云原生安全专家观察：容器云安全现状和发展趋势

2022-08-31 07:05:08容器云安全不止是容器本身的安全，还包括镜像安全、编排（如K8s）安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应，也包括对开发生成的制品进行检查，防患于未然。虽然安全左移并非新概念，但容器云的安全建设相对传统云平台的安全建设，会更注重全生命周期。

容器云技术在弹性和效率上的巨大优势，使其日益成为主流的IT基础设施。根据Gartner的预测，到2025年，云原生平台将成为95%以上的新数字化计划的基础，而云原生平台中的很大比例指的是容器云平台。伴随着容器云的建设，其安全的重要性也水涨船高，安全厂商与各企业的安全运营部门都开始在这个方向投入。

容器云安全不止是容器本身的安全，还包括镜像安全、编排（如K8s）安全、微服务安全、宿主操作系统风险等。其防御手段也不仅仅是针对运行时容器进行检测响应，也包括对开发生成的制品进行检查，防患于未然。虽然安全左移并非新概念，但容器云的安全建设相对传统云平台的安全建设，会更注重全生命周期。

容器云安全现状

据《Sysdig 2022 云原生安全和使用报告》显示，超过75%的运行容器存在高危或严重漏洞、62%的容器被检测出包含shell命令、76%的容器使用root权限运行。在我们之前接触的用户案例中，也存在不少企业的容器云允许kubelet被匿名访问，或者整个容器云平台没有任何防护措施，处于“裸奔”状态。诸多信息都表明企业的容器云存在较大安全风险，需要谨慎对待。

早在2018年，某著名车企部署在AWS上的容器集群曾遭黑客植入挖矿木马。2021年初，又有一家企业的KuberNETes集群遭攻击团伙TeamTNT入侵并植入挖矿木马。2021年4月1日，程序审计平台Codecov遭攻击，黑客利用Codecov的Docker镜像创建过程中出现的错误，非法获取脚本权限并对其进行修改，最后将信息发送到 Codecov 基础架构之外的第三方 服务器 ，影响数万名客户。

从重保的角度来看，相对往年2022年8月份举行的攻防演练（HVV）明确了容器失陷的扣分标准，每失陷一个容器扣10分。基于集群与容器的数量关系，如果整个集群被攻陷，丢分会非常严重。

由此我们可以得出结论，不管是真实的网络攻击，还是攻防演练，亦或是合规检查，容器云安全均处于重要位置，企业安全建设部门应当给予足够重视。

早期的容器云安全是缺少国内规范和标准的，厂商与用户只能参考CIS的两个Benchmark，包括K8S和Docker。但随着需求旺盛，相关机构开始组织行业专家编写相关规范，以指导相应的安全建设和产品研发。

除此之外，各个行业或企业也在根据自身特点进行标准制定。

标准规范的推出和成熟，侧面反映了其必要性和重要性，也为产品研发和用户采购指明了方向，有较强的借鉴意义，降低了行业摸索走弯路的成本。容器云安全产品应该包括哪些功能，为用户创造哪些价值变得相对比较明确。

今年RSAC创新沙盒大赛10强里面，有4家参赛企业选择了容器云安全相关领域，足以让我们感受到这个细分领域的热度。而在国内，我们看到有大约二十几家企业进入到这个赛道。其中既有奇安信、启明、绿盟这样的传统安全厂商，也有青藤这样的后起之秀，还有以小佑为典型的创业公司。笔者估计，未来会有更多的厂商参与进来。容器云安全的未来市场被看好，因此在需求还未完全释放的阶段，竞争已经提前进入了白热化。同时，竞争促使产品功能的同质化也日趋严重。

容器云安全产品探讨

作为容器云安全细分领域的老兵，笔者曾见过多家厂商的容器云安全产品，也曾亲自主导设计过某厂商的容器安全产品，后来又转到某甲方客户运营容器云安全。基于这几年的个人经验，用几个话题抛砖引玉，供大家参考。

从用户需求出发，容器云安全产品应具备的功能应至少包含 “合规检查” 、 “镜像扫描”和 “入侵检测与响应”。这是最核心的需求，也是目前所有厂商的容器云安全产品都具备的功能。

