０引言容器技術發展歷史長達20年，經歷了從Unixchroot、FreeBSDJails、LinuxVServer、SolarisContainers、OpenVZ、ProcessContainers、LXC、Warden、LMCTFY、Docker、Rocket、WindowsContainers的發展過程，逐漸開始成熟。隨著云計算技術的發展，容器云技術的使用也越來越廣泛，越來越多的企業機構開始采用容器作為新的IT基礎設施。容器技術逐步發展成以Kubernetes容器管理調度框架和Docker容器管理器為核心的容器云技術生態。圖1容器云技術生態開源容器云技術生態主要圍繞Kubernetes，構建容器管理、容器編排調度、容器網絡管理、容器存儲管理、容器鏡像管理等能力。Kubernetes提供了標準的接口，主要包括容器運行時接口CRI、容器網絡接口CNI、容器存儲接口CSI，以及API接口，其他開源組件按照對應接口與Kubernetes對接；同時，Kubernetes形成了可擴展的開發框架，可以基于該框架開發自定義的功能和接口。１容器云安全現狀概述1.1容器云安全標準規范1.1.1國外標準規范美國國家標準與技術研究院（NationalInstituteofStandardsandTechnology,NIST）發布了《NIST.SP.800—190應用容器安全指南》。該指南總結概括了容器使用過程中存在的安全問題，并對這些問題提供了針對性的對策和建議。容器安全問題主要包括：①容器鏡像風險：可能存在安全漏洞、鏡像配置缺陷、惡意軟件植入、未信任鏡像及明文存儲的風險；②容器鏡像倉庫風險：包括與鏡像倉庫的連接不安全、鏡像倉庫中的鏡像過時和不完備的認證機制；③容器編排工具風險：包括管理訪問權限不受限制、未經授權的訪問、容器間網絡流量隔離效果差、混合不同敏感級別的工作負載、編排節點的可信問題；⑤容器實例風險：包括運行時軟件中的漏洞、容器的網絡訪問不受限制、容器運行時配置不安全、流氓容器；⑥容器主機操作系統風險：包括攻擊面大、共享內核、主機操作系統組件漏洞、用戶訪問權限不當、篡改主機操作系統文件的文件系統。為了應對上述風險，《NIST.SP.800-190應用容器安全指南》中提出容器的安全防護應該覆蓋整個容器的生命周期，即容器的構建、分發和運行三個階段，才能確保持續的安全性。因此：①需要確保容器構建的安全；②需要確保容器鏡像分發的安全；③需要確保容器運行的安全。由此可見，《NIST.SP.800—190應用容器安全指南》主要針對容器技術本身，沒有綜合考慮容器云環境系統性、體系化的安全防護能力要求。1.1.2國內標準規范目前，國內容器云安全仍處于研究和探索階段，一些研究機構、云廠商和安全廠商，提出容器安全白皮書，主要圍繞容器脆弱性、安全威脅闡述了容器云的安全風險，并從容器服務、主機、鏡像、網絡、運行、編排多個方面提出安全防護思路和方法。個別安全廠商推出了容器安全解決方案，從容器安全風險出發，圍繞容器構建、分發、運行對容器進行安全防護，沒有體系化考慮容器云安全防護體系架構。1.2容器云安全應用實踐1.2.1DoD企業級DevSecOpsDoD企業級DevSecOps將云廠商、安全廠商和應用廠商聯合起來，圍繞應用系統設計、編碼、編譯、打包、發布、部署、測試、上線、運營等從開發到運維，提供全生命周期的安全防護。DoD企業級DevSecOps充分利用開源和業界的成熟產品，比如紅帽的企業級容器平臺OpenShift。1.2.2綠盟容器安全解決方案綠盟星云實驗室提出的容器安全解決方案，支持容器鏡像和倉庫的漏洞掃描，異常行為檢測，訪問控制等功能，實現了從容器鏡像構建到運行的防護。1.2.3安全狗云甲容器自適應安全管理系統安全狗云甲容器自適應安全管理系統，采用機器學習、智能檢測等新技術對容器生命周期進行自適應安全防護和統一管理，滿足用戶對容器相關資產的可視化管理、安全事件分析、合規檢測等容器安全管理需求。1.2.4青藤蜂巢容器安全產品青藤蜂巢容器安全產品，采用Agent-Server技術架構，針對漏洞、不安全配置、入侵攻擊，結合安全策略，提供覆蓋容器生命周期的、持續性安全防護。1.2.5華為容器安全服務華為容器安全服務，能夠掃描鏡像中的漏洞與配置信息，幫助用戶解決傳統安全軟件無法感知的容器環境問題，同時提供容器進程白名單、文件只讀保護和容器逃逸檢測功能，能有效防止容器運行時安全風險事件的發生。