隨着企業上雲步伐的加快,以容器、微服務及動態編排爲代表的雲原生技術爲企業的業務創新帶來了強大的推動力。然而,在容器應用環境中,由於共享操作系統內核,容器僅爲運行在宿主機上的若干進程,其安全性特別是隔離性與傳統虛擬機相比存在一定的差距。在應用容器和K8S過程中,近幾年陸續爆出大量的基於容器平臺的安全隱患,如何保障容器安全,已成爲企業最關心的問題。
7月9日,騰訊安全正式發佈騰訊雲容器安全服務產品TCSS(Tencent Container Security Service),
騰訊雲容器安全服務爲企業提供容器資產管理、鏡像安全、運行時入侵檢測等安全服務,保障容器從鏡像生成、存儲到運行時的全生命週期,幫助企業構建容器安全防護體系。
(TCSS幫助打造原生可靠的容器應用安全體系)
一、雲原生時代容器現狀
容器是雲原生的基石之一,作爲一種計算單元,在雲原生環境中直接運行於主機內核之上,具有系統資源佔用少、可大規模自動化部署以及彈性擴容能力強等優勢。另外容器化使開發過程中快速集成和快速部署成爲可能,極大地提升了應用開發和程序運行的效率。
爲此,越來越多的企業選擇在生產環境中使用容器架構,
根據《中國雲原生用戶調查報告2020》(下文簡稱《報告》)顯示,已經有6成以上的用戶在生產環境中運用了容器技術,其中43%的用戶已經將容器技術應用到非核心生產環境。
然而由於自身隔離性差,存活時間短等特徵,容器也成爲易受網絡攻擊的對象。Tripwire 2019年對311位IT安全專業人員進行了調研,發現60%的組織都遭遇過容器安全事故,《報告》數據也顯示63%的用戶認爲容器安全是緊迫需求。
二、常見的容器安全風險場景
逃逸風險
容器共享宿主機操作系統內核,隔離性方面存在缺陷,將會造成容器逃逸。容器逃逸也是容器特有的安全問題,會直接影響到底層基礎設施的安全性,主要分爲三類:第一類是配置不當引起的逃逸,比如允許掛載敏感目錄;第二類是容器本身設計的BUG,比如runC容器逃逸漏洞;第三類是內核漏洞引起的逃逸,比如dirtycow。
鏡像風險
鏡像是容器的靜態表現形式,容器運行時的安全取決於鏡像的安全。部分官方途徑或者開源社區下載的容器鏡像可能會包含各類第三方庫文件和系統應用,而這些庫和應用可能存在漏洞、木馬或者後門,因而存在較大的安全風險。
同時,容器鏡像在存儲和使用的過程中,可能被篡改,如被植入惡意程序或被修改。一旦使用被惡意篡改的鏡像創建容器後,將會影響容器和應用程序的安全。
運行環境風險
作爲容器的載體和編排管理軟件,主機和容器編排平臺等運行環境也是容器安全的重要因素之一。若宿主機存在漏洞或配置不規範、容器軟件的相關環境配置不規範或編排應用配置不規範,都將影響整個容器環境的安全性。
例如2018年特斯拉在亞馬遜上的K8s集羣被入侵,原因爲集羣控制檯沒有設置密碼保護,攻擊者入侵後在一個pod中找到AWS的訪問憑證,並憑藉這些憑證信息獲取到特斯拉敏感信息。
三、騰訊TCSS解決方案護航雲容器安全
爲了解決容器安全問題,
騰訊安全結合二十多年的網絡安全實踐經驗,推出了覆蓋容器資產管理、鏡像安全及運行時入侵檢測等功能的騰訊雲容器安全服務產品(TCSS),
通過資產管理、鏡像安全、運行時安全、安全基線四大核心能力來保障容器的全生命週期安全,幫助企業快速構建容器安全防護體系。
資產管理
