容器安全技術發展研究及政策建議

容器安全技術面向容器環境，提供針對容器“構建-分發-運行”全生命周期的安全防護，對容器環境、容器平臺、容器編排引擎等場景提供全方位的安全防護體系，為云計算、虛擬化場景下的容器化業務和應用系統提供安全保障。

一容器安全技術發展情況

容器是一個承載和運行工作負載的單元，如同虛擬機、物理主機一樣，其本質上是一種操作系統層面的輕量虛擬化技術。

容器安全技術圍繞如何保障容器里承載的業務和應用系統的安全而開展，以Container Security的獨立名稱定義出現在2019年Gartner出版的“云安全技術成熟度曲線”報告中，隨后改名為Container and Kubernetes Security。Kubernetes是目前使用最廣泛的容器編排平臺，支持容器化工作負載的自動化部署、大規模可伸縮、應用容器化管理等流程。容器安全技術已經不局限于容器本身的安全，還需要考慮圍繞容器技術發展的其他各項衍生技術的安全問題。

容器安全技術需要圍繞容器全生命周期提供各項安全措施，包括構建、傳輸和運行三個階段，同時在運行階段對容器運行環境和運行狀態進行實時檢測，提供安全防護措施，并應對動態變化的容器虛擬化場景。

二容器安全技術發展難點

容器安全技術的目標是面向容器、容器環境、容器編排引擎等一系列對象，提供自適應的安全防護能力，健全用戶安全防護體系。 

容器安全技術體系主要包括七種方面，包括鏡像漏洞掃描、CI/CD集成、容器資產梳理、容器微隔離、運行環境合規審計、容器運行時防護和微服務治理。容器安全技術發展的主要難點包括：

1．鏡像漏洞掃描技術

由于容器鏡像的特殊格式，傳統漏洞掃描技術無法適用于面向鏡像的漏洞掃描場景，首先需要對容器鏡像進行解析然后才能進行后續步驟。鏡像漏洞掃描技術的鏡像對象主要來源于CI/CD集成環境和鏡像倉庫兩部分，需要對相關對象進行對接和適配，形成標準化的解決方案。鏡像漏洞掃描技術也需要與威脅情報等外部情報、分析方法結合提供更準確和更有價值的信息。

2．容器級別的網絡隔離技術

容器級別的隔離技術需要適應容器環境，而容器網絡是虛擬化的邏輯網絡，傳統宿主機的網絡隔離技術難以適配，因此需要在容器環境中實現自適應的容器網絡隔離能力。

3．容器入侵檢測技術

隨著攻擊技術的發展，攻擊技術向復雜化、高級化和持續化發展，傳統面向網絡特征的入侵檢測技術難以適用于現在的網絡環境中。一方面，容器環境中通常一個容器提供一個服務，其網絡特征相對單一；另一方面，由于未知攻擊和未知漏洞的存在，容器入侵檢測技術還需要進行容器行為監測、容器異常行為檢測。

4．容器環境基線核查技術

容器場景下的各項問題、各項風險均處于研究過程中，因此面向容器環境的基線和合規條件還處于研究和逐步落地階段，對容器環境的基線核查基準需要進一步深化研究。

三容器安全技術產業落地情況

目前容器安全技術在國外相對成熟，而國內處于發展階段。國外研究較早、積累較多，美國國家標準與技術研究院（NIST）在2017年發布了 SP800-190《容器安全指南》。該標準總結概括了在容器使用過程存在的安全問題，并對這些問題提供了針對性的對策建議。另外，Palo Alto Networks、Aqua Security、Symantec、McAfee、NeuVector、Qualys、StackRox等安全公司也正在大力建設容器安全體系，推出其容器安全相關產品。

國內容器安全雖然起步較晚，但是發展迅速，目前阿里云、騰訊云、華為云等云服務供應商已逐步推出其容器安全相關產品，啟明星辰、綠盟科技、天融信等綜合安全廠商也已推出容器安全系列產品，小佑科技等初創安全廠商也在大力投入容器安全領域并推出相關產品。預計未來各類廠商的容器安全產品成熟度將進一步增加，形成有競爭力的產品和活躍的市場。

四意見和建議

隨著數字化轉型進程加快，網絡架構、業務形態等飛速發展，容器技術及其衍生技術和產品成為最熱門的方向之一。容器技術為業務快速迭代、上線、動態擴展、彈性擴容提供了便捷的基礎，容器技術面臨新型安全挑戰，因此，建議從以下方面來促進容器安全技術的發展：

1．加快研究制定容器安全相關標準

建議國內加速容器安全的相關標準化進程，制定容器安全技術相關技術規范系列標準、技術測試系列標準等，同時在各行業內逐步形成各行業規范，并開展相關國際化工作，提高我國容器安全技術國際影響力。

2．加強容器安全關鍵技術研究

建議加強對容器安全技術的研究力度，集中安全廠商、云服務供應商的力量，進一步加強云計算、虛擬化等應用領域的安全防護體系研究和合作，加速形成合作技術和產業氛圍。