随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比存在一定的差距。在应用容器和K8S过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器安全,已成为企业最关心的问题。
7月9日,腾讯安全正式发布腾讯云容器安全服务产品TCSS(Tencent Container Security Service),腾讯云容器安全服务为企业提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。
(TCSS帮助打造原生可靠的容器应用安全体系)
容器是云原生的基石之一,作为一种计算单元,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势。另外容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。
为此,越来越多的企业选择在生产环境中使用容器架构,根据《中国云原生用户调查报告2020》(下文简称《报告》)显示,已经有6成以上的用户在生产环境中运用了容器技术,其中43%的用户已经将容器技术应用到非核心生产环境。
然而由于自身隔离性差,存活时间短等特征,容器也成为易受网络攻击的对象。Tripwire 2019年对311位IT安全专业人员进行了调研,发现60%的组织都遭遇过容器安全事故,《报告》数据也显示63%的用户认为容器安全是紧迫需求。
容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。容器逃逸也是容器特有的安全问题,会直接影响到底层基础设施的安全性,主要分为三类:第一类是配置不当引起的逃逸,比如允许挂载敏感目录;第二类是容器本身设计的BUG,比如runC容器逃逸漏洞;第三类是内核漏洞引起的逃逸,比如dirtycow。
镜像是容器的静态表现形式,容器运行时的安全取决于镜像的安全。部分官方途径或者开源社区下载的容器镜像可能会包含各类第三方库文件和系统应用,而这些库和应用可能存在漏洞、木马或者后门,因而存在较大的安全风险。同时,容器镜像在存储和使用的过程中,可能被篡改,如被植入恶意程序或被修改。一旦使用被恶意篡改的镜像创建容器后,将会影响容器和应用程序的安全。
作为容器的载体和编排管理软件,主机和容器编排平台等运行环境也是容器安全的重要因素之一。若宿主机存在漏洞或配置不规范、容器软件的相关环境配置不规范或编排应用配置不规范,都将影响整个容器环境的安全性。例如2018年特斯拉在亚马逊上的K8s集群被入侵,原因为集群控制台没有设置密码保护,攻击者入侵后在一个pod中找到AWS的访问凭证,并凭借这些凭证信息获取到特斯拉敏感信息。
为了解决容器安全问题,腾讯安全结合二十多年的网络安全实践经验,推出了覆盖容器资产管理、镜像安全及运行时入侵检测等功能的腾讯云容器安全服务产品(TCSS),通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。
TCSS容器安全服务提供自动化、细粒度资产清点功能,可快速清点出运行环境中的容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。目前,TCSS资产管理模块已支持9种资产信息统计。(核心产品功能:资产管理)
TCSS容器安全服务针对镜像、镜像仓库提供“一键检测“或“定时扫描”,支持安全漏洞、木马病毒、敏感信息等多维度安全扫描。在敏感信息方面,可检测包括root启动、代码泄漏、认证信息泄漏等敏感信息泄漏事件,防止敏感信息泄漏。(核心产品功能:镜像安全)
由腾讯自主研发的容器安全杀毒引擎和漏洞引擎,基于腾讯强大的安全数据基础,可共享腾讯管家病毒库和漏洞库,同时与传统杀毒软件保持恶意样本交换合作,带来强大的安全数据检测支持。其中,安全漏洞数据库包含了所有CVE漏洞库、开源和商业情报库、腾讯安全实验室漏洞库;木马病毒检测基于腾讯云全国百亿级样本,覆盖海量病毒、木马、僵尸网络等恶意代码样本。
腾讯自研TAV引擎,高效查杀二进制木马病毒,通过多个国际第三方测评机构认证,病毒检出率达100%。强大的基础能力和全面的合作生态,保障TCSS不断进化,持续提供镜像安全支持。
为了保障容器运行时安全性,实现入侵行为的即时告警与响应,需要对容器运行时的各项指标进行实时监控。腾讯云容器安全服务运行时安全检测功能包括容器逃逸、反弹Shell、异常进程、文件篡改、高危系统调用等多维度的入侵检测引擎。其中,异常进程、文件篡改、高危系统调用属于高级防御功能,通过丰富的系统规则和用户自定义检测规则,实时监控进程异常启动行为、违反安全策略的文件异常访问行为及容器内发起的可能引起安全风险的linux系统调用行为,并实时告警通知或拦截。(核心产品功能:运行时安全)
基于TCSS所提供的安全基线功能,可定期对容器、镜像、主机、Kubernetes编排环境进行安全基线检测,帮助容器环境合规化,避免因配置缺陷引发的安全问题,减少攻击面。目前支持“容器、镜像、主机、K8S”四种维度检测,帮助客户检查由于容器运行环境配置不当而引发的安全问题。
TCSS容器安全服务采用超融合架构,支持简易安装,轻量部署,助力客户免除对容器安全的担忧,专注于自身核心业务。
TCSS严格限制 Agent 资源占用,负载过高时主动降级保证系统正常运行,正常负载时消耗极低。实测表明,CPU资源占用不到5%、30M内存。TCSS兼容CentOS、Debian、RedHat等主流操作系统,可一键部署,实现自动在线升级,一经安装,终生免维护,令客户全程无忧。
TCSS得到腾讯云强大的情报和威胁感知能力赋能。腾讯拥有全球最大、覆盖最全的黑灰产大数据库,TCSS容器安全服务使用腾讯安全数据库对容器环境发现的恶意程序样本进行关联分析,基于威胁情报感知容器环境威胁行为。超过3500人的腾讯安全专家团队专注于腾讯云安全建设,带来切实的实力保障。
传统安全体系在公有云上适应性差,无法有效检测新威胁形式,缺少自动化响应处置手段。目前,腾讯TCSS已经在多个行业展开了应用,帮助客户克服了云上资产种类多、数量大、不易盘点的问题,大大提升了客户的云上安全水平和安全运营管理效率。
在云原生环境下,企业通过微服务来交付应用系统的比例在增加,容器安全已经成为了云安全不可或缺的部分。未来,腾讯安全将继续完善容器安全一站式解决方案,推动行业构建云原生安全生态,为客户的应用安全提供更全面的保护。