2024云原生架構(gòu)安全白皮書

云原生架構(gòu)安全白皮書（2024年）目 錄一、技術(shù)變革、市場推動(dòng)，呈現(xiàn)云原生安全新需求 1（一）云原生技術(shù)在生產(chǎn)環(huán)境采納率急速升高 1（二）顛覆性技術(shù)架構(gòu)變革帶來全新安全隱患 1（三）傳統(tǒng)的邊界防護(hù)模型難以應(yīng)對(duì)云原生安全風(fēng)險(xiǎn) 3二、深入架構(gòu)、應(yīng)用驅(qū)動(dòng)，剖析云原生安全新型風(fēng)險(xiǎn) 4（一）容器化部署成為云原生計(jì)算環(huán)境風(fēng)險(xiǎn)輸入源 4（二）微服務(wù)細(xì)粒度切分增加云原生規(guī)?；瘧?yīng)用風(fēng)險(xiǎn) 12（三）Serverless靈活性帶來模型和平臺(tái)管控風(fēng)險(xiǎn) 14（四）DevOps提升研運(yùn)流程和安全管理的防范難度 17（五）API爆發(fā)式增長催化分離管控和權(quán)限濫用風(fēng)險(xiǎn) 18三、原則引領(lǐng)、架構(gòu)融合，構(gòu)建云原生安全體系模型 19（一）云原生安全防護(hù)范圍及責(zé)任劃分 19（二）云原生安全遵循的設(shè)計(jì)原則 20（三）云原生安全防護(hù)模型 23四、分層構(gòu)建、全景覆蓋，打造云原生安全防護(hù)體系 24（一）融合應(yīng)用云安全防護(hù)模型夯實(shí)基礎(chǔ)設(shè)施安全 24（二）關(guān)注容器全要素全生命周期防護(hù)打造云原生計(jì)算環(huán)境安全 26（三）跟進(jìn)微服務(wù)、Serverless應(yīng)用新模式持續(xù)推出云原生應(yīng)用安全37（四）全流程安全左移打造云原生研發(fā)運(yùn)營安全 40（五）優(yōu)化實(shí)施成本提升運(yùn)營效率實(shí)現(xiàn)云原生數(shù)據(jù)安全 46（六）全鏈融合一體納管構(gòu)建云原生安全管理策略 47五、關(guān)注中外、聚焦產(chǎn)品，描繪云原生安全生態(tài)圖景 52（一）放眼世界，體系化了解云原生安全開源項(xiàng)目與組件 52（二）立足本土，系統(tǒng)化梳理云原生安全解決方案與服務(wù) 54六、多元主導(dǎo)、深度融合，洞悉云原生安全發(fā)展趨勢 64（一）安全技術(shù)的主導(dǎo)力量從單邊走向多元 64（二）安全設(shè)計(jì)理念從以人為中心轉(zhuǎn)向以服務(wù)為中心 65（三）安全產(chǎn)品形態(tài)從粗暴上云轉(zhuǎn)向與平臺(tái)/應(yīng)用深度融合 65（四）安全落地方案從重型化走向輕量化、敏捷化、精細(xì)化 66圖 目 錄圖1不同層次的容器逃逸問題 10圖2云原生安全防護(hù)責(zé)任共擔(dān)模型 19圖3云原生架構(gòu)安全防護(hù)模型架構(gòu)圖 23圖4CNCFlandscape安全項(xiàng)目及工具示意圖 52圖5華為云容器安全方案架構(gòu)圖 55圖6阿里云ACK容器服務(wù)安全體系架構(gòu)圖 57圖7阿里云ACK容器服務(wù)應(yīng)用全生命周期安全能力 58圖8騰訊云容器安全服務(wù)（TCSS）架構(gòu)圖 59圖9青藤云蜂巢容器安全產(chǎn)品架構(gòu)圖 61圖10青藤云蜂巢容器安全產(chǎn)品全流程監(jiān)測響應(yīng)示意圖 62圖11小佑科技鏡界容器安全防護(hù)平臺(tái)架構(gòu)圖 63表 目 錄表1云原生計(jì)算環(huán)境主要安全風(fēng)險(xiǎn) 4表2微服務(wù)主要安全風(fēng)險(xiǎn) 12表3Serverless主要安全風(fēng)險(xiǎn) 14表4DevOps主要安全風(fēng)險(xiǎn) 17表5API主要安全風(fēng)險(xiǎn) 