1 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 本文档著作权归腾讯云计算(北京)有限责任公司(以下简称“腾讯云”)单独所有，未经腾讯云 事先书面许可，任何主体不得以任何方式或理由使用本文档，包括但不限于复制、修改、传播、 公开、剽窃全部或部分本文档内容。 本文档及其所含内容均属腾讯云内部资料，并且仅供腾讯云指定的主体查看。如果您非经腾讯 云授权而获得本文档的全部或部分内容，敬请予以删除，切勿以复制、披露、传播等任何方式 使用本文档或其任何内容，亦请切勿依本文档或其任何内容而采取任何行动。版权声明 本文档旨在向客户介绍本文档撰写时，腾讯云相关产品、服务的当时的整体概况，部分产品或 服务在后续可能因技术调整或项目设计等任何原因，导致其服务内容、标准等有所调整。 因此， 本文档仅供参考，腾讯云不对其准确性、适用性或完整性等做任何保证。您所购买、使用的腾 讯云产品、服务的种类、内容、服务标准等，应以您和腾讯云之间签署的合同约定为准，除非 双方另有约定，否则，腾讯云对本文档内容不做任何明示或默示的承诺或保证。 免责声明 “腾讯”、“腾讯云”及其它腾讯云服务相关的商标、标识等均为腾讯云及其关联公司各自所有。 若本文档涉及第三方主体的商标，则应依法由其权利人所有。商标声明目录 Contents 01. 概述 02. 容器面临的安全威胁和挑战 03. 容器安全的行业现状 3.2. 当前容器环境面临的主要安全问题13 1706 1.1 概述 2.1 容器面临的安全威胁 2.2 容器安全的挑战09 11 3.1 用户视角下的容器安全 3.1.1. 混合云是用户部署容器业务的主要选择 3.1.2. 提前规避业务风险是用户关注容器安全的主要原因 3.1.3. 容器逃逸是用户最关注的容器安全问题 3.1.4 容器安全能力已有不同程度落地应用，但总体比例不高 3.1.5 技术门槛高是影响容器安全落地部署的主要因素 3.2.1. 镜像安全问题仍然突出 3.2.2. 容器逃逸是线上容器业务面临最多的风险 3.2.3. 针对容器的在野攻击数量巨大 3.2.4 安全配置的合规性仍不乐观 3.2.5 安全管理和运营难度大 3.2.6 多种复杂因素影响着容器安全的落地 14 14 15 16 16 17 18 19 20 20 2004. 腾讯云容器安全体系 05. 全面的可观测性 06. 容器安全管理和运营 07. 总结4.1. 容器安全体系设计四大原则 5.1. 日志服务 5.2. 监控服务 5.3. 追踪服务 7.1. 总结6.1. 资产组件管理 6.2. 密钥管理 6.3. 安全策略管理 6.4. 漏洞管理4.2. 全方位层次化的容器安全体系框架22 32 33 34 3937 37 37 3724 23 23 23 24 25 25 29 4.1.1. 安全能力原生化 4.1.2. 安全左移 4.1.3. 零信任架构 4.1.4 安全防护全生命周期 4.2.1. 容器基础设施安全 4.2.2. 容器基础架构安全 4.2.3. 容器应用安全5 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 概述 Overview6 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 近年来，云计算的模式逐渐被认可和接受，但总体而言，当前企业上云更多只是基础设施形态的改变，在上云 的实践中，传统应用升级缓慢、架构臃肿、无法快速迭代等问题逐渐的显现出来，云原生的概念便应运而生。 云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性，解决业务在开发、集成、分发和运行等整个 生命周期中遇到的问题。尤其是随着“新基建”的加速布局，以及企业数字化转型的逐步深入，云原生以其高效 稳定、快速响应等特点极大的释放了云计算效能，成为企业数字业务应用创新的原动力，有效推动了国民经济 的高质量发展。 对于云原生，CNCF 给出了相对标准的定义：云原生技术有利于各组织在公有云、私有云和混合云等新型动态 环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和 声明式 API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原 生技术使工程师能够轻松的对系统作出频繁和可预测的重大变更。 在实现云原生的主要技术中，容器作为支撑应用运行的重要载体，为应用的运行提供了隔离和封装，成为云原 生应用的基础设施底座，近年来被广泛的认可和应用。根据《中国云原生用户调查报告（2020）》[1]显示， 60% 以上用户已在生产环境中应用容器技术。 然而一次次安全事件的曝光，不管是特斯拉在亚马逊上的 Kubernetes 集群被入侵，还是 Docker Hub 频繁被 爆含有漏洞和恶意程序的镜像，让用户在享受云原生红利的同时，产生了极大的安全担忧。 《中国云原生用户调查报告（2020）》显示，容器的安全问题已成为用户应用云原生的最大担忧，其中 63% 的用户认为容器安全是紧迫的需求。容器的安全与否，将直接影响着整个云原生系统的安全性。相关组织在 2021 年发布的容器和 Kubernetes 安全态势报告中同样指出[2]，在过去一年时间中，有 94％的组织在其容器 环境中遇到安全问题，其中 69% 检测到错误配置、27% 在运行时遇到安全事故、还有 24% 发现了严重的安 全漏洞。 当前，腾讯云原生产品体系和架构已非常完善，涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、 安全等五大领域的多个场景。依托这些云原生产品，正在为不同行业、不同规模和不同发展阶段的数十万家客 户提供云原生服务。 [2] https://www.redhat.com/en/resources/kubernetes-adoption-security-market-trends-2021-overview [1] http://www.caict.ac.cn/kxyj/qwfb/ztbg/202010/t20201021_360375.htm概述1.17 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 图 1.1 腾讯云原生产品矩阵 腾讯云依托在云原生以及安全方向的持续投入、积累和沉淀，一直致力于在云原生领域为用户提供更全面、更 稳定、更安全的云原生服务。在云原生产品的设计和实现之初，就充分融入了安全性的设计和考虑，使我们的 云原生系统天然具备安全特性，使安全成为像计算、存储、网络一样的基础能力，助力用户实现应用系统的云 原生化，并且持续的保障其安全稳定的运行。 基于腾讯多年对安全攻防技术的研究积累，持续在安全能力上的沉淀，以及对云原生安全领域的研究和实践运 营，同时结合腾讯云容器平台TKE千万级核心规模容器集群治理经验，我们撰写并发布本白皮书。白皮书全 面介绍了腾讯云在云原生容器安全建设上的思路、方案以及实践，并希望以这样的方式，把我们的一些心得分 享给业界，共同推动云原生安全的发展。8 概 述 Overview 腾讯云容器安全白皮书 Container Security Whitepaper of Tencent Cloud 容器面临的 安全威胁 和挑战 Security Threats And Challenges To Containers