17 年安全界老兵，专注打造容器安全能行吗？

作者 | 伍杏玲

出品 | CSDN（ID:CSDNnews）

容器作为云原生的代表技术，很多人认为是容器技术掀起云原生的变革：2004 年，谷歌开始使用容器技术，并在2006年发布进程容器，将容器虚拟化基础设施引入 Linux 内核。2013 年，Docker 正式发布，随即成为现象级的开源项目，同年，“云原生”概念提出。

当容器浪潮席卷而来之际，随着容器的广泛应用，开发者重视容器安全技术。因为据 Gartner 分析师表示，“容器使用共享操作系统(OS)模型对主机操作系统中的漏洞的攻击可能导致所有容器被影响，容器本身并不安全，但由开发人员以不安全的方式部署，安全团队很少或根本没有参与，安全架构师也没有指导。传统的网络和基于主机的安全解决方案对容器是无效的。容器安全解决方案保护容器的整个生命周期安全，从产生到生产。”

早在 2018 年，专注容器安全的小佑科技就看到其中机遇，自研 PaaS 容器安全防护产品，致力为开发者解决容器全生命周期的安全问题，推出“镜界”容器安全防护平台。为什么他们如此早就重视容器安全？对此，CSDN 采访到小佑科技创始人&CEO 袁曙光，一起聊聊云原生时代下安全的那点事儿。

袁曙光

17年安全界老兵，探路容器安全

袁曙光是原联众游戏CISO，负责联众运维及安全工作，具有17年安全行业经验，在甲方、乙方公司分别呆过很长时间，从事过安全研发、售前、服务咨询及管理岗位，可以说是安全界的“老炮”。他带领懂云计算和安全技术的4人团队开启云原生安全创业之路。

为什么当初袁曙光不选择发展已久的传统安全，而是探索刚发展的云计算安全？

袁曙光表示，企业上云是全球趋势，一是当企业上云后，面临的安全威胁将会增多，所以说云安全是企业的刚需。二是在上云过程中，由于IT基础设施逐渐云化，云改变企业的底层基础设施架构，安全也随之往云化，传统安全架构不再适用于云上，云上防护的方式变得更多元化、复杂化，云安全将重新定义企业的安全架构。

今年，Gartner发布《Solution Comparison for the Native Security Capabilities 》报告，首次全面评估全球 TOP 云厂商的整体安全能力，这从侧面说明云安全是业内需重点关注的 IT 技术潮流之一。

其中，容器作为云计算新一代技术，正是未来十年云计算的核心，容器在云计算的地位像是发动机的“引擎”，据调查统计，有 83% CTO 愿意采用容器技术。Gartner 在 2017、2019 年将容器安全列入年度安全趋势，容器安全大有可为。

“镜像”容器平台

安全出身的袁曙光，在打造云时代安全产品时也遇到不少挫折。由于容器网络的虚拟化方式和传统完全不同，传统安全技术解决不了云时代下的安全问题。例如传统防火墙无法使用；防病毒网关在容器的虚拟化网络中无法使用；容器镜像分层存储，传统的漏洞扫描仅仅在OS和网络进行扫描；无论网络还是主机的IDS都无法检测到容器内的数据包……

云时代下，企业需要怎样的新型容器安全技术来防护呢？

袁曙光在探索的过程中，还发现以下容器安全痛点：

一、隔离性较弱。容器基于进程的隔离，其隔离性不如虚拟机强，可能导致容器逃逸攻击宿主机，为云计算的多租户安全提出挑战。

二、镜像漏洞多。镜像是容器运行的基础、官方的镜像有30%的镜像存在高危安全漏洞。

三、资产理不清。容器平均的存在时间为3分钟，快建快消的特点导致容器资产变化快。

四、安全控制难。容器集群k8s只提供了编排框架，额外的一切安全控制需要插件实现。

在打造“镜界”产品时，袁曙光坦言遇到的难点不少：

一是当时这个方向较前沿，可参考案例较少，只能一点点地去摸索和尝试；

二是由于云原生涉及方方面面技术，不能说“指哪打哪”，仅单点解决某个问题，而是提供容器从镜像端到容器运行的完整生命周期防护。

由于云原生是一个较大的体系，拥有非常多的项目，国内没有很成熟的标准统一。云原生都是基于开源的构造，K8S、Docker等。云原生技术品类、插件版本分裂，开发者和企业使用的可能均不相同，“镜界”平台都需要覆盖和兼容到。

假如仅靠原有安全攻防知识来研发的话，袁曙光表示，“难度还是很大，光是把云原生环境搭起来就要从入门到放弃了，因为太复杂了。”

在他们充分深入研究云原生技术后，将其中的安全需求抽离出来，再结合团队扎实的安全技术，融合打造出“镜界”平台。

对此，小佑科技搭建一套容器云原生安全防护平台——镜界容器安全防护平台。“镜界”不仅对容器做全流程防护，还可无缝集成DevOps。提供容器资产管理、镜像深度扫描、容器运行监控与控制、微服务及API安全、容器及集群的合规审计。该平台保证容器从镜像生成、存储到容器运行的全生命周期防护。且安装部署方便，与Kubernetes兼容，可用性较高。

安全厂商群立，专注容器安全的小佑科技如何突围而出？

尽管如此，两年的小佑科技面对的竞争一点不少：一是来自传统安全厂商，这些厂商的产品全涵盖边缘计算、终端安全等全产品线，因为企业采购时通常整体采购，小佑科技如何凸显优势？

二是大云厂商也提供一些容器安全服务，那么专门针对容器安全、成立两年的小佑科技如何“杀”出重围？

袁曙光表示，之前企业很喜欢一些大集成的解决方案，总希望一家厂商就能包揽所有安全解决方案。如今安全负责人的专业水平和认知的提升，对自身系统的安全需求较明确，知道自己缺什么再有针对性地去买。大而全的安全厂商尽管拥有自己的“拳头”产品，但仍存在没覆盖到的细分领域，此时企业更愿意要该细分领域做得最专业的产品。企业不在乎这个细分的产品提供者是谁，但该产品必须具备集成能力，这是如今云安全产品的趋势。

像小佑科技等的创业公司专注做细分产品，并不是为了和大厂商的整条产品线 PK，而是针对该细分产品。小佑科技专注在较前沿的容器安全上，一些大的安全厂商内部针对这条产品线可能没有像小佑科技投入大，从这看小佑科技具备优势的。

小佑科技主要是私有云的大型行业用户，大云厂商做安全产品和系统是深度耦合的，灵活性一般，可能满足不了客户复杂的个性化需求，倾向标准化的交付，不会给行业做个性化需求。在私有云上，客户企业倾向于把基础建设和安全分开，私有云企业用户甚至可能自建独立的安全管理平台，上层对接和开放接口，从而接入一些外部安全能力来满足自身需求。

“例如安卓手机有安全功能，但是很多用户喜欢下载另外的安全管家来满足个性化需求，不是仅用自带功能，如此类推到云安全产品上，这正是我们的机遇。”袁曙光说。