18表6鏡界容器防護(hù)平臺(tái)產(chǎn)品功能列表 63云原生架構(gòu)安全白皮書（2021年）云原生架構(gòu)安全白皮書（2021年）PAGE1PAGE1一、技術(shù)變革、市場推動(dòng)，呈現(xiàn)云原生安全新需求（一）云原生技術(shù)在生產(chǎn)環(huán)境采納率急速升高DevOpsServerless43.9務(wù)架構(gòu)進(jìn)行業(yè)務(wù)開發(fā)部署等1，這使得用戶對(duì)云原生技術(shù)的認(rèn)知和使（二）顛覆性技術(shù)架構(gòu)變革帶來全新安全隱患Serverless1數(shù)據(jù)來源：中國信息通信研究院《中國云原生用戶調(diào)查報(bào)告2020》護(hù)需求。服務(wù)實(shí)例應(yīng)用周期變短增加監(jiān)控和溯源難度。以容器、Serverless為載體的云原生應(yīng)用實(shí)例的生命周期極大縮短，容器秒持續(xù)集成/持續(xù)交付不僅要避免各個(gè)環(huán)節(jié)的潛在風(fēng)險(xiǎn)，而且要提高應(yīng)用的安全交付效率。云原生架構(gòu)安全白皮書（2021年）云原生架構(gòu)安全白皮書（2021年）PAGE3PAGE3（三）傳統(tǒng)的邊界防護(hù)模型難以應(yīng)對(duì)云原生安全風(fēng)險(xiǎn)WebShell于邊界的防護(hù)模式遷移到更接近基于資源屬性和元數(shù)據(jù)的動(dòng)態(tài)工作安全防護(hù)模型的轉(zhuǎn)變要求在應(yīng)用程序生命周期中采用更高的自（（）IT云原生架構(gòu)安全白皮書（2021年）云原生架構(gòu)安全白皮書（2021年）PAGE4PAGE4二、深入架構(gòu)、應(yīng)用驅(qū)動(dòng)，剖析云原生安全新型風(fēng)險(xiǎn)等DevOpsServerless；同時(shí)云原生基礎(chǔ)設(shè)施和云原生應(yīng)用也會(huì)在原有云計(jì)算場景下顯著擴(kuò)大APIDevOpsAPI（一）容器化部署成為云原生計(jì)算環(huán)境風(fēng)險(xiǎn)輸入源表1云原生計(jì)算環(huán)境主要安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)引入途徑云原生網(wǎng)絡(luò)安全風(fēng)險(xiǎn)訪問控制粒度過粗網(wǎng)絡(luò)分離管控不合理云原生編排及組件安全風(fēng)險(xiǎn)編排工具自身漏洞編排組件不安全配置不同安全級(jí)容器混合部署編排組件資源使用不設(shè)限編排節(jié)點(diǎn)訪問控制策略配置不當(dāng)鏡像安全風(fēng)險(xiǎn)鏡像含軟件漏洞鏡像配置缺陷鏡像來源不可信鏡像倉庫安全風(fēng)險(xiǎn)鏡像倉庫自身漏洞及管理問題鏡像獲取通道不安全容器逃逸攻擊容器危險(xiǎn)配置容器危險(xiǎn)掛載相關(guān)程序漏洞宿主機(jī)內(nèi)核漏洞安全容器逃逸風(fēng)險(xiǎn)網(wǎng)絡(luò)的細(xì)粒度劃分增加了訪問控制和分離管控難度underlayIPIPIP云原生編排組件存在漏洞及管控風(fēng)險(xiǎn)增加入侵概率是指普WebCVE-2018-1002105KubernetesKubernetesAPIServerServer建立一個(gè)到后端服務(wù)器的連接，攻擊者就能以KubernetesAPIServer的身份向后端服務(wù)器發(fā)送任意請(qǐng)求，實(shí)現(xiàn)權(quán)限提升。逃逸攻以CVE-2017-1002101KubernetessubPathLinuxKubernetes云原生架構(gòu)安全白皮書（2021年）云原生架構(gòu)安全白皮書（2021年）PAGE59PAGE59WebWeb編排組件資源使用不設(shè)限加大資源耗盡風(fēng)險(xiǎn)導(dǎo)致拒絕服務(wù)攻擊。