容器云高可靠、高性能离不开安全建设，希望可以分享一些容器云的安全实践？

安全这个主题包括了非常多的内容，不仅仅是被动的防御和事后的查漏补缺，也包括态势感知，主动防御等内容，应该作为一个整体去考量和规划。细化到云原生这个方向，目前有容器平台本身的安全，映像安全，开发运维一体化安全（ DevSecOps ）等主题。

和传统平台相比，我认为云原生的安全有两个领域更值得关注。

一是对平台、服务和资源的全面掌控。云原生与传统云计算相比，资源粒度更细、服务数量更多、连接更复杂。带来的问题是监控、排错难度的指数级提升，对监控管理工具的依赖度更高。在部署和运维云原生平台之前，需要提前规划好监控和运维方案，例如目前常见的全链路监控方案（ zipking 、 jaeger 、 skywalking 等）。全面的监管控查为安全建设奠定基础。

二是资源隔离性问题。特别是多租户场景下，传统容器的隔离性无法达到要求，提权、逃逸、 kernel panic 等威胁更大。这个方向，除了使用传统的虚拟化方案外，建议关注 kata container 等云原生隔离增强方案，以提升安全性。

安全性的确是用户使用容器技术和业务上云面临的最大挑战之一，其中数据安全问题最为突出。数据在整个生命周期有三种状态：At-Rest（静态）、In-Transit（传输中）和 In-Use（使用中）。At-Rest 状态下，一般会把数据存放在硬盘、闪存或其他的存储设备中。保护 At-Rest 状态的数据有很多方法，比如对文件加密后再存放或者对存储设备加密；In-Transit 是指通过公网或私网把数据从一个地方传输到其他地方，用户可以在传输之前对文件加密或者采用安全的传输协议保证数据在传输中的安全，比如 HTTPS, SSL, TLS, FTPS 等；然而 In-Use 状态的数据很长时间内都没有很好的保护的方法，直到可信执行环境（TEE）的出现，还有一种说法称为机密计算。英特尔® SGX 是英特尔的受信任执行环境（TEE），它提供基于硬件的内存加密，隔离内存中的特定应用代码和数据。英特尔® SGX 使得用户层代码可以分配内存中的受保护区域，即 “飞地”，这些区域不受更高权限等级程序运行的任何影响。英特尔® SGX 在操作系统、驱动、BIOS、虚拟机管理器或系统管理模型已瘫痪的情况下仍可帮助防御软件攻击。因此，英特尔® SGX 在攻击者完全控制平台的情况下仍可增强对数据和密钥的保护。

这边介绍一个内容，SBOM（Software Bill of Materials，即软件物料清单，软件供应商通常通过组装开源和商业软件组件来创建产品）。
打造容器安全，可能需要对于Docker镜像的组成（如操作系统、中间件、开源组件jar、npm等依赖）进行安全管控
所以这个时候需要用专业的docker镜像管理工具，如JFrog进行资产分析、安全分析、许可证分析等

1、容器云的基础设施层的安全建设，包括IDC、物理服务器的带外，IAAS平台的安全加固。
2、容器云的宿主机节点的安全加固，包括操作系统，root特权用户管理，堡垒机建设。
3、容器云的底座kubernetes集群的安全加固，包括集群RBAC、证书、kubeconfig配置文件、token管理。集群的备份和恢复保障。
4、DEVOPS平台的安全加固，包括业务应用系统的源码安全扫描，容器的基础镜像安全，编译流水线的安全。
5、容器云平台的业务应用的配置文件，用户密码，SSL证书等重要凭据的安全管理。
6、建设安全接入区、WAF等安全基础设施，应用漏洞扫描、整改的流程。

容器安全可以从以下方面着手评估和实践：

一 基础设施层

1.     涉及容器云工作节点的操作系统使用遵循安全准则的操作系统。使用防火墙，端口阻止等安全措施。系统常规安全更新和修补程序在可用后必须立即应用，防止黑客和入侵者利用已知漏洞。使用最小化操作系统，同时精简和平台不相关的预置组件，从而降低系统的攻击面。使用第三方安全加固工具，定义了系统上的应用程序，进程和文件的访问控制等。建立审核和日志记录流程，确保构建平台的所用的操作系统是安全合规的；

2.     网络层安全，实现管理平面业务平面流量隔离，最少的端口暴露；

3.     存储安全：定时快照和备份并对敏感数据进行加密。

二 平台层安全

1.     对容器调度和管理平台本身需要实现安全基线测试，平台安全扫描；

2.     对平台层用户操作进行审计，同时也需要项目层面的资源和操作审计；

3.     对平台实行权限控制，能基于角色/项目/功能等不同维度进行授权；

4.     定期备份平台数据；

5.     选用具备自动化巡检能力的平台产品；

三 容器安全

1.     镜像安全：容器使用非root用户运行，使用安全的基础镜像，定时对镜像进行安全漏洞扫描；

2.     运行时安全：主要是对容器在容器平台上运行过程中的对于宿主机系统以内安全设置，例如容器特权、提升权限、主机PID、主机IPC、主机网络、只读文件系统等安全限制。同时建议具备限制容器对于底层宿主机目录的访问限制。 限制容器对于外部网络端口暴露的范围限制。用户限定某些敏感项目独占宿主机，实现业务隔离；

3.     容器网络安全：可以通过Networkpolicy模板，对于所有Pod之间、Namespace和Pod之间等进行IP、端口、标签等细颗粒度的容器安全策略，同时在集群内部为Namespace划分子网、并且对于不同的namespace之间的子网设置白名单，进行访问控制。

灵雀云的云原生平台完全遵循上述规范建设，可以满足各行业客户对于安全的要求。