機強，可能導致容器逃逸攻擊宿主機，為云計算的多租戶安全提出挑戰。

二、鏡像漏洞多。鏡像是容器運行的基礎、官方的鏡像有30%的鏡像存在高危安全漏洞。

三、資產理不清。容器平均的存在時間為3分鐘，快建快消的特點導致容器資產變化快。

四、安全控制難。容器集群k8s只提供了編排框架，額外的一切安全控制需要插件實現。

在打造“鏡界”產品時，袁曙光坦言遇到的難點不少：

一是當時這個方向較前沿，可參考案例較少，只能一點點地去摸索和嘗試；

二是由于云原生涉及方方面面技術，不能說“指哪打哪”，僅單點解決某個問題，而是提供容器從鏡像端到容器運行的完整生命周期防護。

由于云原生是一個較大的體系，擁有非常多的項目，國內沒有很成熟的標準統一。云原生都是基于開源的構造，K8S、Docker等。云原生技術品類、插件版本分裂，開發者和企業使用的可能均不相同，“鏡界”平臺都需要覆蓋和兼容到。

假如僅靠原有安全攻防知識來研發的話，袁曙光表示，“難度還是很大，光是把云原生環境搭起來就要從入門到放棄了，因為太復雜了?！?/p>

在他們充分深入研究云原生技術后，將其中的安全需求抽離出來，再結合團隊扎實的安全技術，融合打造出“鏡界”平臺。

對此，小佑科技搭建一套容器云原生安全防護平臺——鏡界容器安全防護平臺。“鏡界”不僅對容器做全流程防護，還可無縫集成DevOps。提供容器資產管理、鏡像深度掃描、容器運行監控與控制、微服務及API安全、容器及集群的合規審計。該平臺保證容器從鏡像生成、存儲到容器運行的全生命周期防護。且安裝部署方便，與Kubernetes兼容，可用性較高。

?

安全廠商群立，專注容器安全的小佑科技如何突圍而出？

盡管如此，兩年的小佑科技面對的競爭一點不少：一是來自傳統安全廠商，這些廠商的產品全涵蓋邊緣計算、終端安全等全產品線，因為企業采購時通常整體采購，小佑科技如何凸顯優勢？

二是大云廠商也提供一些容器安全服務，那么專門針對容器安全、成立兩年的小佑科技如何“殺”出重圍？

袁曙光表示，之前企業很喜歡一些大集成的解決方案，總希望一家廠商就能包攬所有安全解決方案。如今安全負責人的專業水平和認知的提升，對自身系統的安全需求較明確，知道自己缺什么再有針對性地去買。大而全的安全廠商盡管擁有自己的“拳頭”產品，但仍存在沒覆蓋到的細分領域，此時企業更愿意要該細分領域做得最專業的產品。企業不在乎這個細分的產品提供者是誰，但該產品必須具備集成能力，這是如今云安全產品的趨勢。

像小佑科技等的創業公司專注做細分產品，并不是為了和大廠商的整條產品線 PK，而是針對該細分產品。小佑科技專注在較前沿的容器安全上，一些大的安全廠商內部針對這條產品線可能沒有像小佑科技投入大，從這看小佑科技具備優勢的。

小佑科技主要是私有云的大型行業用戶，大云廠商做安全產品和系統是深度耦合的，靈活性一般，可能滿足不了客戶復雜的個性化需求，傾向標準化的交付，不會給行業做個性化需求。在私有云上，客戶企業傾向于把基礎建設和安全分開，私有云企業用戶甚至可能自建獨立的安全管理平臺，上層對接和開放接口，從而接入一些外部安全能力來滿足自身需求。

“例如安卓手機有安全功能，但是很多用戶喜歡下載另外的安全管家來滿足個性化需求，不是僅用自帶功能，如此類推到云安全產品上，這正是我們的機遇。”袁曙光說。

?

如何選擇云安全產品？

云安全產品眾多，企業該如何選擇適合自己的產品？袁曙光建議，不要選擇無法適應未來IT架構發展的產品。

在容器安全產品上，盡量選擇可彈性擴容或適應容器平臺發展技術路線的的產品。因為IT架構不斷在演進，用戶以前規劃的安全手段無法部署，所以安全產品需適應未來IT規劃。小佑科技提供的“鏡像”平臺為全容器化部署，該平臺本身適應云原生的特點，還可提供微服務化和豐富的 API。

如今經歷兩年多的探索，小佑科技前陣子完成千萬級人民幣的天使輪融資。談及未來，袁曙光表示，將繼續加大在云原生安全領域的技術研發投入，為云原生的容器、Kubernetes集群、微服務以及 DevOps 提供可落地的安全解決方案，形成較完整的產品矩陣，做行業“云原生安全專家”。

更多閱讀推薦

• 下一代 IDE：Eclipse Che 究竟有什么奧秘？

• 竊隱私、放高利貸，輸入法的騷操作真不少！

• 進入編譯器后，一個函數經歷了什么？
  

• 程序員離職后收到原公司 2400 元，被告違反競業協議賠 18 萬

• 5年5億美金，華為昇騰如何爭奪AI開發者？

總結

以上是生活随笔為你收集整理的17 年安全界老兵，专注打造容器安全能行吗？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。