PodCVE-2019-11253、CVE-2019-9512、CVE-2019-9514工具訪問策略配置不當(dāng)可能讓編排工具和其上運(yùn)行的容器技術(shù)組件鏡像構(gòu)建部署過程不規(guī)范引入自身風(fēng)險(xiǎn)SSHOCI彈過來的exploit鏡像倉庫模式增加云原生軟件供應(yīng)鏈風(fēng)險(xiǎn)來源Harbor容器特性增加云原生運(yùn)行時(shí)逃逸風(fēng)險(xiǎn)和威脅范圍無論是DockerKata根據(jù)層次的不同，容器逃逸的類型可以分為以下三類：嚴(yán)性 利可能性 層次運(yùn)行時(shí)操作安全容器逃逸 危險(xiǎn)配置、危險(xiǎn)掛載運(yùn)行時(shí)操作安全容器逃逸應(yīng)用程序 程序漏洞應(yīng)用程序操作系統(tǒng)內(nèi)核 內(nèi)核漏洞操作系統(tǒng)內(nèi)核圖1不同層次的容器逃逸問題上圖可以進(jìn)一步展開為：DockerSocketprocfs相關(guān)漏洞均分布在容器及容器集群環(huán)境的程序組件中。例如CVE-2019-5736runCLinux（DirtyCOWCVE-2016-5195）2020BlackHatAvrahamiKatacontainers（CVE-2020-2023CVE-2020-2025進(jìn)行容器逃逸和虛擬機(jī)逃逸，成功從容器內(nèi)部逃逸到宿主機(jī)上。（二）微服務(wù)細(xì)粒度切分增加云原生規(guī)模化應(yīng)用風(fēng)險(xiǎn)表2微服務(wù)主要安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)引入途徑攻擊端口和攻擊面增加微服務(wù)入口點(diǎn)增加訪問控制風(fēng)險(xiǎn)訪問控制策略復(fù)雜治理框架風(fēng)險(xiǎn)微服務(wù)治理框架漏洞APIAPI一組FilterPodPod。如SpringCloudDubboCloudconfigCVE-2019-3799、CVE-2020-5405（三）Serverless靈活性帶來模型和平臺(tái)管控風(fēng)險(xiǎn)表3Serverless主要安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)引入途徑應(yīng)用程序固有風(fēng)險(xiǎn)應(yīng)用程序漏洞、第三方依賴庫漏洞、消息明文傳遞等傳統(tǒng)應(yīng)用程序風(fēng)險(xiǎn)Serverless計(jì)算模型風(fēng)險(xiǎn)函數(shù)多源輸入資源權(quán)限管控不當(dāng)數(shù)據(jù)源增加環(huán)境變量替代配置文件存儲(chǔ)跨函數(shù)調(diào)用數(shù)據(jù)清理不及時(shí)Serverless平臺(tái)風(fēng)險(xiǎn)平臺(tái)自身漏洞平臺(tái)賬戶拒絕服務(wù)（DoW）平臺(tái)強(qiáng)依賴性Serverless是云原生架構(gòu)下，針對(duì)應(yīng)用程序構(gòu)建和部署運(yùn)行的ServerlessServerlessServerless包含ServerlessServerless模型以及平臺(tái)的安全風(fēng)險(xiǎn)，主要包括以下幾類：函數(shù)多源輸入導(dǎo)致供應(yīng)鏈安全風(fēng)險(xiǎn)。Serverless模式下函數(shù)調(diào)SQL資源權(quán)限管控不當(dāng)帶來函數(shù)使用風(fēng)險(xiǎn)。Serverless應(yīng)用通常會(huì)擊面增加。傳統(tǒng)應(yīng)用只是從單一服務(wù)器上獲取敏感數(shù)據(jù)，而Serverless二是環(huán)境變量替代配置文件引入泄露風(fēng)險(xiǎn)。