如何应对容器和云原生时代的安全挑战?
点击上方蓝字,关注凌云时刻微信公众号
凌云时刻 · 极鲜速递
导读:中国信息通信研究院认为,阿里云容器服务在最小化攻击面,二进制镜像验签名,密文的BYOK加密等能力上国内领先,达到国际先进水平。
作者 | 木环、大虎、壮怀
来源 | 凌云时刻(微信号:linuxpk)
新的挑战
“我们在2018年就有能力应对容器和云原生时代的安全挑战。”
容器和云原生时代的安全挑战和传统安全不同。
高密度与高动态
传统时代一台机器只跑几个应用,而现在在一台服务器会运行上百个应用,是原来十几倍的密度。另外考虑到容器的自动恢复等特性,上一刻的容器在A机器,下一刻就会随时漂移到另一台机器。
敏捷且快速迭代
容器 DevOps 化的应用发布非常频繁,是传统的几倍。
更多风险来源
在开放标准、软件行业社会化大分工的时代,越来越多不可信三方开源软件的引入也加剧了安全风险。而容器的这些特点都会对云原生安全提出了更高的要求。
2018年,为应对以上不断“嚣张”的挑战,阿里云容器服务团队提出了“端到端的企业级安全能力”概念,推出立体式的端到端云原生安全架构。
最底层依托阿里云平台的物理安全,硬件安全,虚拟化安全和云产品安全能力。
中间是容器基础设施安全层,基于最小化攻击面原则,提供了包括访问控制,权限收敛,配置加固和身份管理等重要的底座安全能力;同时针对凭证下发,证书、密钥,集群审计等用户访问链路上的安全要素,构建了对应的自动化运维体系。
顶层则针对容器应用从构建到运行的生命周期在供应链和运行时刻提供对应的安全能力,比如在构建阶段提供了镜像安全扫描和镜像签名能力;在部署和运行时刻,提供了集运行时策略管理,配置巡检,运行时安全扫描的一体化安全管理能力,同时支持安全沙箱容器和TEE机密计算技术,为企业容器应用提供更好的安全隔离性和数据安全私密性。
“我们保障容器应用全生命周期的安全。”
如今,容器安全充满新挑战。一方面,Kubernetes、helm、etcd等开源项目的高危漏洞频出。一方面,容器应用的生命周期越来越短,集群节点的容器应用部署密度也越来越高,传统的供应链侧的安全扫描已经很难将风险完全暴露。
面对以上全新挑战,阿里云容器服务ACK和容器镜像服务ACR在“基础架构—软件供应链—运行时”三层云安全架构基础上,还进行了2项成功的尝试:
纵深防御,构建从供应链到运行时的一体化安全流程
最小化攻击面,打造安全稳定的容器基础平台
由此搭建完成阿里云容器服务安全的整体架构,实现容器应用全生命周期的安全保障。
阿里云容器服务安全整体架构在用户的应用生命周期中:
应用的开发、测试和构建阶段
用户可以在供应链侧通过镜像安全扫描提前暴露应用镜像中的安全风险
企业级用户可以在阿里云容器镜像服务企业版 ACR EE 中开启指定仓库的镜像签名能力为推送镜像自动签名应用部署前
集群的安全管理员可以通过阿里云容器服务提供的统一策略管理平台,为不同集群内的应用系统提供定制化的安全治理性应用成功部署后
用户可以通过容器服务安全管理中心保护容器应用的运行时刻安全,构建整个容器安全的纵深防御能力
“我们有非常广泛的云原生应用实践。”
自2011年开启容器化进程,阿里在国内企业中率先将云原生技术体系大规模应用在电商、金融、制造等领域。
近十年来,选择了阿里云容器服务的客户对阿里云提出了各种各样的安全场景需求,如:
公司内部IT资产安全
某国际新零售巨头使用容器镜像服务 ACR 安全软件供应链的镜像加签和扫描,RAM角色进行系列度RBAC权限控制,服务网格全链路mTLS认证、证书管理和审计。数据运转安全
某国际金融银行使用基于阿里云容器服务ACK的全链路数据加密和云安全中心运行时刻告警监控,同时搭配使用托管服务网格ASM进行应用东西向流量的细粒度控制。高效管控各方权限
某国际游戏厂商进行了pod级别的控制层面云资源的权限隔离,外部KMS系统的密钥同步导入更新,数据平面系列度的权限控制,以及密钥管理确保容器敏感信息不会泄露。
经历以上典型需求的考验,阿里云沉淀了最丰富的云原生产品家族、最全面的云原生开源贡献、最大的容器集群和客户群体和广泛的云原生应用实践。
结语
2020年5月,Gartner发布《Solution Comparison for the Native Security Capabilities 》报告,首次全面评估全球TOP云厂商的整体安全能力。阿里云作为亚洲唯一入围厂商,其整体安全能力全球第二,11项安全能力被评估为最高水平(High)。所以这次的先进级可信云安全能力认证为什么给阿里云,以上是阿里云容器服务团队的解答。
END
往期精彩文章回顾
融合阿里云,牛客助您找到心仪好工作
掌门教育微服务体系 Solar
阿里云上新了!
