随着云计算的发展，以容器和微服务为代表的云原生技术，受到了人们的广泛关注，德迅云安全德迅蜂巢（容器安全）是企业容器运行时和容器编排的首要选择。然而，在应用容器过程中，大多数企业都遇到过不同程度的安全问题，如何保障容器安全，已成为企业最关心的问题。

应用容器带来新挑战

容器应用之前，云中应用系统多数运行于虚拟机上，但虚拟机仍会有额外的资源浪费和维护成本，并且其启动速度较慢。容器技术因具有占用资源少、部署速度快和便于迁移等特点，开始受到企业青睐。在典型的云原生环境中，通常包括主机、镜像、容器、容器编排平台、网络和微服务等对象，但由于目前多数企业使用容器技术部署业务应用，故下面将重点分析与容器相关的安全挑战。

容器安全防护就是运用流程来设置一些安全工具和政策以确保容器内的一切都依照提前的规划来运作，包含基础架构、软件供应链、运行时环境以及期间中各个环节的所有防护。

在这样的概念下，容器安全防护是一个持续不断的过程，而且应该整合到您的开发流程中，并通过自动化的方式来减少手动工作，并延伸到基础架构的维护与运营。这意味着，您不仅必须保护建构流程的容器镜像，还要保护运行时期的主机、平台与应用程序层。将防护融入不断循环的软件生命周期持续性交付，能协助您降低企业风险，减少日益扩大的受攻击面所潜藏的漏洞。

相关词汇

这些是企业在满足容器需求时会用到的一些词汇：Docker®、Kubernetes®、AmazonWeb Services™ (AWS) 以及 Microsoft®。

保护 Docker

• 在您开始投入容器安全防护之前，您应先认识一下容器领域的主要厂商。Docker是容器化市场的领导厂商，它提供了一套建构、管理与保护应用程序的容器平台。从传统的应用程序到最新的微服务，Docker都能满足客户的部署需求。如同其他任何容器平台一样，您务必确保您已设置适当的防护。

保护 Kubernetes

• Kubernetes也是一个必须认识的重要名词。Kubernetes 提供了一种通过可携带、可延伸的开放原始代码平台来处理容器化工作负载与服务的方式。尽管 Kubernetes内设了一些安全功能，但您仍需要一套专门的安全解决方案来维护您的安全，因为近来针对 Kubernetes 集群的攻击越来越多。

Amazon Web Services (AWS)与容器防护

• 接下来我们要认识的是AWS，AWS 深知企业对容器的需求，以及容器的好处就是能让开发人员更快、更一致地推出应用程序。这正是为何 AWS 提供 Amazon ElasticContainer Service (Amazon ECS) 这项可扩充的高效能容器协调服务来支援 Docker容器，您不需自行管理虚拟机器与容器环境，轻轻松松就能在 AWS上执行并扩充容器化应用程序。不过，如同任何其他主流厂商一样，要妥善发挥该服务的效益，安全是不可或缺的条件。

保护 Microsoft Azure 容器

• 最后要介绍的是Microsoft® Azure™ Container Instances (ACI)，这套解决方案可让开发人员在 Microsoft® Azure™Public Cloud 上部署容器而不需自行执行或管理底层的基础架构。您只需通过 Microsoft® Azure™服务入口就能启动一个新的容器，Microsoft 会自动配置底层的运算资源并视需要加以扩充。Azure Container Instances可提供绝佳的速度与灵活优势，但却需要妥善防护才能彻底发挥其完整效益。

德迅蜂巢（容器安全）

德迅蜂巢·云原生安全平台由德迅自主研发，能够很好集成到云原生复杂多变的环境中，如PaaS云平台、OpenShift、Kubernetes、Jenkins、Harbor、JFrog等等。通过提供覆盖容器全生命周期的一站式容器安全解决方案，德迅蜂巢可实现容器安全预测、防御、检测和响应的安全闭环。

