越来越多的企业开始采用容器化的云原生应用，从第一个容器化应用开发到管理数千个容器的过程中，安全需求也在不断变化。某制造企业在容器应用初级阶段，携手青藤云安全做好云原生安全建设。

背景及挑战

为了更好地适应业务的灵活变化和弹性扩容。该企业将容器化应用投入生产运行，但同时也带来了其自身的威胁向量。此时面临的一个核心问题是认知偏差，从开发人员到习惯使用传统工具的安全专家，几乎没有人完全了解容器中可能出现哪些潜在安全问题，也让客户面临前所未有的安全挑战。

漏洞管理难：在开发过程中，漏洞管理最重要的环节就是镜像扫描。有些扫描工具只能发现操作系统漏洞和某些特定语言才会有的漏洞，而有些却无法扫描每个镜像层或某些开源软件包。

合规管理效率低：团队人员通过手动进行配置管理，不但效率低而且极易出错，客户需要自动执行配置检查的工具改善安全状况并减少运营工作量。

缺少运行时安全：应用投入生产后，必须能够检测到应用中出现异常行为，这可能是发生安全事件的前兆。

解决方案

为了更好的解决容器安全问题，该制造业企业采用了青藤云安全提供的容器安全一站式解决方案，尽早在容器生命周期中引入安全，将安全嵌入到构建、部署和运行整个容器生命周期中，做到开发阶段—安全左移和运行阶段—自适应安全。

 l 构建阶段

①安全镜像扫描

通过容器镜像扫描，检测是否包含常用漏洞和风险（CVE），减少最终容器镜像的攻击面。正确的镜像扫描包括以下几个级别：

-进行镜像扫描，检查根镜像和开源镜像库中是否有已知的第三方漏洞。

-对配置和部署脚本进行静态扫描，及早发现错误配置问题，并对已部署的镜像进行动态基础架构加固扫描。

②观察应用程序行为

在开发和集成时观察微服务架构，了解哪些是正常行为，这有助于威胁建模。在生产中，通过威胁模型检测异常行为，进行隔离。

l 分发阶段

①审核已知内容

容器安全系统需要在通过容器镜像仓库时验证容器镜像，一旦发现不合规情况，就要拦截和隔离相关镜像。

②审核风险评分

对每个检查点的每个容器镜像生成一个风险评分，实现容器生命周期的标准化，并对每个重要的检查点中设置最低安全阈值，如果没有达到最低水平，将对容器生命周期进行控制。

l 部署阶段

①自动部署

将容器安全方案与部署系统联系起来，实现统一的安全策略管理，对所编写的、支持自动化部署任务的代码进行扫描和验证，发现代码中存在的漏洞。

②安全基础架构

在主机上部署无漏洞的容器仍然会有安全风险，需要实施相关的加固最佳实践，例如，以 CIS 基准或公司加固策略为基准，查看与加固最佳实践存在的偏差。

③日志数据审计

通过完整、全面的日志数据审核跟踪，在发生安全风险时可以调查具体原因，并据此采取补救措施并实施新的安全策略。

l 运行阶段

①工作负载清点与可视化

全自动化、细粒度地对工作负载进行分析，并可视化工作负载之间的网络访问行为。

②微隔离

使用微隔离可对容器的网络访问进行控制，并进行事件应急，发生问题后，可以采用隔离方式阻止威胁进一步扩散。

③入侵检测和响应

提供多锚点的基于行为的检测能力，能精准检测容器特有的逃逸行为、基于K8S的攻击行为、容器内的挖矿、横向渗透等行为，同时进一步提供隔离容器、杀文件等方式进行处理。

④溯源分析

通过威胁狩猎主动发现未知威胁，犹如网络空间的“黑匣子”，记录各种日志数据，可用于各种网络安全事件分析，溯源整个攻击过程。

客户收益

某制造企业安全负责人：“起初我们调研了众多的解决方案，现在我特别庆幸当时选择了青藤蜂巢容器安全解决方案，经过实践运行，我们现在整个团队都非常认可它的能力。”

 l 强大的镜像扫描能力

通过CI集成插件，实现DevOps镜像扫描能力，相较于传统扫描工具流程，过去需要用将近1小时的漏洞扫描缩减为6分钟，效率提升10倍，误报率明显降低，实现降本增效。

l 全面的容器运行风险检查

针对运行的容器，一方面对其中的应用进行检测，发现应用漏洞；另一方面通过无损检测的方式，发现应用中的弱口令的问题，如mysql、redis的弱口令。

l 灵活的合规基线能力

支持150+检查项，能够覆盖集群内全部的检查对象，基线采⽤任务检查⽅式，客户可灵活针对不同检查对象、不同业务系统设置灵活的检查任务，以适应复杂的企业环境。