镜像扫描：由于“不可变基础设施”的特性，对容器的漏扫可以通过镜像扫描来实现，对容器的加固也需要通过镜像加固来实现。镜像扫描有一些不错的开源工具，例如Clair、Trivy，但这些开源工具的能力是不够的。一方面，扫描的深度应当细化到组件层面，与SCA功能结合起来。另一方面，扫描出来的漏洞如何管理，漏洞影响了哪些资产，哪些漏洞应该被优先修复，都是容器云安全建设中需要考虑的问题。商业产品的功能完整度上普遍较好一些，但也参差不齐。

入侵检测：入侵检测是网络安全攻防演练中最有价值的能力，但也是有难度的功能。容器云面临的攻击手段，与主机有很大相似性，例如反弹shell、账号提权都是常见方式。两者也有一定区别，因此MITRE针对容器场景单独推出了一版ATT&CK框架，用于指导容器云安全建设。但在实际做入侵检测时，大多数容器安全产品只能基于单条指令去匹配规则，而不能基于上下文联系进行综合分析，自然也无法将检测到的攻击方式映射到攻击链的具体阶段。此外，大多数容器云安全产品的入侵检测准确率也有待提升。

合规检查：合规检查是一个容易实现的功能，比产品实现更需要关注的是如何根据企业自身情况建立一套合适的容器云安全基线。在这一套安全基线中，除了包含k8s与容器，也可以考虑运行在容器云环境中的数据库安全基线和其他各类中间件安全基线。

作为2019-2021年的热点，市面上涌现了大量的零信任产品或零信任方案。而作为三大核心技术之一的微隔离，自然也不会缺席容器安全领域。基本上国内的主流容器安全产品，均提供了“微隔离”的一级菜单，其实现方式往往是通过Kubernetes自带的NetworkPolicy或者Linux自带的IPtables。作为一种技术，NetworkPolicy能提供细粒度的网络层隔离，理论上能够满足大多数场景下的配置需求。但是在实际运营中，大量的繁琐的配置工作使得该功能特性的落地非常困难。同一个业务软件的内部之间的各种通信，不同业务软件之间各种通信，都需要预先配置在白名单中。稍有不慎，便有可能因为缺少配置导致业务受影响。为了保密性而影响可用性自然是得不偿失，因此现有微隔离产品将重点放在阻断是不合适的，更适合在安全运营中推广的应该是告警模式。

第一步：以业务应用为单位，对容器的网络行为进行学习，构建网络行为模型；

第二步：在构建完成模型后，对于偏离的流量进行告警；

第三步：运维人员对告警进行排查，确认是准确告警还是误报。如果属于误报则对模型进行修正；如果是攻击事件，则进行阻断处置；

上述方案有两个优点，一是没有繁杂的配置，减少了运维人员的工作量；二是只产生告警不影响业务可用性。这个方案也存在挑战和技术难度，构建的网络行为模型如果不准确，有可能产生大量误报，使得安全运营人员疲于应对，结果仍然会弃用此特性。

容器云安全产品的部署形态，可以有四种选择，主机Agent、平行容器、sidecar容器、无Agent。

国外的容器安全产品，例如Aqua、Twistlock、Stackrox、Neuvector，多采用平行容器的部署形态。国内的安全厂商，如果原来有主机安全产品，则倾向于在主机Agent上进行扩展，一个Agent同时负责主机安全与容器安全；如果是新创业的容器安全厂商，则倾向于采用平行容器的方式聚焦容器安全。

从用户的角度，少安装一个Agent意味着少占用资源，同一个平台意味着管理成本的降低。所以大多数场景下，主机Agent的部署方式会更受欢迎。但是平行容器也有明确的支持者：

采用sidecar容器部署形态的产品会少很多，一方面是由于其资源占用较多，另一方面是由于对业务Pod存在一定的侵入性，使得该形态的安全产品在推广时面临较大阻力。如果是借助Istio这类Service Mesh技术，则必须承认当前Istio的普及程度也非常有限。

