探索容器安全性概述

【編者的話】本文是

google雲平台

（gcp）上的容器安全性系列部落格文章中的第一篇，介紹了容器安全的以下幾個方面：基礎設施安全、軟體**鏈和執行時安全，並澄清了容器不是強大的安全邊界，可能要依靠

google雲平台專案

提供的隔離。最後提供了幾場即將到來的在kubecon eu關於容器安全的講座資訊。

容器越來越多地被用於部署應用程式，這是有充分理由的，因為它們具有可移植性、簡單的可擴充套件性和較低的管理負擔。然而，容器化應用程式的安全性仍然沒有得到很好的理解。容器安全性與傳統虛擬機器安全性有何不同？如何利用容器管理平台的特性來提高安全性？

這是系列部落格文章中的第一篇，這個系列將涉及

google雲平台

（gcp）上的容器安全性，以及我們如何幫助你保障執行在

google kubernetes 引擎

中的容器的安全。這個系列的文章將涵蓋以下主題：

容器安全是乙個很大的話題。在系列的開始，這裡有乙個容器安全的概述，以及我們在google如何看待它。

在google，我們將容器安全劃分為三個主要方面：

基礎設施安全，即平台是否提供了必要的容器安全功能？這就是如何使用kubernetes安全特性來保護你的身份、機密和網路；以及kubernetes引擎如何使用本機gcp功能，如iam、審核日誌記錄和網路，為你的工作負載帶來最好的google安全性。

軟體**鏈，即我的容器映象是否可以安全部署？這就是如何確保你的容器映象是無漏洞的，並且確保你構建的映象在部署之前不會被修改。

執行時安全性，即我的容器執行安全嗎？這就是如何識別在生產中惡意行為的容器，並採取行動保護你的工作負載。

讓我們更深入地研究其中的每乙個。

容器基礎設施安全是為了確保你的開發人員擁有安全構建容器化服務所需的工具。這包括各種各樣的領域，包括：

kubernetes引擎整合了日誌記錄雲端審計（cloud audit logging）你可以在stackdriver logging或gcp活動控制台中檢視審計日誌。預設情況下，最常見的審計操作被記錄下來，你可以檢視和篩選這些操作。

機密：kubernetes如何儲存機密，以及容器化應用程式如何訪問它們？

網路：我應該如何分割網路中的容器，以及我應該允許哪些流量？

這些只是kubernetes用來以你想要的方式來保障集群安全的一些工具，從而使維護集群的安全性變得更加容易。

管理軟體**鏈，包括你沒有建立的容器映象層，是為了確保你確切地知道在你的環境中正在部署什麼，並且它屬於這個環境。特別是，這意味著讓你的開發人員訪問已知沒有漏洞的影象和打包程式，以避免將已知的漏洞引入到你的環境中。

容器在伺服器的作業系統核心上執行，但在沙箱環境中執行。容器的映象通常包括它自己的作業系統工具和庫。因此，當你考慮軟體安全性時，實際上有許多映象和包的層需要保護：

最後，執行時安全性是要確保你的安全響應團隊能夠檢測並響應在你的環境中執行的容器的安全威脅。這裡有一些理想的功能：

所有這些功能在整個行業中都是相當新的，現在有許多不同的方式來保障執行時安全性。

有一種說法值得澄清：容器既不提供不可滲透的安全邊界，也不是它們的目標。它們對訪問主機上的共享資源進行一些限制，但不一定阻止惡意攻擊者繞過這些限制。雖然容器和虛擬機器都封裝了應用程式，但容器是應用程式的邊界，而vm是應用程式及其資源（包括資源分配）的邊界。

如果你在kubernetes引擎上執行不受信任的工作負載，並且需要乙個強大的安全邊界，那麼你應該依靠

google雲平台專案

提供的隔離。對於共享相同信任級別的工作負載，你可以使用多租戶，其中容器與其他容器或同一集群中的另乙個節點在同乙個節點上執行。

除了這個部落格文章系列之外，我們還將在哥本哈根的

kubecon europe

舉辦幾次關於容器安全的講座。如果你要參加，請確保將這些新增到你的日曆中：

google基礎設施安全性設計概述***

。

探索容器安全性 概述