騰訊云發布容器安全白皮書

云原生充分利用云計算的彈性、敏捷、資源池化和服務化等特性，解決業務在開發、集成、分發和運行等整個生命周期中遇到的問題，以其 高效穩定、快速響應 等特點極大的釋放了云計算效能，成為企業數字業務應用創新的原動力，有效推動了國民經濟的高質量發展。

當前，騰訊云原生產品體系和架構已非常完善，涵蓋了軟件研發流程、計算資源、架構框架、數據存儲和處理、安全等五大領域的多個場景。依托這些云原生產品，正在為不同行業、不同規模和不同發展階段的數十萬家客戶提供云原生服務。

（圖1 騰訊云原生產品矩陣）

一次次安全事件的曝光，讓用戶在享受云原生紅利的同時，對安全產生了極大的擔憂。基于騰訊多年對安全攻防技術的研究積累，持續在安全能力上的沉淀，以及對云原生安全領域的研究和實踐運營，同時結合騰訊云容器平臺 TKE 千萬級核心規模容器集群治理經驗，騰訊云容器服務 TKE 聯合騰訊安全云鼎實驗室，聯合撰寫了《騰訊云容器安全白皮書》，希望以這樣的方式，把我們的一些心得分享給業界，共同推動云原生安全的發展。

提前規避業務風險是用戶關注容器安全的主要原因

根據調研發現，有77.2%的受訪者為提前規避業務風險而關注容器安全能力建設，甚至有50.8%的受訪者表示他們的業務系統已經經歷過容器或 Kubernetes 相關的安全攻擊事件。

（圖2 用戶關注容器安全的原因）

容器逃逸是用戶最關注的安全問題，同時也是線上業務遇到最多的安全問題

容器逃逸、鏡像安全、集群入侵是受訪者最關注的容器安全問題。其中，集群入侵是運維人員最關注的容器安全問題；而安全人員最關注的是容器逃逸問題；研發人員則更關注鏡像安全問題。

（圖3 用戶最關注的容器安全問題）

2021年，騰訊云容器安全服務監測到的可疑容器逃逸行為84萬次，檢出容器內掛馬事件共901次，這樣的運營數據也恰好驗證了用戶對逃逸行為的擔憂。

（圖4 2021年容器運行時入侵事件統計分布）

針對容器的在野攻擊數量巨大，容器成為重要的攻擊環境

騰訊安全通過在互聯網上部署大量模擬運行的容器服務，持續跟蹤并捕獲正在發生的針對容器的在野攻擊。僅2021年9月份，騰訊云安全監測捕獲到針對容器的在野攻擊達10.8萬次，發起容器攻擊的 IP 來源分布分別為中國70619次，其次是俄羅斯11220次和美國7139次。

（圖5 針對容器的在野攻擊來源統計）

根據容器在野攻擊監測數據顯示，互聯網存在大量針對容器服務進行的持續脆弱性探測和入侵，包括容器未授權訪問探測、Kubernetes 集群組件漏洞探測，容器登陸嘗試等行為。

容器安全能力已有不同程度的部署應用，但總體比例不高

調研數據顯示，59.7%的受訪者表示業務側已經應用了鏡像漏洞掃描能力，有52.6%已經實現了容器主機安全加固，有45.9%已經支持集群監控和日志審計。

（圖6 容器安全能力部署應用情況）

這樣的部署情況，一方面取決于云原生技術確實存在一定的操作門檻，根據我們的調研數據，技術操作門檻高、業務側學習成本大是限制企業容器安全能力全面部署的主要因素。

（圖7 影響容器安全落地的主要因素）

另一方面，安全管理和安全運營的復雜性，也在一定程度上限制了容器安全的落地應用。例如，在業務遇到問題時，需要運維方和云服務提供方人工介入進行問題排查以及參數調優等。這樣的操作在現實生產環境中比較常見，然后這又跟云原生的不可變基礎設施等核心理念相沖突。

騰訊云容器服務TKE提供原生的容器安全能力，助力容器用戶實現上線即安全

基于安全能力原生化、安全左移和零信任等安全設計原則，騰訊云容器服務 TKE 采用層次化的安全體系，逐層實現安全防護。分別在承載容器云平臺的基礎設施層、容器和容器云平臺基礎架構層、以及容器承載的應用層實現安全防護。

（圖8 騰訊云容器安全體系）

同時，容器安全體系還與 DevOps 體系進行協同聯動，在 DevOps 流程中嵌入安全能力，實現安全左移，降低運行過程中安全檢測和防護的成本。在安全管理和運營上，通過密鑰管理、安全策略管理、漏洞管理等服務，實現對用戶云上的容器服務持續的檢測和響應，確保其安全性。