另一种比较有意思的是无Agent部署方式，Orca是其中的代表厂商，Orca的方案里，云主机上不会安装Agent，但会对云环境中的块存储进行快照，然后通过快照重建完整的“上下文”，对其进行安全扫描和分析。这个技术方案叫SideScanning，其特点如下所示。优点与缺点都非常明显，但笔者不太推荐这个方案。

总结一下，笔者认为相对主流的方案是主机Agent和平行容器两种方案。至于这两种方案之间如何选择，用户可以根据自身场景进行合理的选择。

云原生社区非常活跃，孵化了大量合规与安全类的开源项目，例如大名鼎鼎的扫描工具Clair、Trivy，集群合规检查Kube-bench、通用策略引擎OPA。在去年，红帽收购 StackRox、SUSE收购NeuVector后分别将这两款优秀的容器安全产品开源。基于此状态，容器安全产品开发的技术门槛被大大降低，参与此赛道的厂商可能会增多。一些有安全开发能力的企业也可以基于开源工具进行二次开发，从而节省采购成本。

用户选择采购商业产品，还是基于开源自研，与多种因素有关，在此不做过多探讨。但笔者建议商业产品的开发商减少对开源安全工具的依赖。开源代码加上简单封装，可以快速得到新的功能扩展，但如果没有对源代码进行详细研究，便无法避开里面的坑，无法打造真正的优秀产品。

容器云安全发展趋势

随着需求的持续增长，竞争的加剧，容器安全厂商需要继续优化产品。用户也会根据实际安全运营中的反馈，在容器云安全建设中进行调整。按照笔者的认知，无论是容器云安全产品，还是容器云安全建设，都有很大的进步空间。

容器云安全作为新兴交叉领域，需要的人才既要懂容器云，又要懂网络安全。因此，其学习曲线较陡峭。这也导致了人才的缺乏。无论是甲方客户还是乙方厂商，在招聘这方面的人才时都不容易。而由于容器安全人才的缺乏，使得无论用户还是供应商，在产品 PK 时很容易流于表面，比拼功能数量，而非深入测试产品的安全检测能力与性能。在产品采购后的安全运营中，追求“不出事”，而不是防御的有效性。

未来，随着越来越多人了解容器云安全，以及真实的增长的安全需求，会促使人们关注点回归问题本质——是否能检测和拦截大多数容器攻击，保护容器云上的数据安全。要实现这一目标，并不意味着功能模块的增加，而是比拼安全研发团队的沉淀。

要实现更大的进展，当前大多数容器安全产品采用的用户态进程检测是存在不足的，也许内核态的ebpf技术能够发挥作用，也许对“指令序列”的检测能够发现更细的问题，这都有待于进一步的调研和验证。

2021年，Gartner提出了新的概念CNAPP- 云原生应用保护平台。不同于容器云安全重点关注运行时安全，CNAPP覆盖了云原生应用的全生命周期，包括代码安全，软件成分分析等等。

CNAPP的提出反映了整合的理念。对于用户而言，使用统一的平台，而非零散的烟囱式工具，可以有更完整的安全视角。但这个场景可能并非适用于所有用户，因为有些用户的研发测试环境与生产环境是网络隔离的。用户在建设容器安全时，可以结合自身实际情况，选择合适的建设方案。

结束语

综上所述，容器云安全领域面临着很大挑战，同时也充满了机会。但毫无疑问，它会越来越重要，也会越来越好。欢迎感兴趣的读者共同研讨，让容器云安全未来的发展之路更加清晰。

​刘斌，清华大学工程管理硕士，中移信息云原生安全专家，信通院容器云原生安全规范主要编写者之一，云安全联盟（CSA）专家会员，曾在小佑科技担任产品总监。持有EXIN DevOps Master、PMP、CCSK、CISP、AWS SAP等各类认证，在安全产品与解决方案有超过 10 年的探索和实践。

