如何釋放云原生的“彈性”優勢

喬高馳

根據云原生計算基金會（CNCF）對云原生概念的定義，云原生是讓應用更有彈性、容錯性、觀測性的基礎技術，讓應用更容易部署、管理基礎軟件，讓應用更容易編寫、編排運行框架等。

面對當前云計算、5G、大數據等新型技術的發展，云原生技術的落地，使千行百業用戶在單一或多種云環境中更具彈性擴展的優勢，上了云的用戶能更加靈敏地在云上“沖浪”。

可以說，“云原生”3個字本身就飽含了用戶對其寄托的使命：讓軟件在誕生之際就從云端出發，在遵循新的軟件開發、發布和運維模式等前提下，能夠最大程度地發揮云的優勢效益。

云原生的代表技術琳瑯滿目，主要包含了容器、微服務、DevOps、服務網格、聲明式API和不可變基礎設施等。容器作為微服務的最佳載體，隨著越來越多組織向微服務或者DevOps轉型，容器在計算環境中扮演了越來重要的角色。以容器為代表的云原生技術在為用戶提供較大程度的彈性拓展優勢時，也產生了一系列的問題。

層出不窮的云原生應用漏洞威脅

面對越來越蓬勃的容器云原生市場，相關組織在2021年發布的容器和Kubernetes安全態勢報告顯示，針對云原生應用的威脅已越來越多。在過去的12個月里，有94 %的組織在其容器環境中遇到過安全問題，其中69 %的組織檢測到錯誤配置，27 %的組織在運行時遇到安全事件，還有24 %的組織發現了嚴重的安全漏洞。

容器運行時階段高級威脅不絕

從縱向威脅層面上來看，由于Docker容器與宿主機共用內核，在內核層面的隔離性不足。這使得攻擊者可通過利用漏洞“逃逸”出自身擁有的權限，實現對宿主機或者宿主機上其他容器的訪問。臟牛、Docker runC等眾多漏洞都有可能成為觸發容器逃逸的一環。從橫向威脅層面上來看，攻擊者可利用被攻擊方在啟動容器時的不安全配置發起DDoS類型的攻擊。

過分占用業務系統資源

企業用戶通過堆疊多個安全Agent軟件以此應對各種安全需求，在實際環境中產生了嚴重的性能消耗，影響業務應用的正常運行。若云原生安全產品過多地搶占用戶資源而侵害了用戶業務應用的可用性，某種程度上來說，將使得安全失去意義。

總體上來說，云原生和云原生安全的出現確實為企業用戶業務系統的快速拓展提供了更加靈活的環境與方式，但帶來的問題也不容忽視。為了更好地抓住數字經濟時代下的黃金發展風口，助推業務系統快速更迭，用戶需積極應對上述問題，以便抓住云原生的優勢，搶占先機。

云甲可提供容器全生命周期安全防護。通過透明化分析鏡像容器資產信息、在鏡像倉庫和運行容器中，引入病毒檢測、異常檢測和合規掃描，截斷惡意代碼代入到運行環境，檢測防護容器自身、部署環境及運行時的安全。通過監控POD、容器流量訪問，控制惡意流量入侵、配置網絡策略，全方位保障容器云安全。

做好多重安全，阻斷高危漏洞威脅

在持續集成/部署階段的安全防護中，可針對鏡像進行漏洞風險、病毒木馬、敏感信息以及歷史記錄的風險檢查，通過特定策略阻止風險鏡像被實例化成容器。在運行環境中，可采用雙線應對運行時安全，通過靜態檢測和動態監控檢測容器運行時的已知風險和未知風險，同時對服務器進行安全合規檢查。

威脅檢測模型構建容器運行時安全

基于威脅檢測模型所構建的、基于規則的已知威脅檢測技術，以及基于行為模型的未知威脅檢測技術，賦予產品：容器Web進程監控、容器逃逸、內存馬查殺、行為模型等多種功能，以實時有效地檢測和應對高級威脅。

多種部署模式，有效解決資源占用顧慮

面對容器云越來越多的用戶環境，部署需求不盡相同。云甲采用平行容器和宿主機Agent兩套方案設計來支持容器云安全問題，包括：

平行容器部署模式

平行容器滿足更強的彈性伸縮，其利用容器的隔離性和良好的資源控制能力，在容器宿主機中部署防護容器以對主機文件系統進行實時監控和處理響應，對宿主機環境依賴小，管理方便。

宿主機Agent部署模式

實現宿主機安全、容器安全兩種防護效果，通過在宿主機部署代理程序的方式，提供基礎的安全防護能力以及容器的清點、監控、防護及響應能力。在支持宿主機防護的基礎上，可達到高效率、低損耗的效果，同時資源占用可管控，對業務影響小。

在云原生技術的帶動下，容器等為代表的云原生安全也至關重要。安全向來是環環相扣，只有做好容器全生命周期的安全防護，才能讓用戶安全無憂。作為云安全&云原生安全領域的領導廠商，安全狗旗下的容器云原生安全產品·云甲也倍受國際權威機構Gartner的認可。未來，安全狗云甲也將向更加簡單、易于用戶操作、有利于用戶業務穩定發展的方向持續演進。