云原生2.0时代,容器是云原生的代表技术之一。容器的安全性是云原生企业重点关注的问题。
4月8日,第二届华为云TechWave全球技术峰会在深圳举行。以创新包容性为主题,围绕云原生、分布式云等热点话题,分享技术创新,包容各行各业。峰会上,华为云安全服务产品总监胡伟在云原生技术设施分论坛上与您分享了华为云容器生命周期安全保护计划-容器安全服务 CGS。
以华为云容器为例,具有资源效率高、资源隔离、灵活扩展、环境标准化、版本控制简化、跨平台等特点,结合会计分离、分布式部署等云本地特点,将成为云本地数据服务部署的发展趋势。
:创建容器实例比创建虚拟机实例快得多,消耗的资源比虚拟机少得多;
:每个容器相互隔离,每个容器都有自己的文件系统,容器之间的过程不会相互影响,可以区分计算资源;
:容器技术具有秒级弹性机制,华为云容器扩缩及时<5s,30秒扩容1000容器实例,可实现业务按需快速跨云弹性伸缩。
:容器占用资源少,部署快,每个应用程序都可以包装成一个容器镜像。使用容器为应用程序创建容器镜像,因为每个应用程序不需要与其他应用程序堆栈相结合,也不依赖生产环境的基本结构,从研发到测试和生产提供一致的环境;
每个镜像都可以控制版本,方便跟踪不同版本的容器,监控版本之间的差异;
容器适应性强,很多云平台都支持容器,用户不用担心被云平台捆绑。
华为云基于上述容器的特点,结合开源生态,发布了保护容器整个生命周期安全的保护方案 —— 容器安全服务,通过构建金镜、容器逃逸保护机制等功能,帮助容器充分发挥自身的性能优势,方便企业利用容器技术更有效地发展业务。
构建了一套完整的容器安全能力,包括镜像扫描、威胁检测和威胁防护,并为容器提供了深度防御系统Build、Ship、Run全生命周期保护能力渗透到整个容器中DevOps从开发到生产,保证容器虚拟环境的安全。
在Docker Hub下载的官方镜像可能包含漏洞,研发人员在使用大量开源框架时也可能加剧漏洞问题。CGS通过扫描镜像仓库和正在运行的容器镜像,发现镜像中的漏洞和恶意文件,并提出修复建议,帮助用户从根本上获得安全的黄金镜像
Image的安全。
容器的行为通常是固定的, CGS帮助企业制定容器过程白名单和文件保护列表,通过配置安全策略,确保容器以最小权限运行,从而提高系统和应用的安全性。
CGS Agent负责扫描节点内所有容器的镜像漏洞,实施安全策略,收集异常事件,便于统一管理CCE集群中所有节点上运行的容器和镜像的安全状态。
CGS世界上第一个基于机器学习的容器逃逸行为检测能力,内置10类和100类容器逃逸行为规则,检测和分析异常行为,有效检测shocker攻击,过程提权,DirtyCow以及文件暴力破解等逃逸行为。
华为云采用全容器安全解决方案,安全检测程序作为节点上的独立容器运行CPU而且内存占用率,生命周期由Kubernetes统一管理,可随容器业务自动扩展,无需人工干预,实现全自动化、高效的安全保障。
华为云是集装箱安全服务的上,华为云是集装箱安全服务的首发云服务商能为云原生企业的容器安全提供全生命周期的安全保护。
有关华为云产品的更多信息,请联系我们: 电话:950808按0转1
本文由博客群发等运营工具平台 OpenWrite 发布