Serverless應(yīng)用由眾多函數(shù)Serverless函數(shù)基于觸發(fā)機(jī)制實(shí)現(xiàn)函數(shù)調(diào)用與運(yùn)行FaaSFaaS20186ApacheOpenWhiskCVE-2018-11756DoWServerless平臺(tái)通常支持自動(dòng)化的彈性2NodeJSaws-lambda-multipart-parser”庫被曝出的ReDoS（CVE-2018-7560）。Serverless廣IPS/IDSDASTSASTWebServerlessserverless（四）DevOps提升研運(yùn)流程和安全管理的防范難度表4DevOps主要安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)引入途徑設(shè)計(jì)風(fēng)險(xiǎn)安全理念不夠重視程度不足流程風(fēng)險(xiǎn)安全團(tuán)隊(duì)與安全流程缺失管理風(fēng)險(xiǎn)人員權(quán)限擴(kuò)大工具風(fēng)險(xiǎn)開源工具和開源組件大量使用安全理念和重視程度不足帶來一系列設(shè)計(jì)安全問題。DevOps所安全團(tuán)隊(duì)與安全流程缺失增加流程中的風(fēng)險(xiǎn)引入。經(jīng)典DevOpsDevOps（）人員權(quán)限擴(kuò)大化導(dǎo)致敏感數(shù)據(jù)泄露帶來管控風(fēng)險(xiǎn)。按照DevOps問到研發(fā)內(nèi)部的企業(yè)敏感數(shù)據(jù)，這將導(dǎo)致敏感數(shù)據(jù)的泄露風(fēng)險(xiǎn)。開源組件和開源工具的大量使用導(dǎo)致權(quán)限混亂和漏洞注入。DevOpsJenkins（五）API爆發(fā)式增長催化分離管控和權(quán)限濫用風(fēng)險(xiǎn)表5API主要安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)引入途徑未授權(quán)訪問API管理不當(dāng)API設(shè)計(jì)存在缺陷數(shù)據(jù)泄露安全措施不足DDoS風(fēng)險(xiǎn)資源和速率沒有限制云原生帶來APIAPIAPIAPIAPIGartner2022APIWeb三、原則引領(lǐng)、架構(gòu)融合，構(gòu)建云原生安全體系模型（一）云原生安全防護(hù)范圍及責(zé)任劃分IaaSK8s-aaS用戶管理安全策略數(shù)據(jù)管理數(shù)據(jù)管理應(yīng)用研發(fā)應(yīng)用研發(fā)應(yīng)用構(gòu)建和部署應(yīng)用構(gòu)建和部署服務(wù)運(yùn)行時(shí)服務(wù)運(yùn)行時(shí)IaaSK8s-aaS用戶管理安全策略數(shù)據(jù)管理數(shù)據(jù)管理應(yīng)用研發(fā)應(yīng)用研發(fā)應(yīng)用構(gòu)建和部署應(yīng)用構(gòu)建和部署服務(wù)運(yùn)行時(shí)服務(wù)運(yùn)行時(shí)資源調(diào)配服務(wù)資源調(diào)配服務(wù)日志管理存儲(chǔ)加密網(wǎng)絡(luò)安全虛擬化設(shè)施CaaS應(yīng)用構(gòu)建和部署服務(wù)運(yùn)行時(shí)日志管理存儲(chǔ)加密網(wǎng)絡(luò)安全虛擬化設(shè)施FaaS應(yīng)用構(gòu)建和部署服務(wù)運(yùn)行時(shí)日志管理存儲(chǔ)加密網(wǎng)絡(luò)安全虛擬化設(shè)施SaaS應(yīng)用構(gòu)建和部署服務(wù)運(yùn)行時(shí)日志管理存儲(chǔ)加密網(wǎng)絡(luò)安全虛擬化設(shè)施

2云原生安全防護(hù)責(zé)任共擔(dān)模型

