雖然容器技術出現已經超過了十年時間，但由于其應用的輕量性、快捷性和靈活性，使得容器應用的流行程度一直保持了快速的增長趨勢，并逐漸成為云原生環境中部署業務應用和工作負載的不二選擇。在容器應用快速普及的發展背景下，要確保容器應用的安全性也將是一項充滿挑戰的工作，不僅需要全面實施并維護保護容器和底層基礎設施的安全控制措施，保護容器化的應用程序，同時還需要保護整個DevOps生命周期中使用的各個組件堆棧。

容器應用安全的主要挑戰

據CNCF(云原生計算基金會)最新的調查數據顯示，目前有96%的企業組織正在使用或計劃使用容器技術，確保容器應用安全對于保護現代企業數字化轉型的安全開展至關重要。安全研究人員發現，容器技術在應用中的安全挑戰主要包括以下方面：

1、容器環境對外暴露

在大多數時候，創建容器是為了使應用部署更加方便。但是沒有訪問控制措施的容器也會給不法分子可乘之機。此外，容器技術應用部署依賴 Linux 內核的 namespaces 和 cgroups 等特性，從攻擊者的角度看，可以利用內核系統漏洞從多個維度發起針對性的逃逸和越權攻擊。

2、開源代碼隨意使用

開源代碼雖然使用方便，但會帶來許多安全威脅。大多數的開源代碼缺少秘密信息(secrets)驗證這一環節，這可能會暴露企業的機密信息。比如說，一些開源代碼中會含有代碼貢獻者的IP信息，因此當這些代碼運行時，會出現針對該IP地址的遠程過程調用(RPC)，一旦攻擊者監控到這些未授權的RPC，就能夠模仿成被調用的對象來訪問容器中的應用或數據。

3、交付周期變短

在容器開發模式中，很多開發人員被迫加快行動，以提供更大的價值，這導致團隊常常忽略安全性檢測以便如期交付。為了提升應用的交付速度而降低安全性完全是個誤區。實際上，從長遠來看，在整個應用開發生命周期的早期階段實施安全可以節省更多的開發時間和成本。

4、安全職責不明確

企業應用上云后的安全需要遵循責任共擔模型，在企業應用架構云原生的轉型過程中，需要企業應用管理者和安全運維人員理解容器應用安全的責任邊界。這個過程中也需要云服務商輸出更全面的容器安全最佳實踐并提升安全能力的易用性，降低使用門檻。

5、缺少應用側的防護

容器技術改變了傳統業務應用的部署模式，應用自身的生命周期被大幅縮短，一個容器應用的生命周期通常是分鐘級;同時，隨著存儲網絡和異構資源利用率等基礎設施能力上的提升，容器應用的部署密度也越來越高。在此背景下，傳統的安全防護策略和監控措施已經無法適應容器技術安全應用的需求。

容器安全的6點建議

為了應對上述容器化應用進程中的安全挑戰，本文收集整理了6種有用的最佳實踐。

1、編寫干凈的代碼

為了保護容器應用中的數據安全，企業應避免將隱私信息硬編碼到軟件代碼或存儲庫的配置文件中。企業可以使用Git Secrets或其他類似的工具，防止將密碼及其他敏感信息提交到Git存儲庫。另外，建議企業使用像Amazon CodeGuru Reviewer這樣的工具來檢查編寫的代碼，提前發現任何潛在的漏洞。越早檢測和緩解漏洞，對保障容器的應用安全越有利。

2、容器鏡像加固

對容器鏡像進行加固有助于限制潛在的安全風險并減少漏洞。為了簡化這個過程，企業可以使用面向容器操作系統的加固版鏡像，但切勿盲目相信這些預加固的鏡像。企業要確保不斷地掃描它們，以查找其中可能潛入的安全漏洞。通過使用加固版鏡像構建管道，企業可以創建供一個標準化的基礎鏡像環境，提升容器應用的安全性。

3、確保鏡像安全

為了確保鏡像安全，企業組織要確保僅從可信來源提取鏡像，并將它們存儲在企業的私有存儲庫中。通過私有存儲庫，企業可以為容器的訪問管理提供必要的安全控制措施。要確保只給需要訪問權限的人進行授權，同時不要以root用戶的身份運行鏡像，這種做法過于寬松，可能會讓不法分子有機會注入惡意代碼。

4、在整個管道中測試容器

企業應該在整個開發管道中進行安全性測試，而不是把測試留到最后環節。第一種測試方法是容器鏡像掃描，這有助于識別軟件漏洞。接下來，使用靜態應用程序安全測試(SAST)工具來分析源代碼或編譯好的代碼，以幫助發現安全缺陷。最后，動態應用程序安全測試(DAST)工具從外部自動掃描Web應用程序，尋找安全漏洞，比如SQL注入、命令注入或不安全的服務器配置。DAST通常在應用程序部署到試運行環境之后完成。

5、確保容器環境的可觀察性

安全運營團隊需要了解全局，以便盡早緩解威脅，這就是合作至關重要的原因。由于容器是短暫的，會快速創建和銷毀，因此很難監控和跟蹤變化，特別是在復雜系統中。為了幫助安全運營團隊監控容器運行的安全態勢，需要采用那些可以提供全面可見性又不干擾容器運行工作的創新安全工具。正確的安全工具可以讓企業足以深入了解適當監控和測量容器運行狀況所需的指標和日志。

6、確保訪問安全

加強對容器的訪問管理極其重要，除了應遵循最小權限理念，還應該采取零信任方法，即從不信任并始終驗證請求訪問的任何設備、應用程序或用戶。使用基礎設施即代碼(IaC)是確保應用程序容器在部署時安全的好方法。記得在部署之前采取必要的安全處理流程，比如掃描IaC模板，以防配置被其他團隊更改。

參考鏈接：

https://www.trendmicro.com/en_us/devops/22/b/container-security-best-practices.html。