文章采写：《中国报道》记者张利娟

2018年，Redlock团队披露，黑客入侵了特斯拉数百个未设置密码保护的Kubernetes管理控制台，不仅攫取了大量敏感数据，其Kubernetes Pod还被用于挖矿。国内外各企业不得不反思：云原生时代已至，传统的安全体系已经无法应对新的安全威胁，如何在享受容器带来的降本增效、信息融合等便利的同时，部署更为有效的安全体系和产品，让容器不裸奔？

《中国报道》记者采访了在云原生领域走在前列的、某知名物流公司信息安全专家任祖森（曾担任起亚、吉利等知名汽车主机厂信息安全负责人）、 IT架构师张晓丹（曾担任久游网、聚尚网等企业技术负责人），两位均致力于安全攻防前沿多年，对此深有感触。

一、云原生规模化落地，安全问题不容忽视

从简单的应用容器化，到云原生应用的开发，容器技术成为了其最基础也是最核心的支撑技术。根据Gartner预测，到2023年将有超过70%组织会在生产环境中运行超过3个容器应用程序。

据张老师介绍，该公司是物流行业较早部署云原生化改造的企业之一，目前已完成云原生规模化落地，并采用了轻量级的容器技术、Kubernetes编排技术。他表示，对于物流行业而言，容器化能够带来六大益处：

• 部署方便
• 部署安全
• 隔离性好
• 快速回滚
• 使用成本低
• 管理成本低

然而，新技术带来利益的同时，容器网络、容器镜像、暴露的API、容器的隔离等引发的安全问题也不容忽视。研究表明：“Kubernetes的优势在于它的基本速度、编排、自动化和规模，但当出现安全问题时，因攻击易于扩散，这些优势反而使容器更易遭到损害。”而StackRox最近的一项调查，也表明了大批企业对频发的安全问题计无所出：“超过三分之一的机构担心他们的安全策略不能充分解决容器安全问题；另有15%的人认为他们的战略中没有对容器安全的威胁起到足够重视，尤其是对Kubernetes的部署。”

张老师在谈及国内容器安全的成熟度中表示：“目前容器技术逐步被大多数企业采用，但相关技术团队对容器安全技术了解的并不透彻。调研数据显示，绝大多数公司担心不可知的安全风险，以及市场无法提供丰富的技术手段，但随着容器的蓬勃发展，我相信容器安全技术将日臻成熟。可以预见，未来容器安全将呈现三大趋势：安全策略即代码、安全网格化服务、容器安全动态调整。”

二、青藤蜂巢，赋能容器全生命周期安全

任老师说：“网络安全体系是一项复杂的系统工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障。针对网络安全防护，有几个比较经典模型：PDRR模型、P2DR模型、IATF框架和黄金标准框架。”

在谈及云原生安全方面，他表示：“将容器安全策略纳入企业网络安全体系，并在容器安全产品的选型上，着重考虑全生命周期防护、持续的监控与分析的实现，才能实现防范化解风险。”

如今，在青藤蜂巢·容器安全产品的催化下，该物流公司的安全状况迎来了极大改善：

1.资产清点: 在发生安全事件时，全面及时的资产数据支持，缩短了排查问题的时间周期，减少了企业损失。此外，资产信息与补丁、⼊侵功能协同联动，将帮助用户快速定位问题容器、及时查看到容器内的进程、应用详情信息。

2.解决Docker 补丁管理难的问题：通过建⽴⼀个智能应用补丁扫描⼯具，为安全运维⼈员提供补丁管理、补丁检测以及自动化补丁修复建议。

3. 入侵检测：视角从了解黑客的攻击⽅式，转化成对内在指标的持续监控和分析，无论多么高级的黑客攻击行为都会触发内部指标的异常变化，从而被迅速发现并处理。

4. 合规基线：紧跟监管政策，不断更新等级保护、CIS 标准对应的基线。⼀键自动化进⾏检测，提供可视化基线检查结果和代码级的修复建议。

最后，两位专家希望青藤在安全领域中不断发挥技术优势、创新与匠心精神，持续帮助用户构筑高效、稳定、智能的安全防线。