随着越来越多的企业开始上“云”，开始容器化，云安全问题已经成为企业防护的重中之重。那么如何从云原生的代表技术入手，以容器镜像为切入点，来引出容器安全的全生命周期解决方案呢？

现代计算四次浪潮

严格的来说，现代计算的发展可以分为四次浪潮：第一次浪潮发生在 1990年之前，最明显的特征是在裸机服务器上运行 C/S 架构。通常，服务器上只有一个操作系统，也只运行一个应用。第二次浪潮始于2000年左右，相对功能完整的操作系统虚拟化技术的出现。虚拟化的发展改变了服务器市场的同时也迎来了虚拟计算的时代。第三次浪潮则是以云和容器技术为主要特征。第四次浪潮就是功能即服务（FaaS），现在也正在快速发展，但是尚未得到企业的广泛应用。当前，我们现在正处于第三次浪潮的快速发展时期，在这一阶段虽然容器的使用率越来越高，但是其相关安全建设却处于落后阶段。 

现代容器安全建设

容器是一种轻量级的虚拟化技术，主要致力于提供一种可移植、可重用且自动化的方式来打包和运行应用。虽然容器的应用大大简化了云应用的部署，但同时也让云和容器之间也有着本质的联系，云安全离不开容器安全。鉴于容器和云的运行速度非常快，DevSecOps是安全团队最可行的一种途径。DevSecOps将DevOps 团队和安全团队整合在一起，尽早在容器生命周期中引入安全。这种方法将安全嵌入到整个容器生命周期中：构建、部署和运行，这时候安全左移和自动化就是全生命周期容器安全的前提。

容器全生命周期解决方案

青藤云安全提供容器全生命周期的解决方案。全生命周期分为构建阶段、分发阶段、部署阶段和运行阶段。

构建阶段，通常都是以安全镜像扫描、对授信镜像进行签名和注册、观察应用程序行为等确保构建阶段的安全性。

分发阶段，随着容器镜像从一个镜像仓库迁移到另一个镜像仓库（不管是内部还是外部运行的），遇到包含未知漏洞的镜像风险都会增加，这时就需要审核已知内容，一旦发现不合规情况，就要拦截和隔离相关镜像。同时还需要对每个检查点的每个容器镜像制定风险评分，并对每个重要的检查点设置最低安全阈值，如果没有达到最低水平，将对容器生命周期进行控制，最终实现容器生命周期的标准化。

部署阶段，利用编排和调度程序实现容器化微服务的自动化部署，并基于基础架构即代码（IaC）原则，对所编写的、支持自动化部署任务的代码进行扫描和验证，同时实施相关的容器加固最佳实践，通过完整的审核跟踪，调查导致安全事件的原因，采取补救措施，实施新的安全策略。

运行阶段，密码和安全令牌之类的秘钥是安全系统的重要组成部分，容器的秘钥管理需要采用专门解决方案，另外，由于在主机上运行的容器可能会访问主机资源，应该限制正在运行的容器的访问限制，使容器只能使用已批准的特定主机资源；容器安全解决方案需要更靠近主机上发生事件的地方。比如，通过容器化的 agent，它会监控所有主机网络活动，主机上运行的容器的流入和流出，并观察容器是如何与不同主机的另一个网络进行交互的。了解了网络交互情况之后，可以通过网络流量加固活动来阻止任何异常活动。 

青藤蜂巢·云原生安全平台是青藤潜心打造的一款云原生安全产品，通过对容器安全状况的持续监控与分析，可视化展现风险场景，在容器应用的整个生命周期（构建、分发、部署、运行）保护容器安全，做到了“保护容器主机的安全、保护容器网络流量的安全、保护容器中应用的安全、保护容器管理技术堆栈、保护构建管道的完整性”，实现预测、防御、检测和响应的安全闭环。未来，青藤将以持续“为新技术提供新安全”为使命，致力于创新研发、关键技术攻关，源源不断地为企业输送安全能力。