容器云平台的云原生安全标准与设计

1、 容器云平台的云原生安全标准与设计 万物互联时代，企业正在面临着日益严峻的网络安全风险，不断升级的网络攻击、数据泄漏等安全挑战。企业需要满足数字化转型的期望，实现快速交付和扩大数字业务增长的成功需求。企业 扩展数字化业务时，需要不断投资并引入容器、微服务架构等云原生技术，构建崭新的数字平台，并制定相应的数字发展战略，帮助企业加速数字化创新，以保持竞争中的领先地位。云原生应用作为数字业务应用的最佳载体，伴随着企业数字化转型，被越来越多的企业用户所接受。企业基于云原生技术构建自己的智能混合云数字平台，保持企业在数字经济时代的创新竞争力。容器技术具有行业标准、灵活与轻量的特性，支持微服务架构，提高开

2、发运维效率，实现数字业务应用的快速迭代，并能够在异构的云基础设施之间轻松迁移。Gartner 最终用户调查研究显示，中国用户对容器技术的热情高于世界其它市场。汽车、金融、制造、媒体、零售等很多企业都已经将容器运行在了生产环境。通过本章节的学习，能够快速了解在当前容器云平台已经运行的情况下需要遵循的云原生安全标准与设计。*因课程内容体量大，此处提供部分试读，全文内容可参考上面的目录，感兴趣可以直接下载全文，该系列15个课程系列全部开放免费学习1 容器云平台安全合规标准1.1 安全标准总览1.1.1 标准简述本标准为最终用户提供了一个完善的云原生安全能力体系，涵盖了基于云原生应用的开发、测试、运维

3、，到生产环境运行时的全生命周期的安全标准。本标准参考了知名咨询公司Gartner的容器安全研究报告中总结的容器安全控制体系。1.1.2 Gartner标准Gartner建议组织将基于风险的安全管控应用于容器安全架构、微服务架构或CI/CD流水线。例如，如果某些微服务应用不太重要，因它们不处理敏感数据或不暴露给不受信任的各方，需要少量的控制。具有非常关键业务功能和数据的应用可能会使用更多的安全管控。如果使用公有云服务，其中更多的安全责任应由云服务提供商（CSP）承担，不会受到客户的影响。上图说明控件分为三类：Foundation controls基础控制：这个层级是最终用户始终关注且需要的安全基

4、础，是可以广泛访问的控制。例如，可以在GitHub上使用基于CIS基准的主机强化脚本。这些可以是容器主机OS或轻量级Linux发行版的一部分，这些发行版旨在使托管容器尽可能简单高效，例如Red Hat Enterprise Linux Atomic Host或CoreOS。例如，可以在Docker企业版（EE）中作为K8S或AWS的一部分（产品称为AWS Secrets Manager)或作为专用产品（例如HashiCorp Vault）使用密钥管理。并非所有实现都具有相同的安全级别。 例如，低于1.7的K8s版本会将您所有的机密存储在明文文件中。Basic controls基本控制：这层是安

5、全控制和体系架构，是操作容器和基于微服务架构应用的最佳实践。Risk-based controls基于风险的控制：这些是基于结构化风险评估结果而配置的控制。例如，漏洞管理和配置管理对于运行持久性单体组件（例如MongoDB）的容器更为重要。它们通常由重量级的Linux分发镜像组成，这些镜像的攻击面比运行良好的微服务容器的攻击面大得多。另一个示例是可变的基础结构，而不是不变的，即使在基础结构自动化中也是如此。尽管有些反模式，但许多最终客户已经实现了不可变的基础架构，但是与建立新镜像和重新部署相比，他们发现更容易将SSH插入实例并进行修复。1.2 构建、集成、部署预备安全1.2.1 镜像安全标准标

6、准：镜像是应用交付标准，在应用开发阶段，对镜像进行安全漏洞扫描，可以有效减少应用漏洞攻击面，提高应用安全级别。能力要求： 支持对镜像进行已知漏洞的扫描功能，且能够对扫描结果进行统计分析 支持漏洞库的更新 支持对接多个漏洞库的能力1.2.2 镜像传输安全标准标准：严格控制镜像仓库的身份验证和授权限制，防止攻击者对镜像进行篡改。可通过一定技术手段发现被篡改镜像。能力要求： 支持镜像文件安全传输，如通过TLS加密等 支持镜像校验和用来保证镜像完整性，以防镜像被篡改破坏1.3 镜像仓库安全1.3.1 镜像仓库安全标准标准：镜像仓库集中存放与管理应用镜像，最终用户应对镜像仓库进行访问权限控制，防止应用镜像被恶意篡改、泄漏，或避免将高危安全隐患带入生产环境。能力要求： 支持自定义仓库访问策略以管理镜像的推送、拉取权限 企业级镜像仓库的同步能力 支持基于镜像扫描结果的镜像拉取限制，如存在高危漏洞的镜像禁止从镜像库拉取或禁止推入镜像仓库等操作1.3.2 镜像仓库访问控制标准标准：镜像仓库访问需要有权限控制，防止非授权人员访问镜像仓库，造成安全隐患。能力要求： 支持镜像访问的角色权限控制1.3.3 镜像仓库扫描管理标准标准：镜像仓库存放与管理应用镜像，对镜像进行安全漏洞扫描是最基本安全防范措施。能力要求： 支持对镜像仓库存储镜像的漏洞扫描能力