我们该不该在Rust上做点投资?
云原生时代,谁是容器的最终归宿?
解读畅捷通微服务治理能力提升之路
Linux基础软件威胁疑云:从已知到“未知”
我们找阿里云资深技术专家李响聊了聊开源和云原生
从单体迈向Serverless的避坑指南
云计算的下个十年什么样?
长按扫描二维码关注凌云时刻
每日收获前沿技术与科技洞见
如何应对容器和云原生时代的安全挑战?相关推荐
- 华为云MVP马超:云原生时代开发者的挑战与出路
嘉宾 | 马超 整理 | 黄文勤 出品 | CSDN云原生 当前,开发领域开始进入云原生时代.新的时代赋予开发人员便利的同时,也提出了诸多挑战. 2022年6月9日,在CSDN云原生系列在线峰会第 ...
- 企业如何应对云原生时代的安全挑战?
不断缩小的安全"边界" 应用软件发展平台发展线路很清晰,从最早的物理机发展到后来的虚拟机,可以运行多个操作系统在物理机上:2014 年开始,以 Docker 为首的容器厂商把容器技 ...
- 云原生时代到来 KubeSphere要让容器应用零门槛落地
如今,Kubernetes.DevOps.微服务.应用管理等已经给客户带来了太多认知上的负担,而KubeSphere要做的就是简化.简化.简化. 云计算技术应用的深入,云原生正在成为云计算2.0的发展 ...
- CODING —— 云原生时代的研发工具领跑者
本文为 CODING 创始人兼 CEO 张海龙在腾讯云 CIF 工程效能峰会上所做的分享. 文末可前往峰会官网,观看回放并下载 PPT. 大家上午好,很高兴能有机会与大家分享 CODING 最近的一些 ...
- 云原生时代下,容器安全的“四个挑战”和“两个关键”
作者 | 匡大虎 来源 | 阿里巴巴云原生公众号 云原生进程中的容器安全挑战 云原生的火热带来了企业基础设施和应用架构等技术层面的革新,在云原生的大势所趋下,越来越多的企业选择拥抱云原生,在 CNCF ...
- 快进键启动,一文带你了解云原生时代容器安全
简介: 分享阿里云容器安全的治理能力与经验,致力保护生产环境安全. 都说国内需求离容器化还远,更谈不上关注安全,喊的热闹而落地困难.但总得有些声音面向未来向前看. 在2020年Forrester Ia ...
- 云原生时代,谁是容器的最终归宿?
前言 "云原生技术有利于各组织在公有云.私有云和混合云等新型动态环境中,构建和运行可弹性扩展的应用.云原生的代表技术包括容器.服务网格.微服务.不可变基础设施和声明式 API.这些技术能够构 ...
- 云原生时代,政企混合云场景IT监控和诊断的难点和应对之道
本文分享自华为云社区<[华为云Stack][大架光临]第10期:云原生时代,政企混合云场景IT监控和诊断的难点和应对之道>,作者: 华为云Stack技术规划专家 杨奕. 一.政企混合云的架 ...
- 为什么说容器的崛起预示着云原生时代到来?
摘要:聊云原生之前,我们不妨从容器技术说起. 近年来,云原生(Cloud Native)可谓是 IT 界最火的概念之一,且随着云计算普及进程的不断加深,有愈演愈烈的趋势.今天再谈云原生已经不是少数几个 ...
- 云原生时代,如何保证容器镜像安全?
目录 遵从最佳实践,编写 Dockerfile 选择合适的基础镜像 以非 root 用户启动容器 采用多阶段构建 选择来源可靠且经常更新的镜像 用安全的方式构建容器镜像 使用容器镜像扫描 和极狐 Gi ...
最新文章
- 易宝典文章——玩转Office 365中的Exchange Online服务 之五 怎样利用PSl连接Exchange Online实现管理...
- python 轨迹识别
- 无法安装.msi文件
- Active Directory系列之十七:实战详解域信任关系
- android中资源文件的两种访问方式,Android_Android学习笔记-保存文件(Saving Files),Android设备有两种文件存储区域 - phpStudy...
- 表达式计算器类的设计4(面向对象的表达式计算器7)
- 首批5G成员!中兴天机Axon 10 Pro下周发布
- 我敲的不是代码,而是……
- 学python要什么基础-要学Python编程,需要什么样的基础呢?想找这方面工作
- clear:both 有高度的问题
- Java夜未眠(蔡学镛)
- 工商阿里忙互殴 苏宁高调打假争做主角?
- android12.0(S) 通知栏不显示闹钟和静音图标 bug
- python openpyxl删除excel特定行数据遇到的问题
- 关于移动硬盘无法被识别的其中一种解决办法
- 【Python自动化测试14】Python自动化测试基础与进阶练习题
- 511遇见安卓手机投屏支持一键转无线群控
- 世界杯来了!谁能夺冠?让我们用数据说话
- 详解微信「看一看」多模型内容策略与召回
- golang 生成登录验证码