平臺(tái)提供方（二）云原生安全遵循的設(shè)計(jì)原則零信任架構(gòu)NIST20208（）安全左移在與操作系統(tǒng)虛擬化環(huán)境中現(xiàn)有的物理或虛擬化的安全設(shè)備無法有（Shift持續(xù)監(jiān)控和響應(yīng)Gartner（工作負(fù)載可觀測云原生架構(gòu)下大規(guī)模的集群和海量靈活的微服務(wù)應(yīng)用為工作負(fù)工作負(fù)載可觀測包括資源可觀測和應(yīng)用可觀測。從資源層面來看，一方面，要包含傳統(tǒng)的主機(jī)監(jiān)控指標(biāo)，例如，對(duì)計(jì)算、存儲(chǔ)網(wǎng)絡(luò)等主IOCPUPodServiceTenant括PodMeshAPI安全管理安全策略安全審計(jì)監(jiān)控管理密鑰管理身份管理云原生數(shù)據(jù)安全微服務(wù)安全云原生應(yīng)用安全API安全安全管理安全策略安全審計(jì)監(jiān)控管理密鑰管理身份管理云原生數(shù)據(jù)安全微服務(wù)安全云原生應(yīng)用安全API安全云原生研發(fā)運(yùn)營安全云原生計(jì)算環(huán)境安全運(yùn)行時(shí)安全鏡像安全編排及網(wǎng)絡(luò)安全鏡像完整性保護(hù)基線掃描入侵行為監(jiān)控異常行為監(jiān)控鏡像掃描漏洞掃描鏡像阻斷敏感信息加密訪問控制入侵行為響應(yīng)鏡像倉庫訪問控制訪問控制鏡像倉庫安全通信資源隔離與限制網(wǎng)絡(luò)隔離基礎(chǔ)安設(shè)全施存儲(chǔ)安全網(wǎng)絡(luò)安全基礎(chǔ)安設(shè)全施存儲(chǔ)安全網(wǎng)絡(luò)安全計(jì)算安全四、分層構(gòu)建、全景覆蓋，打造云原生安全防護(hù)體系（一）融合應(yīng)用云安全防護(hù)模型夯實(shí)基礎(chǔ)設(shè)施安全計(jì)算安全（HIDS）HIDS網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備安全。在基礎(chǔ)網(wǎng)絡(luò)（物理網(wǎng)絡(luò)/云主機(jī)網(wǎng)絡(luò)）構(gòu)建過程/機(jī)制、以及安全的雙因素/多因素認(rèn)證機(jī)制，以確保訪問入口的安全性；另外，設(shè)備的資產(chǎn)VPC就是DDoS針對(duì)傳統(tǒng)服務(wù)還是云原生化的服務(wù)都需要有一定的DDoS防御機(jī)制（Web存儲(chǔ)安全（二）關(guān)注容器全要素全生命周期防護(hù)打造云原生計(jì)算環(huán)境安全云原生網(wǎng)絡(luò)安全基于PodPod的策IP控制，阻斷南北向和東西向攻擊，具體實(shí)現(xiàn)方式包括tables、NetworkPolicy云原生系統(tǒng)根據(jù)劃分細(xì)粒程度的不同劃分為網(wǎng)絡(luò)隔離和微隔離。網(wǎng)絡(luò)隔離在云原生系統(tǒng)中多指為二層子網(wǎng)隔離、以租戶劃分的隔離，微隔離體的微隔離方案包括但不限于：基于NetworkPolicy基于Sidecar編排及組件安全runtimeTLS集群編排組件或runtime組件的漏洞危害往往大于用戶某一個(gè)runtimeCNNVDCVE被滲透和控制。與其他漏洞掃描不同，此處掃描的對(duì)象是編排組件，例如K8S、OpenShift等，而容器runtime組件則不限于docker、containerd、kata-container等。runtime（提供以安全域/物理域劃分資源區(qū)域的能力，采用創(chuàng)建pod時(shí)限制資源的方式來限制容器的資源使用，提供集群層面的資源擴(kuò)展能力。通過cgroup應(yīng)用不同的對(duì)象級(jí)別和資源請(qǐng)求及限制，有助于防止節(jié)點(diǎn)和集群資源的耗盡。鏡像安全通過一定的控制手段阻止無法通過完整性校驗(yàn)的鏡像部署到容器集群中。