總的來看，當前容器云安全防護系統都僅圍繞局部的容器安全風險進行安全防護，沒有針對容器云安全風險進行全面分析和綜合防護。２容器云安全風險分析現有容器云的安全配置規范應用情況不理想，在生產環境中未落實，全球有大量的容器云和容器實例暴露于互聯網，攻擊者可利用容器云脆弱性發起攻擊，一旦攻陷，將會對生產環境產生巨大的安全威脅。因此，需要針對典型容器云平臺環境，進行全面、系統性的安全風險分析，進而體系性設計容器云安全防護體系。2.1容器云攻擊路徑分析典型容器云部署模式、形態、角色多樣化，主要部署模式分為：①裸金屬部署；②私有云部署；③公有云部署；主要部署形態為直接部署于裸金屬服務器和云主機（虛擬機）；主要部署角色有管理節點、計算節點、存儲節點。因此，典型容器云的攻擊路徑如圖2所示。圖2容器云攻擊路徑分析通常，針對容器云的攻擊主要是由外部惡意用戶和內部惡意管理員從網絡側發起攻擊，攻擊對象主要包括：①容器化微服務網絡攻擊：潛在攻擊者通過高級可持續攻擊（AdvancedPersistentThreat，APT）等方式攻擊容器中的應用程序，并利用應用程序漏洞或者容器權限，執行服務破壞、惡意操作、數據竊取或進行橫向擴展。②容器云組件漏洞攻擊：潛在攻擊者獲取容器權限后，通過容器與容器編排組件的脆弱性，越權逃逸，進入云服務提供商所使用的虛擬機實例或宿主機操作系統，隨后進一步攻擊虛擬機監視器進而控制云平臺底層資源并進行橫向擴展。③容器鏡像倉庫攻擊：潛在攻擊者通過攻擊容器鏡像倉庫，可以篡改容器鏡像，在容器鏡像中植入惡意代碼，用戶使用帶有惡意代碼的容器并運行后，攻擊者利用惡意代碼執行惡意操作。④界面、API接口缺陷：已獲取容器云權限的攻擊者和惡意管理員通過容器云提供的控制臺或開放式API，利用控制臺應用漏洞或API漏洞訪問，對容器云平臺業務、運維和管理連接的內部網絡進行攻擊，進而隨意橫向擴展攻擊其他容器和組件。⑤硬件管理接口缺陷：潛在攻擊者通過裸金屬服務開放的管理接口存在的漏洞和缺陷，控制服務器底層硬件，并進一步利用管理網絡橫向擴展，作為跳板攻擊云管理、服務器管理、網絡管理和存儲管理，癱瘓整個容器云基礎設施。2.2容器云安全漏洞分析2.2.1容器云安全漏洞統計截至2020年10月，容器云各關鍵組件漏洞統計分型情況如圖5所示，其中Docker相關的漏洞共81個，在漏洞數量上并沒有明顯減少的趨勢，一旦黑客突破Docker，如容器逃逸，將會對主機造成巨大威脅；Kubernetes的安全對整個項目的安全生產運行是一個重要保障，Kubernetes相關的漏洞共65個，主要的漏洞類型包括：敏感數據泄露、拒絕服務、弱校驗、非法提權等；etcd有輕量級、簡單、高效等優勢，但其安全性也同樣值得關注，etcd相關的漏洞共7個；Istio是連接、加固、控制和觀察微服務的開放平臺，具備負載均衡、服務到服務的認證、監控等功能，解決微服務治理中的諸多難題，相關的漏洞共9個。容器各關鍵組件高危漏洞分型統計情況如圖3所示。圖3容器關鍵組件高危漏洞分型統計除容器云組件漏洞頻發外，容器鏡像安全形勢也十分嚴峻，在用戶的生產環境中，有40%的鏡像來源于公開的鏡像倉庫，鏡像的漏洞問題依然十分突出，對生產環境中的鏡像漏洞掃描通過率僅為48%。2.2.2容器云安全漏洞趨勢圖4容器關鍵組件歷年漏洞數量走勢近年來，隨著容器云廣泛應用，容器云安全漏洞頻繁被發現，呈逐年上升趨勢（統計趨勢如圖4所示），漏洞影響越來越嚴重。如果沒有及時、有效的防范，攻擊者利用這些漏洞，可輕易對容器云基礎設施造成致命攻擊。2.3容器云安全事件分析2017年1月，IBM將私鑰泄露到了公有主機環境上，這會將訪問托管容器底層主機的root訪問權授予普通云服務用戶，使底層云平臺的信息安全面臨巨大威脅。2019年4月，DockerHub遭受非法入侵，已導致19萬個賬號的敏感數據被泄露，這些數據包括小部分用戶的用戶名和哈希密碼，以及用于自動構建Docker鏡像而授權給DockerHub的GitHub和Bitbuckettoken。一旦容器云沒有實施全面有效的安全防護，黑客可利用漏洞攻擊容器云上的服務，或可進一步利用容器云漏洞，直接訪問容器云上的敏感信息，獲取服務器特權，對容器云進行修改并最終完全控制服務器，造成惡劣影響和重大損失。所以必須綜合考慮容器云環境下的Docker、Kubernetes、etcd、Istio等組件的整體安全性，分析研究它們的漏洞特征，進而才能構建一條完整防線。