隨著企業(yè)上云步伐的加快，以容器、微服務(wù)及動態(tài)編排為代表的云原生技術(shù)為企業(yè)的業(yè)務(wù)創(chuàng)新帶來了強大的推動力。然而，在容器應(yīng)用環(huán)境中，由于共享操作系統(tǒng)內(nèi)核，容器僅為運行在宿主機上的若干進程，其安全性特別是隔離性與傳統(tǒng)虛擬機相比存在一定的差距。在應(yīng)用容器和K8S過程中，近幾年陸續(xù)爆出大量的基于容器平臺的安全隱患，如何保障容器安全，已成為企業(yè)最關(guān)心的問題。

7月9日，騰訊安全正式發(fā)布騰訊云容器安全服務(wù)產(chǎn)品TCSS(Tencent Container Security Service)，騰訊云容器安全服務(wù)為企業(yè)提供容器資產(chǎn)管理、鏡像安全、運行時入侵檢測等安全服務(wù)，保障容器從鏡像生成、存儲到運行時的全生命周期，幫助企業(yè)構(gòu)建容器安全防護體系。

(TCSS幫助打造原生可靠的容器應(yīng)用安全體系)

云原生時代 容器面臨多重安全風險

容器是云原生的基石之一，作為一種計算單元，在云原生環(huán)境中直接運行于主機內(nèi)核之上，具有系統(tǒng)資源占用少、可大規(guī)模自動化部署以及彈性擴容能力強等優(yōu)勢。另外容器化使開發(fā)過程中快速集成和快速部署成為可能，極大地提升了應(yīng)用開發(fā)和程序運行的效率。

另一方面，容器的構(gòu)建依賴于鏡像，鏡像庫管理不當混入惡意鏡像、鏡像損壞、有漏洞的鏡像沒有及時更新、鏡像認證和授權(quán)限制不足等都會給容器帶來巨大安全隱患。同時，容器共享宿主機操作系統(tǒng)內(nèi)核，隔離性方面存在缺陷，將會造成容器逃逸。容器逃逸也是容器特有的安全問題，會直接影響到底層基礎(chǔ)設(shè)施的安全性，主要分為三類：第一類是配置不當引起的逃逸，比如允許掛載敏感目錄;第二類是容器本身設(shè)計的BUG，比如runC容器逃逸漏洞;第三類是內(nèi)核漏洞引起的逃逸，比如dirtycow。因此，容器逃逸也被許多學者視為容器安全的首要問題。

騰訊TCSS四大核心能力 守護容器全生命周期安全

為了解決容器安全問題，騰訊安全結(jié)合二十多年的網(wǎng)絡(luò)安全實踐經(jīng)驗，推出了覆蓋容器資產(chǎn)管理、鏡像安全及運行時入侵檢測等功能的騰訊云容器安全服務(wù)產(chǎn)品(TCSS)，通過資產(chǎn)管理、鏡像安全、運行時安全、安全基線四大核心能力來保障容器的全生命周期安全，幫助企業(yè)快速構(gòu)建容器安全防護體系。

其中，資產(chǎn)管理功能將提供自動化、細顆粒度的資產(chǎn)清點服務(wù)，目前已經(jīng)支持九種資產(chǎn)信息統(tǒng)計，可統(tǒng)一管理容器、鏡像、鏡像倉庫、主機等關(guān)鍵資產(chǎn)，幫助企業(yè)實現(xiàn)資產(chǎn)可視化;

(核心產(chǎn)品功能：資產(chǎn)管理)

鏡像檢測功能基于自主研發(fā)的容器安全殺毒引擎和漏洞引擎，共享病毒庫和漏洞庫，支持“一鍵檢測”、“定時掃描”兩種掃描模式，可以針對鏡像、鏡像倉庫提供安全漏洞、木馬病毒、敏感信息等多維度安全掃描;

(核心產(chǎn)品功能：鏡像安全)

運行時提供了功能強大的入侵檢測能力，基于自適應(yīng)Agent識別黑客攻擊，實時監(jiān)控容器運行時環(huán)境，支持容器逃逸、異常進程、文件篡改、高危系統(tǒng)調(diào)用等五種運行時入侵檢測功能，并提供異常進程攔截、文件篡改防護等全面保護;

(核心產(chǎn)品功能：運行時安全)

安全基線功能則可定期對容器、鏡像、主機、Kubernetes、編排環(huán)境進行安全基線檢測，幫助容器環(huán)境合規(guī)化，避免因配置缺陷引發(fā)安全問題，減少攻擊面。

三大優(yōu)勢 助力構(gòu)建云原生時代的基礎(chǔ)安全

騰訊TCSS提供的四大安全防護功能，基本覆蓋了容器全生命周期的安全需求，而且相比同類產(chǎn)品，TCSS采用超融合架構(gòu)，支持簡易安裝，輕量部署，同時容器安全服務(wù)嚴格限制 Agent 資源占用，正常負載時消耗極低，負載過高時主動降級保證系統(tǒng)正常運行。

另外，騰訊擁有全球最大、覆蓋最全的黑灰產(chǎn)大數(shù)據(jù)庫，TCSS容器安全服務(wù)可使用騰訊安全數(shù)據(jù)庫對容器環(huán)境發(fā)現(xiàn)的惡意程序樣本進行關(guān)聯(lián)分析，并基于威脅情報感知容器環(huán)境威脅行為，進一步增強安全保障。

傳統(tǒng)安全體系在公有云上適應(yīng)性差，無法有效檢測新威脅形式，缺少自動化響應(yīng)處置手段。目前，騰訊TCSS已經(jīng)在多個行業(yè)展開了應(yīng)用，幫助客戶克服了云上資產(chǎn)種類多、數(shù)量大、不易盤點的問題，大大提升了客戶的云上安全水平和安全運營管理效率。

在云原生環(huán)境下，企業(yè)通過微服務(wù)來交付應(yīng)用系統(tǒng)的比例在增加，容器安全已經(jīng)成為了云安全不可或缺的部分。未來，騰訊安全將繼續(xù)完善容器安全一站式解決方案，推動行業(yè)構(gòu)建云原生安全生態(tài)，為客戶的應(yīng)用安全提供更全面的保護。