TCSS容器安全服務提供自動化、細粒度資產清點功能,可快速清點出運行環境中的容器、鏡像、鏡像倉庫、主機等關鍵資產信息,幫助企業實現資產可視化。目前,TCSS資產管理模塊已支持9種資產信息統計。
(核心產品功能:資產管理)
鏡像安全
TCSS容器安全服務針對鏡像、鏡像倉庫提供“一鍵檢測“或“定時掃描”,支持安全漏洞、木馬病毒、敏感信息等多維度安全掃描。在敏感信息方面,可檢測包括root啓動、代碼泄漏、認證信息泄漏等敏感信息泄漏事件,防止敏感信息泄漏。
(核心產品功能:鏡像安全)
由騰訊自主研發的容器安全殺毒引擎和漏洞引擎,基於騰訊強大的安全數據基礎,可共享騰訊管家病毒庫和漏洞庫,同時與傳統殺毒軟件保持惡意樣本交換合作,帶來強大的安全數據檢測支持。其中,安全漏洞數據庫包含了所有CVE漏洞庫、開源和商業情報庫、騰訊安全實驗室漏洞庫;木馬病毒檢測基於騰訊雲全國百億級樣本,覆蓋海量病毒、木馬、殭屍網絡等惡意代碼樣本。
騰訊自研TAV引擎,高效查殺二進制木馬病毒,通過多個國際第三方測評機構認證,病毒檢出率達100%。強大的基礎能力和全面的合作生態,保障TCSS不斷進化,持續提供鏡像安全支持。
運行時安全
爲了保障容器運行時安全性,實現入侵行爲的即時告警與響應,需要對容器運行時的各項指標進行實時監控。騰訊雲容器安全服務運行時安全檢測功能包括容器逃逸、反彈Shell、異常進程、文件篡改、高危系統調用等多維度的入侵檢測引擎。
其中,異常進程、文件篡改、高危系統調用屬於高級防禦功能,通過豐富的系統規則和用戶自定義檢測規則,實時監控進程異常啓動行爲、違反安全策略的文件異常訪問行爲及容器內發起的可能引起安全風險的linux系統調用行爲,並實時告警通知或攔截。
(核心產品功能:運行時安全)
安全基線
基於TCSS所提供的安全基線功能,可定期對容器、鏡像、主機、Kubernetes編排環境進行安全基線檢測,幫助容器環境合規化,避免因配置缺陷引發的安全問題,減少攻擊面。
目前支持“容器、鏡像、主機、K8S”四種維度檢測,幫助客戶檢查由於容器運行環境配置不當而引發的安全問題。
四、三大優勢助力雲原生時代的基礎安全
TCSS容器安全服務採用超融合架構,支持簡易安裝,輕量部署,助力客戶免除對容器安全的擔憂,專注於自身核心業務。
TCSS嚴格限制 Agent 資源佔用,負載過高時主動降級保證系統正常運行,正常負載時消耗極低。實測表明,CPU資源佔用不到5%、30M內存。TCSS兼容CentOS、Debian、RedHat等主流操作系統,可一鍵部署,實現自動在線升級,一經安裝,終生免維護,令客戶全程無憂。
TCSS得到騰訊雲強大的情報和威脅感知能力賦能。騰訊擁有全球最大、覆蓋最全的黑灰產大數據庫,TCSS容器安全服務使用騰訊安全數據庫對容器環境發現的惡意程序樣本進行關聯分析,基於威脅情報感知容器環境威脅行爲。超過3500人的騰訊安全專家團隊專注於騰訊雲安全建設,帶來切實的實力保障。
傳統安全體系在公有云上適應性差,無法有效檢測新威脅形式,缺少自動化響應處置手段。目前,騰訊TCSS已經在多個行業展開了應用,幫助客戶克服了雲上資產種類多、數量大、不易盤點的問題,大大提升了客戶的雲上安全水平和安全運營管理效率。
在雲原生環境下,企業通過微服務來交付應用系統的比例在增加,容器安全已經成爲了雲安全不可或缺的部分。未來,騰訊安全將繼續完善容器安全一站式解決方案,推動行業構建雲原生安全生態,爲客戶的應用安全提供更全面的保護。