可通過簽名技術(shù)實(shí)現(xiàn)鏡像完整性保護(hù)，并通過與鏡像構(gòu)建的CI/CDCI/CD（Hash具備CI/CDGoogleKritisDocker（DockerContentTrust）機(jī)制用于鏡像完整性檢測以及基于完整性進(jìn)行安全控制。docker內(nèi)容信任機(jī)制；將HealthCheck說明添加到容器鏡像；不在dockerfiledockerfilecopyadd；鏡像中刪除setuid和setgid權(quán)限；涉密信息不存儲(chǔ)在dockerfile漏洞檢測。云原生系統(tǒng)應(yīng)為用戶提供功能全面的鏡像掃描工具，一個(gè)功能全面的鏡像掃描工具應(yīng)能夠?qū)︾R像倉庫中的鏡像和工作節(jié)（、CNNVD、RHSA））（運(yùn)行時(shí)安全（seccomp用過高權(quán)限（如使用特權(quán)容器），掛載系統(tǒng)敏感目錄（如掛載宿主機(jī)/etc目錄到容器內(nèi)）等，使用存在風(fēng)險(xiǎn)的鏡像啟動(dòng)等。system.d、crontab系統(tǒng)嘗試使用dockerexeckubectlexecSSHSSHSQLWebshell針Webshellwebwebwebshell容器內(nèi)惡意程序識(shí)別。容器內(nèi)攻擊行為監(jiān)控。件、掛載docker.sockshell報(bào)庫檢測外聯(lián)的目的IPDDoSrootCVE-2019-5736dockercp(CVE-2019-14271alpinedocker(CVE-2016-5195)等。容器運(yùn)行行為基準(zhǔn)檢查。mysql3306）/（三）跟進(jìn)微服務(wù)、Serverless應(yīng)用新模式持續(xù)推出云原生應(yīng)用安全微服務(wù)安全一是DevOps二是根據(jù)業(yè)務(wù)需求，提供細(xì)粒度的內(nèi)部服務(wù)間認(rèn)證與外部服務(wù)認(rèn)證，支持單點(diǎn)登錄(一次登錄，全部訪問)，支持第三方授權(quán)登錄等功能。果實(shí)施了veedar（例如需要使用SSL/TLSServerless安全對(duì)應(yīng)ServerlessServerless是針對(duì)ServerlessServerless針對(duì)Serverless模型以及平臺(tái)的安全防護(hù)，主要包含：在ServerlessServerlessFaaSFaaSLambdaAmazon（ElasticComputeCloudEC2）模型和安全容器FirecrackerServerlessAPI要進(jìn)行相應(yīng)的安全審查；確認(rèn)應(yīng)用的數(shù)據(jù)類型及數(shù)據(jù)的敏感性；評(píng)估Serverless數(shù)據(jù)的價(jià)值；評(píng)估可訪問數(shù)據(jù)API的安全性。DoWserverlessDoW（四）全流程安全左移打造云原生研發(fā)運(yùn)營安全安全需求分析DevSecOps安全開發(fā)CICI（如Review（tokenCI系統(tǒng)集成CI安全測試DevOps（SAST）（DAST）（IAST）IAST通過人工的滲透測試，發(fā)現(xiàn)工具無法發(fā)現(xiàn)的安全問題。成分分析對(duì)于安全合規(guī)風(fēng)險(xiǎn)管控和權(quán)限態(tài)勢感知都是不可或缺的能安全運(yùn)營ServerServer配置標(biāo)準(zhǔn)、數(shù)據(jù)備份標(biāo)準(zhǔn)等方面符合企業(yè)自身及安全合規(guī)的（PaaS、APIPOC0Day（五）優(yōu)化實(shí)施成本提升運(yùn)營效率實(shí)現(xiàn)云原生數(shù)據(jù)安全（/（（/云產(chǎn)品數(shù)據(jù)安全能力憑據(jù)安全托管能力built-in/DevOpssidecar/api（六）全鏈融合一體納管構(gòu)建云原生安全管理策略身份管理認(rèn)證和訪問管理（IAM）(STS)的（/密鑰管理Secret有效Secret，則應(yīng)Secret都應(yīng)該在工作負(fù)載監(jiān)控管理（（t）和跟蹤（trace）。