汪照辉，中国银河证券架构师，专注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。​

C4.8锚索张拉锚头位移读数怎么填

这是锚索拉力计的介绍及使用方法，希望对您有所帮助：锚杆拉力计产品介绍 MSL系列锚杆拉力计是测定锚杆锚固力的一种检测工具，它对锚喷支护工程以及各种锚杆的研究、工程质量检验具有重大作用。 MSL系列锚杆拉力计由手动油泵、高压油管、油缸、拉杆组成，具有体积小、重量轻、携带方便、操作简单、安全等特点，广泛应用于煤炭、国防、隧道及交通运输等各种施工现场。 手动双速油泵还可单独作为输送小流量高压油的动力源。 油缸还可作千斤顶使用zmjt030。 锚杆拉力计的结构和技术指标手动双速油泵：主要由泵体、压力表、卸荷手柄、储油器、脚踏支架、加油孔、压杆等组成。 泵体内设有进、排油阀、卸荷阀等。 手动双速油泵的特点是有双柱塞组成。 当油泵工作时，双柱塞同时作功，快速输油。 当压力达到设定压力时，大柱塞吸入的油通过顺序阀返回储油器，小柱塞继续输油至额定压力。 这样既提高了效率，又减小了工作阻力。 油缸：采用空心柱塞缸形式，主要由缸体和柱塞两部分组成，所有密封均采用“O”型密封圈密封。 锚杆拉力计使用工作过程 1、检查油量逆时针方向打开手压泵的卸荷阀，使油缸中的液压油回到油泵的油筒中。 拧开油泵后端的加油孔盖，检查油量。 如果油不满，应及时补充。 （应加入L-HM32#抗磨液压油）。 2、排气液压系统刚刚连接好的时候，油管、油筒中常混有空气，为了使系统正常工作这些空气必须排掉。 排气的方法：把油泵放在比油缸稍高的地方，摇动油泵，使油缸活塞伸出，再打开放泄阀，使活塞缩回，连续几次即可。 注意：排气时不能加压。 3、工作过程首先拧下油缸和油泵上的防尘帽，用高压胶管把油缸和油泵连接起来再把压力表装上。 接着按照1、2的要求进行油量检查和排气。 然后把锚杆测力接头（拉杆）拧到锚杆末端，套上垫套，再套上油缸，使活塞端向外，然后拧紧螺母顺时针拧紧放泄阀。 上下摇动油泵上的手柄，观察油泵压力表的示数以达到所要求的数值。 注意：油泵必须摆成水平位置工作；摇动油泵时用力要均匀，不要用力过猛。 检测完毕，逆时针方向拧动放泄阀，使压力表读数降到零，再把各部件从锚杆上卸下。 锚杆拉力计注意事项本产品应使用的液压油是L-HM32#抗磨液压油，最佳使用环境为-20℃～+45℃。 严禁以酒精、甘油、刹车油、普通发动机油等作为液压油使用。 该工具的额定压力为60MPa，压力可达80 MPa。 另外，为了提高压力表的使用寿命，使用时一般不超过压力的75%。 该工具的油泵和油缸的接头部分都是承受高压的，因而要保护好接头，不要碰坏而影响密封和正常工作；也不要用扳手扳胶管上接头扣压部分，以防止扣压部分松动，而使胶管漏油报废。 应经常用干净的煤油清洗该工具的油筒及管路，以保证该工具正常工作并延长其使用寿命。 注意：不要把脏物堵在各个油路进出口上。

全球SASE网络主要特征有？

根据Gartner的定义，SASE具有四个主要特征：

一、身份驱动

不仅IP地址，而且用户和资源身份决定了网络互连的体验和访问许可级别。 服务质量，路由，应用程序风险安全控制-所有这些均由与每个网络连接关联的身份驱动。 通过这种方法，公司和公司可以为用户开发一套网络和安全策略，而不必考虑设备或地理位置，从而降低了运营支出。

二、云原生架构

SASE体系结构利用了多个关键的云功能，包括弹性，适应性，自我恢复功能和自我维护功能，以提供一个可以共享客户费用以提供最大效率并可以轻松适应新兴业务需求的平台。

三、支持所有边缘

SASE为所有公司资源（数据中心，分支机构，云资源和移动用户）创建一个网络。 例如，软件定义的广域网（SD-WAN）设备支持物理边缘，而移动客户端和无客户端浏览器则通过连接来徘徊的用户。

