在7月29日的2020可信雲大會上,信通院釋出了國内雲廠商的容器安全評估結果。阿裡雲容器服務榮獲最進階别先進級可信雲安全能力認證,特别是在最小化攻擊面,二進制鏡像驗簽名,密文的BYOK加密等能力上國内領先,達到國際先進水準。
阿裡雲關注企業級使用者的Kubernetes生産落地痛點,結合企業生産環境的大量實踐,全面幫助企業真正落地雲原生架構。安全側問題,是衆多大中型或金融領域企業的核心關注點。
端到端雲原生安全架構
早在2018年,阿裡雲容器服務團隊率先提出了“端到端的企業級安全能力”概念,并推出立體式的端到端雲原生安全架構。
容器和雲原生時代的安全挑戰和傳統安全主要有以下三點不同:
- 第一個是高動态和高密度。傳統時代一台機器隻跑幾個應用,而現在在一台伺服器會運作上百個應用,是原來十幾倍的密度。另外考慮到容器的自動恢複等特性,上一刻的容器在A機器,下一刻就會随時漂移到另一台機器。
- 第二個是靈活和快速疊代,容器 DevOps 化的應用釋出非常頻繁,是傳統的幾倍。
- 第三,在開放标準、軟體行業社會化大分工的時代,越來越多不可信三方開源軟體的引入也加劇了安全風險。而容器的這些特點都會對雲原生安全提出了更高的要求。
為了應對這些安全風險,阿裡雲容器服務團隊推出立體式的端到端雲原生安全架構,并從三個層面來解決安全問題:
- 最底層依托于阿裡雲平台已有的安全能力,包括實體安全,硬體安全,虛拟化安全和雲産品安全能力;
- 中間是容器基礎設施安全層,基于最小化攻擊面原則,提供了包括通路控制,權限收斂,配置加強和身份管理等重要的底座安全能力;同時針對憑證下發,證書、密鑰,叢集審計等使用者通路鍊路上的安全要素,建構了對應的自動化運維體系;
- 在容器基礎設施安全層之上,針對容器應用從建構到運作的生命周期在供應鍊和運作時刻提供對應的安全能力,比如在建構階段提供了鏡像安全掃描和鏡像簽名能力;在部署和運作時刻,提供了集運作時政策管理,配置巡檢,運作時安全掃描的一體化安全管理能力,同時支援安全沙箱容器和TEE機密計算技術,為企業容器應用提供更好的安全隔離性和資料安全私密性。
縱深防禦,呵護容器應用全生命周期
随着雲原生技術的日趨火熱,已經有越來越多的企業選擇在自己的生産環境中進行容器化的雲原生改造,而K8s社群的火熱使得其成為衆多輿論媒體關注的目标之外,也使得其成為衆多攻擊者攻擊的主要目标。
容器安全如今充滿新挑戰, 一方面是Kubernetes、helm、etcd等開源項目的高危漏洞頻出,相關輿論愈發引起關注,據統計,從2018年開始,Kubernetes社群已經暴露了20餘次CVE漏洞。
另一方面,Kubernetes作為雲原生時代新的作業系統與不同的異構計算裝置的廣泛內建以及serverless技術的日趨發展也使得容器應用的生命周期越來越短,同時叢集節點的容器應用部署密度也越來越高,傳統的供應鍊側的安全掃描已經很難将風險完全暴露, 面對上述種種安全挑戰,需要針對雲原生下容器技術的特點,在安全上建構更加明确的防護體系和相應的技術更新。
阿裡雲容器服務ACK和容器鏡像服務ACR在上述的基礎架構-軟體供應鍊-運作時三層雲安全架構基礎上,還做了兩大工作:縱深防禦,建構從供應鍊到運作時的一體化安全流程;最小化攻擊面,打造安全穩定的容器基礎平台。
在企業級使用者的應用生命周期中,基于阿裡雲容器服務安全的整體架構,首先在應用的開發,測試和建構階段,使用者可以在供應鍊側通過鏡像安全掃描提前暴露應用鏡像中的安全風險,同時企業級使用者可以在阿裡雲容器鏡像服務企業版 ACR EE 中開啟指定倉庫的鏡像簽名能力為推送鏡像自動簽名;在應用部署前,預設安全是應用系統中安全設計的重要原則,而配置安全也是容器應用在生産環境指令的主要風險。為此叢集的安全管理者可以通過阿裡雲容器服務提供的統一政策管理平台,遵循一緻性的規則配置定義,為不同叢集内的應用系統提供定制化的安全治理性;在應用成功部署後,并不意味着我們的安全工作就到此結束了,使用者可以通過容器服務安全管理中心提供的運作時監控告警、配置巡檢、叢集審計和密鑰加密等手段,保護容器應用的運作時刻安全,建構整個容器安全的縱深防禦能力。
客戶的選擇,業界的認可,阿裡雲的使命
自2011年開始容器化程序,阿裡開啟了中國公司将雲原生技術體系在電商、金融、制造等領域中大規模應用的先河,阿裡雲沉澱了最豐富的雲原生産品家族、最全面的雲原生開源貢獻、最大的容器叢集和客戶群體和廣泛的雲原生應用實踐。
很多選擇了阿裡雲容器服務的客戶也會有各種各樣的安全場景需求:
某國際新零售巨頭在意公司内部IT資産安全,使用容器鏡像服務 ACR 安全軟體供應鍊的鏡像加簽和掃描,RAM角色進行系列度RBAC權限控制,服務網格全鍊路mTLS認證、證書管理和審計。
某國際金融銀行關注資料運轉安全 ,不僅使用基于阿裡雲容器服務ACK的全鍊路資料加密和雲安全中心運作時刻告警監控,而且還搭配使用托管服務網格ASM進行應用東西向流量的細粒度控制。
某國際遊戲廠商希望更高效管控各方權限,進行了pod級别的控制層面雲資源的權限隔離,外部KMS系統的密鑰同步導入更新,資料平面系列度的權限控制,以及密鑰管理確定容器敏感資訊不會洩露。
2020年5月, Gartner釋出《Solution Comparison for the Native Security Capabilities 》報告,首次全面評估全球TOP雲廠商的整體安全能力。阿裡雲作為亞洲唯一入圍廠商,其整體安全能力拿下全球第二,11項安全能力被評估為最高水準(High)。
【活動廣告】
阿裡雲容器團隊将聯合阿裡雲安全及雲效團隊,在8月12日下午兩點,對阿裡雲容器安全能力進行深度解讀。歡迎通路本連結注冊參會:
https://developer.aliyun.com/live/43548