2.4容器云安全風險總結綜上所述，容器云的安全風險亟需解決，應從容器云攻擊路徑和脆弱性，基于縱深防御思想，設計全面、有效的容器云安全防護體系，圍繞容器云各個組件、各個環節建立多種、多層防御機制，封堵容器云的攻擊途徑。３容器云安全防護體系設計針對容器云安全風險，對容器云安全能力提出要求，進而依據安全要求設計具有針對性的容器云安全防護體系是解決容器云安全風險的有效措施。3.1容器云安全能力要求為應對容器云安全風險，容器平臺應具備以下能力要求：3.1.1容器主機安全能力要求主機操作系統應遵循最小化安裝原則；應定期進行漏洞掃描，及時安裝補丁程序；主機操作系統的敏感數據應加密存儲；應具備入侵檢測、主機安全認證、主機權限管控的能力；應支持國產化軟硬件平臺。3.1.2容器鏡像安全能力要求應具備容器鏡像加密保護和防篡改的能力；應具備策略管理功能對鏡像進行安全管理的能力。3.1.3容器管理器安全能力要求應具備安全組件服務分布式部署和安全策略管理統一配置管理能力；應具備云內資源可管、可控、可視的能力；應具備容器組件、鏡像、實例可信的能力；應具備云資源的監控并對關鍵指標進行告警的能力。3.1.4容器網絡安全能力要求應具備容器全鏈路數據加密傳輸及網絡通信安全的能力；應具備防火墻級別數據包過濾和狀態監測的能力；應具備容器間網絡隔離、流量控制、訪問控制的能力；應具備全容器間可視化網絡監控的能力。3.1.5容器存儲安全能力要求應具備保證數據完整性、機密性、可用性的能力；應具備保證容器存儲數據高可用的能力；應具備根據密級不同進行針對性保護的能力。3.1.6容器編排安全能力要求應具備資源按需分配、彈性伸縮合法性檢測的能力；應具備良好的災難備份與應急響應能力。3.1.7容器倉庫安全能力要求應具備對開發者所供鏡像具有審核機制的能力；應具備對容器倉庫所有鏡像驗證其可信的能力；應具備容器鏡像加密存儲的能力。3.1.8容器平臺管控能力要求應具備容器云資源統一身份認證能力；應具備對虛擬資產安全管理的的能力；應具備身份認證及管理分權的能力；應具備操作審計能力。3.1.9容器云風險感知和處置能力要求應具備容器云安全監管、安全態勢監測、安全風險預警的能力。3.2容器云安全防護體系總體設計思想容器云安全防護體系基于縱深防御思想，借鑒自適應安全模型、可信計算安全框架、零信任安全模型、隱私計算安全模型，融合多種安全防御手段和機制，從認證鑒權、運行環境、安全執行多個維度構建可信空間，建立“預測-檢測-防御-響應”的安全閉環和主動防御能力。3.3容器云安全防護體系架構設計容器云安全防護與傳統安全防護主要的區別在于防護邊界消失和虛擬資源的動態捷變。容器云安全防護體系有內置式、插拔式和外掛式安全防護三個維度，如圖5所示。圖5容器云安全防護體系架構設計內置式安全防護將安全機制融入容器云平臺各個組件中，與容器云融為一體，不可繞過；插拔式安全防護將安全能力以插件方式對容器云部分組件進行替換，建立安全防護能力；外掛式安全防護通過松耦合的方式對容器云進行安全防護。容器云安全防護體系基于這三個安全防護維度，由內而外全面防御，設計7類容器安全防護系統，包括：內在安全容器平臺、容器平臺安全運行服務保障系統、容器平臺服務安全治理系統、容器平臺統一安全審計系統、容器平臺統一安全信任系統、容器平臺統一安全管控系統、容器平臺統一監測預警系統。內在安全容器平臺基于密碼基礎設施和信任基礎設施，建立計算和安全并行運行的雙體系，提供高安全的容器服務運行支撐環境；容器平臺安全運行服務保障系統基于IntelSGX、AMDSEV、ARMTrustZone等硬件輔助安全能力構建可信執行環境，保護云服務和數據服務；容器平臺服務安全治理系統基于服務網格技術，融合密碼保護、身份認證和訪問控制，構建微服務間端到端安全防護能力；容器平臺統一安全審計系統對容器云人員、操作、行為進行全方位安全審計；容器平臺統一安全信任系統基于物理硬件身份為容器云中的人員、節點、容器等對象提供可信保障；容器平臺統一安全管控系統站在第三方角度對容器云資產、資源狀態、合規性等進行安全監管；容器平臺統一監測預警系統通過數據采集，感知容器云安全態勢，預測容器云安全趨勢，對容器云安全事件和風險進行預警。４結語

容器云技術正蓬勃發展，趨于成熟，信息系統軟件設計模型趨向于微服務架構和容器化部署，越來越多的信息系統發布