（1）德迅蜂巢·云原生安全平台的核心架构理念：

• 在开发阶段（Dev），遵循“安全左移”原则，做到上线即安全

• 在运行阶段（Ops），遵循“持续监控&响应”原则，做到完全自适应

（2）实现功能

德迅蜂巢主要从安全左移和运行时安全两个阶段，在云原生的全生命周期过程中，提供原生的、融合的安全能力。

一、资产清点：

德迅蜂巢可以清晰地盘点工作负载本身的相关信息，此外，还能够实现不同工作负载之间的关系可视化，帮助运维和安全人员梳理业务及其复杂的关系，弥补安全与业务的鸿沟。

• 细粒度梳理关键资产

• 业务应用自动识别

• 资产实时上报

• 与风险和入侵全面关联

容器资产种类全面盘点

支持容器、镜像、Registry、主机、POD等容器资产快速清点，为用户提供容器内资产的分类视图，实现容器资产的全面可视化。

容器资产内容深度识别

对每类资产进行深入分析，获取资产相关的高价值安全数据，帮助用户从安全角度细粒度观察资产运行状况。

自动化、持续性容器资产清点

系统资产数据持续更新，每日及时地、自动化上报资产数据。基于历史清点的数据，每次只清点新启动的进程信息，极大降低对服务器性能的耗损。

二、镜像扫描：

德迅蜂巢的镜像检查能力已经覆盖到开发、测试等多个环节中，可快速发现镜像中存在的漏洞、病毒木马、Webshell等镜像风险。

• 覆盖容器全生命周期

• 全方位检测

• 镜像合规检查

• X86、ARM 架构镜像全栈适配

持续的镜像补丁检测能力

持续更新漏洞数据库，并与集群中的容器镜像进行匹配。一旦发现任何新镜像补丁信息，用户将收到通知，而不必定期重新扫描。

全面的补丁数据呈现

深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁，综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况，智能提供最贴合业务的补丁修复建议。

灵活快速的检索方式

可根据需求灵活显示列表数据，定义表格显示。系统提供基于安全场景的筛选方式，如支持按 CVE 编号进行检索等，帮助用户迅速定位镜像和其安全补丁信息。

三、微隔离

德迅蜂巢微隔离原生自适应容器多变的环境。通过对访问关系的梳理和学习，提供自适应、自迁移、自维护的网络隔离策略，帮助用户快速、安全地落地容器微隔离能力。

• 业务视角展示网络拓扑关系

• 云原生场景的隔离策略

• 适配多种网络架构

• 告警模式业务0影响

提供业务视角的网络拓扑关系

基于实际业务的⼯作负载可视化展示容器间的访问⾏为，清晰展示网络拓扑关系，方便运维和安全人员理解。

覆盖各种云原生场景的隔离策略

集群内网络隔离
可设置基于Namespace、Label、Controller、IP/CIDR的隔离策略。

集群间网络隔离
可设置基于集群与非容器集群，集群与外部网络之间的隔离策略。

纯容器与胖容器
针对纯容器与胖容器提供不同的隔离策略。

提供“告警”模式，让用户放心设置策略

针对工作负载提供“仅告警”业务模式，不下发实际的隔离策略，而是模拟下发的情况，当发现偏离策略的行为则进行告警提示。通过此种模式，可避免因隔离错误而对业务造成影响。

全面适配云原生的网络环境

适配Underlay、Overlay、Vxlan、Macvlan、Ovs等诸多网络架构。

四、入侵检测

德迅蜂巢通过多锚点入侵监测分析，实时监测容器中的已知威胁、恶意⾏为、异常事件，监测到入侵事件后，对失陷容器快速安全响应，把损失降到最低。

• 威胁建模适配容器环境

• 持续地监控和分析

• 威胁告警快速响应处置

• 提供多种异常处理⽅式

基于已知威胁进行检测

德迅蜂巢通过监控容器内的进程创建、文件变化等行为，获取行为特征，将这些特征经过德迅五大检测引擎的检测，以发现容器中的病毒、挖矿、Webshell等攻击行为。

基于恶意行为进行检测

以ATT&CK框架中定义的入侵模型为参考，结合对于运行时基础事件监控来建立IOC模型进行分析，能有效发现初始入侵时的远程漏洞利用、无文件攻击行为、远程控制的反弹Shell、端口扫描、横向移动、K8S的异常调用等行为。

基于异常行为进行检测

通过容器进程行为、文件行为、网络行为的监控/学习，建立容器行为模型，分析异常偏离行为， 发现未知入侵威胁。

五、合规基线

德迅蜂巢构建基于CIS Benchmark的最佳安全操作实践检查，帮助企业实施和完善容器合规规范，可实现一键自动化检测，并提供可视化基线检查结果和代码级修复建议。

• CIS标准

• 一键自动化检测

• 基线定制开发

• 代码级修复建议

一键任务化检测，基线检查结果可视化呈现

用户可快捷创建基线扫描任务，根据检测需要，自行选择需要扫描的容器和基线，基线检查结果可视化呈现。

基于Docker基线多维检查

根据CIS Benchmark最佳实践方案，从运行时容器、镜像、主机三个维度，对各类容器配置问题进行检查

基于Kubernetes基线多节点检查

根据CIS Benchmark的规范，定时对k8s的master节点、worker节点进行基线检查。扫描完成后，即可查看每个扫描详情以及扫描结果