四、全球分布

为确保所有网络和安全性功能随处可用，并为所有边缘提供最佳体验，SASE云必须全局分布. 因此，Gartner指出，它必须扩大覆盖范围，并向企业边缘提供低延迟服务。

最终，SASE体系结构的目标是使实现安全的云环境变得更加容易。 SASE提供了放弃传统方法和将SD-WAN设备，防火墙，IPS设备以及各种其他网络和安全解决方案组合在一起的做法的设计理念。 SASE用安全的全球SD-WAN服务取代了难以管理的技术大杂烩。

QQ自由幻想里83ZS在五行里应该怎么打

五行副本，一个为迎接新法宝而特设的副本，它吸引了千千万万的FFO朋友们为之而奋斗，为之而努力。 这个副本，将真正实现通过努力才能获取成功的游戏激情，更对许多游戏朋友的团队组合以及个人操作都提出了新的要求。 作为FFO占绝大部分比例的普通玩家，我们关心的是如何用最保守的打法，即普通的队伍配置就可以轻松成功过关，小记就将自己的亲身体验整理出来，请看：我们采用的是每个职业各配一名成员，即剑客、战士、刺客、药师、术士各一名而组成的队伍。 因为五行副本属于一个倒计时的副本，他将一共允许成员在此副本里面攻打15分钟，如超出时间未完成，任务将失败，队伍成员将全部被传送出去。 如何在有限的时间发挥最大的威力，就是我们选择五职业小队的真正原因了，每个职业都将最大限度发挥在队伍中的作用。 进入副本后抓紧时间，将由队伍中的成员将每个阵的小怪拉出一只（胜任这一角色的一般是神出鬼没的刺客或者血牛战士）。 首先拉木阵，然后按照顺时针方向拉，木阵、火阵、土阵、金阵、水阵。 按照顺时针方向拉是通过经验总结而得来的真理，小记在这里先卖个关子，当你打完一圈并在小龙那里拿到状态后，你即可明白其中道理了。 OK，我们选择了让CK拉走第一个木阵的怪。 其余四个人便开始各自使起全身的法力，将木阵的怪一举攻打。 一般情况下，队伍配合得好，剑客全力吼住，毫无悬念，很轻松就可以清掉这阵里面的怪。 然后按照顺时针方向去打火阵，用同样的方法，剑客吼住，其余三人狂虐怪物。 与此同时，CK要将5个阵的小怪拉到一个安全的地方卡住，确保其余四人的安全。 火阵清完后，去打土阵。 土阵其实是最容易的，怪物的防御特低，配合好几乎没几下，就死光光了。 接下来便是赶紧打金阵。 金阵的怪，让法系打起来有些费劲，这点雷同于曾经的FO中药师打不动魔系怪物一样。 而金阵后面的水阵，法系打起来也有些累。 这两个阵，即金阵和水阵物理系打起来会很容易。 至此，紧密配合好后，第一轮便打完。 再回到木阵，等待刷新，再进行这样一轮的清怪操作，当打完水阵后，我们便可以去清小龙，在小龙这里可以得到一个金状态。 小龙出现后，CK即可以下封印，因为小龙会有很强大的群攻击；如果队伍里没有CK，我们要注意观察好小龙出现状态后附近的石头，攻击会得到几秒的无敌状态。 杀掉小龙后，再回到起点木阵处，同时刚拉走怪物的人可以将之前拉走的5只怪拉到水阵再跑回来。 继续照上面的方法清到水阵的时候，将这些怪全部清掉，每个阵即可以出现BOSS。 杀BOSS的时候，有CK会安全许多，队员不会被轻易定身，紧密配合将会轻松杀掉BOSS。 杀BOSS掉后即可以得到一种状态，得到状态便可以去相克阵（五行相克：金克木、木克土、土克水、水克火、火克金）杀怪了。 一般会有3波小怪，1个小龙，2-3个BOSS，基本可以得到300+的碎片哦！此攻略对队伍配置要求并不高，只需配合默契，紧密团结就可以轻轻松松拿下碎片，并且照此效率来看，应该不出一个星期就会拿到五行法宝哦！