近日,國際權(quán)威咨詢機構(gòu)IDC發(fā)布了《PRC SDC Software Market Overview, 2019H2/2019》報告。報告顯示,華為云容器軟件市場份額位居國內(nèi)廠商第一。除杰出的市場表現(xiàn),華為云容器優(yōu)異的技術(shù)特別是安全性再次成為焦點。其實早在去年9月,全球權(quán)威咨詢機構(gòu)Forrester發(fā)布的報告就指出,華為云容器有“強大的安全和應(yīng)用生命周期管理能力”,“安全能力覆蓋面很廣”。
一、容器安全為何如此重要?
為何測評機構(gòu)如此看重容器的安全性,將其作為衡量容器產(chǎn)品最重要的競爭力之一呢?
容器,本質(zhì)是將操作系統(tǒng)、應(yīng)用等資源(也叫宿主機)虛擬化出相互隔離的獨立單元,是某個容器鏡像的一個實現(xiàn)。
容器“麻雀雖小五臟俱全”,可以用于業(yè)務(wù)的開發(fā)、交付和部署等。容器鏡像則是輕量的軟件包 ,包含開發(fā)、交付和部署等所需的代碼、運行環(huán)境、系統(tǒng)工具、系統(tǒng)庫和設(shè)置等??梢姡萜骺梢杂酶俚馁Y源來實現(xiàn)更豐富的功能。
但與所有新技術(shù)一樣,容器也面臨新的安全挑戰(zhàn):一旦某個容器被攻陷,就會導(dǎo)致同在一個宿主機上的其它容器也面臨被攻陷的風(fēng)險(也即“容器逃逸”),并由此導(dǎo)致更多的安全問題:
1.容器本身也是軟件,不安全的鏡像會導(dǎo)致容器被攻擊。
2.傳統(tǒng)的主機間防火墻規(guī)則不適用于容器。
3.安全隔離面更小,核心模塊更易被直接攻擊,危及整個系統(tǒng)的安全。
4.容器運行在某個具體的容器集群環(huán)境中,環(huán)境相關(guān)的系統(tǒng)、應(yīng)用和網(wǎng)絡(luò)都要進行安全加固、檢測和防護。
二、華為云全球首發(fā)容器安全服務(wù)
華為云在設(shè)計容器之初就考慮和妥善解決了這些可能影響用戶使用的安全問題,并于2018年8月全球首發(fā)了容器安全服務(wù)(Container Guard Service,CGS),從容器集群安全、鏡像構(gòu)建安全(Build)、鏡像倉庫安全(Ship)、鏡像運行安全(Run)保障容器全生命周期安全。CGS主要功能包括:
1.保障容器集群安全
容器集群包括容器運行的某個宿主機和宿主機的管理節(jié)點。華為云采用了宿主機系統(tǒng)漏洞檢測修復(fù)、集群組件安全加固、網(wǎng)絡(luò)隔離、租戶資源隔離、資源訪問控制等措施,保障容器集群的安全。
2.實時安全檢測防止容器逃逸
首先,CGS可對容器進行細粒度的租戶隔離,防止租戶間相關(guān)攻擊和資源濫用;其次,CGS可對異常行為進行檢測和關(guān)聯(lián)分析,準確發(fā)現(xiàn)和阻斷shocker攻擊、進程提權(quán)、DirtyCow和文件暴力破解等攻擊,及早規(guī)避容器逃逸。
3.安全掃描保障鏡像安全運行
CGS對官方鏡像進行定時漏洞掃描,幫助用戶在制作鏡像前進行漏洞修復(fù)。在容器的構(gòu)建階段,CGS即可掃描鏡像編碼的安全問題。在容器分發(fā)階段,CGS會持續(xù)對鏡像進行安全掃描,發(fā)現(xiàn)可能存在的漏洞和風(fēng)險,并給出修復(fù)和調(diào)整意見。
4.自定義運行時的安全策略
在容器運行的時候,CGS可通過惡意程序庫,有效檢測挖礦、勒索病毒等惡意程序;用戶可設(shè)置安全策略對某些安全漏洞和風(fēng)險進行攔截和告警,也可設(shè)置進程白名單,有效阻止異常進程、提權(quán)攻擊、違規(guī)操作等風(fēng)險;文件只讀保護功能能鎖定和保護關(guān)鍵文件,避免被篡改。
總之,通過以上一系列安全措施,華為云讓用戶更加安心地使用容器。
責任編輯:gt
-
華為
+關(guān)注
關(guān)注
216文章
34511瀏覽量
252383 -
操作系統(tǒng)
+關(guān)注
關(guān)注
37文章
6862瀏覽量
123513
發(fā)布評論請先 登錄
相關(guān)推薦
評論