安全審計(jì)APIAPIAPIAPIAPIGateway4AAPI（/aksk/token等APIAPIAPI安全策略PaaS簽等區(qū)別性管理安全檢測/防護(hù)策略的能力等。/業(yè)務(wù)線靈活配置安全檢測的介入環(huán)節(jié)與類型等。三是安全問題跟蹤處置管理能力：具備處置時(shí)效性管理/自動(dòng)聯(lián)動(dòng)復(fù)測接單管理等。PaaS五、關(guān)注中外、聚焦產(chǎn)品，描繪云原生安全生態(tài)圖景（一）放眼世界，體系化了解云原生安全開源項(xiàng)目與組件CNCFlandscape圖4CNCFlandscape安全項(xiàng)目及工具示意圖ClairClair并進(jìn)行預(yù)警，使用數(shù)據(jù)是基于CommonVulnerabilitiesExposuresCVE),各Linux源，而ClairdexdexOpenIDConnect的設(shè)計(jì)采用了安全和加密的最佳實(shí)踐來最小化攻擊者獲得系統(tǒng)訪問token個(gè)dextoken。kube-benchkube-benchKubernetesKuberneteskube-benchworkerkube-benchBenchmarkkube-apiserverFalcoFalco是一個(gè)云原生運(yùn)行時(shí)安全系統(tǒng)，可與容器和原始LinuxSysdigCNCFFalco的BPFFalco包含一組豐OpenPolicyAgentOpenPolicyOPA（二）立足本土，系統(tǒng)化梳理云原生安全解決方案與服務(wù)華為云·容器平臺(tái)安全方案華為云容器安全方案作為專門為容器技術(shù)設(shè)計(jì)的安全產(chǎn)品方案，給予企業(yè)容器虛擬環(huán)境從鏡像開發(fā)構(gòu)建到部署到倉庫，再到生產(chǎn)環(huán)境運(yùn)行的整個(gè)周期的安全性，減少IT安全部門與開發(fā)部門的協(xié)調(diào)溝通圖5華為云容器安全方案架構(gòu)圖CGSSWRDevCloudCGSIAMCCE容器部署安全。華為云容器安全方案的容器部署安全主要包括兩個(gè)方面的內(nèi)容，一是容器管理面的基礎(chǔ)設(shè)施安全包括鏡像倉庫自身、以及K8SIaaSVPC（ECSBMS）SSL證書和httpsOBSKubernetes（Pod）CGS（阿里云·容器平臺(tái)安全方案阿里云ACKForresterIaaS圖6阿里云ACK容器服務(wù)安全體系架構(gòu)圖整個(gè)容器安全體系依托于阿里云強(qiáng)大的平臺(tái)安全能力，包括物理/硬件/虛擬化以及云產(chǎn)品安全能力，構(gòu)建夯實(shí)平臺(tái)安全底座。host節(jié)點(diǎn)OS\h關(guān)工作，AlibabaCloudLinux2方操作系統(tǒng)鏡像，也是ACK的首選默認(rèn)系統(tǒng)鏡像。AlibabaCloudLinux22019816CISAlibabaCloudLinuxCISKubernetes等業(yè)界安CISKubernetesbenchmarkforACK正式通過CIS社區(qū)組織的認(rèn)證審核，成為國內(nèi)首家發(fā)布Kubernetes\hACK管控側(cè)和阿里云RAMACK圖7阿里云ACK容器服務(wù)應(yīng)用全生命周期安全能力騰訊云·容器平臺(tái)安全方案（shell、圖8騰訊云容器安全服務(wù)（TCSS）架構(gòu)圖集中管理?；诳梢暬缑?，提