IT基礎(chǔ)設(shè)施建設(shè)的發(fā)展史告訴我們����,合久必分,分久必合��。
@1�、公有云時(shí)代:
國外AWS、國內(nèi)阿里云引領(lǐng)云計(jì)算的大潮��,很多企業(yè)都享受著公有云帶來云主機(jī)彈性售賣模式、BGP網(wǎng)絡(luò)的低延時(shí)����、OSS革命性的存儲(chǔ)備份方案等。發(fā)展一段時(shí)間后�,我們發(fā)現(xiàn)公有云的營收沒有出現(xiàn)爆炸式的增長。究其原因��,還是核心業(yè)務(wù)沒有上云���。
@2��、專有云/混合云時(shí)代:
大多數(shù)企業(yè)CTO還是希望自己的核心業(yè)務(wù)在自己的絕對(duì)控制范圍內(nèi)�����,例如:自建IDC���。非核心業(yè)務(wù)放到公有云上,公有云廠商也逐漸意識(shí)到這種情況����,如何打破�����,那為啥不用公有云出的硬件承載你IDC運(yùn)行的核心系統(tǒng)?于是�,AWS推出了Outposts,國內(nèi)公有云廠商推出了XStack專有云平臺(tái)���,取代原來以VMware為中心的虛擬化平臺(tái)���。伴隨著技術(shù)的發(fā)展,專有云平臺(tái)也慢慢得到了用戶的認(rèn)可�����,當(dāng)時(shí)上云還是被公有云SLA所詬病���。
@3���、多云管理時(shí)代:
這就是我們現(xiàn)在所處的時(shí)代,首先你的用戶認(rèn)可公有云的基礎(chǔ)架構(gòu)便捷���,穩(wěn)定性�����,其次通過多云管理的方式提升SLA���,快速部署業(yè)務(wù)系統(tǒng)等�����,本時(shí)代的重量級(jí)拳手出廠:kubernetes�。通過它運(yùn)行在公有云裸金屬服務(wù)器�、云主機(jī)上。部署工作負(fù)載��,kubernetes會(huì)通過對(duì)接公有云容器運(yùn)行時(shí)接口(CRI)����、容器網(wǎng)絡(luò)接口(CNI)和容器存儲(chǔ)接口(CSI),實(shí)現(xiàn)核心業(yè)務(wù)的高可用性���。這時(shí)候�,多云的容器安全解決方案就應(yīng)運(yùn)而生�。
0x01、容器安全
@1���、容器選型調(diào)研
容器目前主要有三種運(yùn)行時(shí)形態(tài):1���、OS容器+安全機(jī)制,2�、用戶態(tài)內(nèi)核,3�����、MicroVM���,沒有任何一種容器運(yùn)行時(shí)技術(shù)可以滿足所有場(chǎng)景的需求�,需根據(jù)業(yè)務(wù)需求合理選擇�����,其典型代表�,安全隔離方案如圖:
· OS容器+安全機(jī)制
主要原理是在傳統(tǒng) OS 容器之上增加一些輔助安全輔助手段來增加安全性,如SELinux���、AppArmor���、Seccomp等��,還有docker 19.03+可以讓Docker運(yùn)行在 Rootless 的模式之下��,其實(shí)這些都是通過輔助的工具手段來增強(qiáng)OS容器的安全性���,但依然沒有解決容器與Host共享內(nèi)核利用內(nèi)核漏洞逃逸帶來的安全隱患問題;而且這些安全訪問控制工具對(duì)管理員認(rèn)知和技能要求比較高��,安全性也相對(duì)最差��。
· 用戶態(tài)內(nèi)核
此類典型代表是 Google 的 gVisor���,通過實(shí)現(xiàn)獨(dú)立的用戶態(tài)內(nèi)核去補(bǔ)獲和代理應(yīng)用的所有系統(tǒng)調(diào)用�����,隔離非安全的系統(tǒng)調(diào)用�����,間接性達(dá)到安全目的����,它是一種進(jìn)程虛擬化增強(qiáng)���。但系統(tǒng)調(diào)用的代理和過濾的這種機(jī)制���,導(dǎo)致它的應(yīng)用兼容性以及系統(tǒng)調(diào)用方面性能相對(duì)傳統(tǒng)OS容器較差����。由于并不支持 virt-io 等虛擬框架�,擴(kuò)展性較差�,不支持設(shè)備熱插拔。
· MicroVM
我們知道業(yè)界虛擬化(機(jī))本身已經(jīng)非常的成熟���,MicroVM輕量虛擬化技術(shù)是對(duì)傳統(tǒng)虛擬化的裁剪和��,比較有代表性的就是 Kata-Containers��、Firecracker��,擴(kuò)展能力非常優(yōu)秀�����。VM GuestOS 包括內(nèi)核均可自由定制���,由于具備完整的OS和內(nèi)核它的應(yīng)用兼容性及其優(yōu)秀�����;獨(dú)立內(nèi)核的好處是即便出現(xiàn)安全漏洞問題也會(huì)把安全影響范圍限制到一個(gè) VM 里面��,當(dāng)然它也有自己的缺點(diǎn)��,Overhead 可能會(huì)略大一點(diǎn)�,啟動(dòng)速度相對(duì)較慢一點(diǎn)��。
通過以上對(duì)比�,我們發(fā)現(xiàn)目前OS容器+安全機(jī)制這種形態(tài),架構(gòu)自身的安全性最差��,隨著容器平臺(tái)自身架構(gòu)的完善����,會(huì)向其他兩種形態(tài)過度。但是很遺憾的是�����,目前絕大多數(shù)公有云租戶還是停留在level 1檔位(OS容器+安全機(jī)制)�����。這樣就需要一套完整的容器安全平臺(tái)幫助用戶提升平臺(tái)的安全性。
@2����、容器安全廠商競(jìng)品調(diào)研
作為企業(yè)持續(xù)集成/連續(xù)交付(CI / CD)過程的一部分,集成了鏡像掃描過程以防止漏洞���,在軟件開發(fā)生命周期的構(gòu)建和運(yùn)行階段對(duì)應(yīng)用程序進(jìn)行掃描�。強(qiáng)調(diào)掃描和識(shí)別開源組件�����,庫和框架���。開發(fā)人員使用較早的,易受攻擊的版本是容器漏洞
在宿主機(jī)配置�����、鏡像配置�、運(yùn)行時(shí)配置方面,需要通過使用Internet安全中心(CIS )基準(zhǔn)來加強(qiáng)配置���,該基準(zhǔn)可用于Docker運(yùn)行時(shí)和Kubernetes����。
在容器運(yùn)行時(shí)階段,提供白名單����,行為監(jiān)控和異常檢測(cè)的安全產(chǎn)品,以防止惡意活動(dòng)���。
那么國外安全廠商是如果實(shí)現(xiàn)相關(guān)的功能呢�?
@3�、多云容器安全解決方案
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
