近日，國際權威咨詢機構IDC發布了《PRC SDC Software Market Overview， 2019H2/2019》報告。報告顯示，華為云容器軟件市場份額位居國內廠商第一。除杰出的市場表現，華為云容器優異的技術特別是安全性再次成為焦點。其實早在去年9月，全球權威咨詢機構Forrester發布的報告就指出，華為云容器有“強大的安全和應用生命周期管理能力”，“安全能力覆蓋面很廣”。

一、容器安全為何如此重要？

為何測評機構如此看重容器的安全性，將其作為衡量容器產品最重要的競爭力之一呢？

容器，本質是將操作系統、應用等資源（也叫宿主機）虛擬化出相互隔離的獨立單元，是某個容器鏡像的一個實現。

容器“麻雀雖小五臟俱全”，可以用于業務的開發、交付和部署等。容器鏡像則是輕量的軟件包 ，包含開發、交付和部署等所需的代碼、運行環境、系統工具、系統庫和設置等。可見，容器可以用更少的資源來實現更豐富的功能。

但與所有新技術一樣，容器也面臨新的安全挑戰：一旦某個容器被攻陷，就會導致同在一個宿主機上的其它容器也面臨被攻陷的風險（也即“容器逃逸”），并由此導致更多的安全問題：

1.容器本身也是軟件，不安全的鏡像會導致容器被攻擊。

2.傳統的主機間防火墻規則不適用于容器。

3.安全隔離面更小，核心模塊更易被直接攻擊，危及整個系統的安全。

4.容器運行在某個具體的容器集群環境中，環境相關的系統、應用和網絡都要進行安全加固、檢測和防護。

二、華為云全球首發容器安全服務

華為云在設計容器之初就考慮和妥善解決了這些可能影響用戶使用的安全問題，并于2018年8月全球首發了容器安全服務（Container Guard Service，CGS），從容器集群安全、鏡像構建安全（Build）、鏡像倉庫安全（Ship）、鏡像運行安全（Run）保障容器全生命周期安全。CGS主要功能包括：

1.保障容器集群安全

容器集群包括容器運行的某個宿主機和宿主機的管理節點。華為云采用了宿主機系統漏洞檢測修復、集群組件安全加固、網絡隔離、租戶資源隔離、資源訪問控制等措施，保障容器集群的安全。

2.實時安全檢測防止容器逃逸

首先，CGS可對容器進行細粒度的租戶隔離，防止租戶間相關攻擊和資源濫用；其次，CGS可對異常行為進行檢測和關聯分析，準確發現和阻斷shocker攻擊、進程提權、DirtyCow和文件暴力破解等攻擊，及早規避容器逃逸。

3.安全掃描保障鏡像安全運行

CGS對官方鏡像進行定時漏洞掃描，幫助用戶在制作鏡像前進行漏洞修復。在容器的構建階段，CGS即可掃描鏡像編碼的安全問題。在容器分發階段，CGS會持續對鏡像進行安全掃描，發現可能存在的漏洞和風險，并給出修復和調整意見。

4.自定義運行時的安全策略

在容器運行的時候，CGS可通過惡意程序庫，有效檢測挖礦、勒索病毒等惡意程序；用戶可設置安全策略對某些安全漏洞和風險進行攔截和告警，也可設置進程白名單，有效阻止異常進程、提權攻擊、違規操作等風險；文件只讀保護功能能鎖定和保護關鍵文件，避免被篡改。

總之，通過以上一系列安全措施，華為云讓用戶更加安心地使用容器。

責任編輯：gt