保障云原生集群安全解析.docx

?

?

保障云原生集群安全解析

?

?

很多早期建设容器云的企业已经深深感知到，面对容器技术的全新架构，“高筑城墙以御外敌”的传统安全方案已经不合时宜，更多的攻击面、监控和防护难度大、安全管控难度高，企业必须重新审视容器云环境的安全策略。容器安全防护范围需要前移，防护粒度需要更细，也需要静态安全与动态安全防护相结合。联盟容器云安全课题组的目标是帮助企业健全容器安全防护工作体系，提供镜像安全、基础设施安全、运行时安全等能力建设参考，减少摸索时间，让更多重要生产应用运行在安全的容器环境中。

本文是“云原生应用创新实践联盟——容器云安全方向课题组”近期举办的一次线上交流活动的精华内容汇总。

如何保障云原生集群安全？

?导读?

随着容器化技术的不断成熟、在生产环境中落地的案例不断增多，越来越多的金融机构选择通过采用容器云作为基础设施的方式来进行数字化转型，提升科技服务响应速度和效率，提升行业竞争力。目前Kubernetes已是容器应用编排与管理的事实标准，金融行业因稳定性和安全性要求的行业特点，在使用Kubernetes时需要部署多套集群，但是Kubernetes原生的管理能力目前仍然停留在单集群级别。采用传统的运维方式，对多套集群的节点、网络、存储单独维护给运维人员带来了较大的工作量，而且工作量随着集群的增加而增加，这给容器云的多集群大规模推广使用带来了一定的影响，多集群的管理已成为了大规模使用容器云的一个常见痛点和迫切的需求。因此很多企业都在使用容器云，都建设统一的容器云PaaS管理平台，实现统一的多集群管理、集群高可用、应用编排、故障自动迁移等目标。

所以，围绕容器集群划分原则、容器集群安全分类以及如何进行规避、容器集群节点的安全是如何保障等等，本期论坛组织了“容器云安全系列之容器集群安全”探讨，由课题组专家及社区同行针对以上各方面进行了充分的讨论，现将交流内容和精彩回答整理如下，以供大家学习参考。

执笔专家

孙洪轩容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。光大科技自动化专家，多年IT研发经验，近几年一直深耕区块链，云原生等前沿技术领域。先后为集团设计并建设了区块链云服务平台，容器云PaaS平台等中大型项目。具备丰富的软件架构设计，项目落地经验。

顾问专家

罗文江容器云安全用户委员会委员

twt社区云原生应用创新实践联盟——容器云安全方向课题组组长，招商银行云计算架构师，当前从事银行私有云和公有云基础设施、以及混合云架构的建设，参与包括容器云等相关云服务的规划、技术选型、架构设计和实施，以及业务连续性等保障体系的建设工作。

陈建军容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。某保险资深工程师，10年以上网络安全行业从业经验。拥有甲方乙方的工作经历，对传统IDC安全和混合云安全都有实践经验。擅长网络安全架构规划、落地建设和优化运营。

张立容器云安全用户委员会委员

云原生应用创新实践联盟——容器云安全方向课题组专家。现就职于某银行信息科技部系统管理中心，容器云平台技术负责人，负责行内容器云平台建设以及应用容器化改造规范制定。

（更多参与专家可见下方具体内容）

1、容器云集群安全有哪些具体分类？每个安全分类下如何预防及解决？如果预防后还是发生了，应急措施是什么？

专家建议：

罗文江容器云安全用户委员会委员：

1）容器云安全可细分为：平台和基础设施安全、应用安全、运行安全三类。

---平台和基础设施安全：加固宿主机节点的主机安全、容器引擎的技术安全、容器集群各组件的技术安全、容器平台的访问管控安全。

---应用安全：解决镜像仓库安全、应用系统的镜像安全问题

---运行安全：解决基于安全闭环的合规审计。运行态的南北流量中的入侵检测、入侵拦截等安全防护问题，以及东西流量中的网络微隔离和网络阻断安全问题。还需要在检测和监控中提供资产管理，补丁管理，提供统一日志、监控、可视化、故障定位等支持能力。

2）在预防后还是发生问题时，应急措施可以分问题场景，譬如对南北流量做入侵拦截，在东西流量中做网络阻断。对业务应用系统CVE漏洞进行镜像安全补丁加固升级或运行降级。对集群进行CIS审计和安全加固处理。

孙洪轩容器云安全用户委员会委员：

容器云集群安全涉及到的层面较多，覆盖的范围较广，自下而上梳理主要有以下几点：

1）基础设施资源安全。基础设施资源主要涉及到网络安全和存储安全，容器云平台要能够灵活的定义各种网络策略，对pod的流量进行限制，隔离。同时容器的数据不能放在容器内的存储上，包括日志数据。数据要及时采集备份到外部的数据中心。数据中心要有完善的安全措施。

2）基础组件安全。容器云平台需要实现统一认证中心和权限中心等基础组件，