企业容器云平台的安全性设计建设方案参考指引.docx

?

?

企业容器云平台的安全性设计建设方案参考指引

?

导读本文主要从容器云平台云平台运行时，管理平台、应用镜像构建、应用部署运行监控、租户管理、4A管理、行业规范、最佳实践方面讲述容器云平台的安全设计，突出容器安全设计与建设是系统工程，是需要从下层到上层，从平台到应用，从理论到实践都要仔细考虑的，通过本文的介绍用户可以得到如下收益：第一，安全建设的概览图；第二，安全建设的实施建设方案，可以能比较好的给同业在容器安全实施建设上从哪些方面进行设计以及如何实施参考。第三，获得安全建设的工作指引，起到授之以渔的目的。

一、容器云平台概述

近年来，云计算的模式逐渐被业界认可和接受。在国内，包括政府、金融、运营商、能源等众多行业以及中小企业，均将其业务进行不同程度的云化。PaaS平台服务作为云计算三大服务之一，是近几年市场份额同比增长最快的云计算服务。近年兴起的容器技术凭借其弹性敏捷的特性和活跃强大的社区支持成为了推动PaaS发展的核心技术。基于容器技术构建的PaaS平台也称为容器云平台。

容器技术在操作系统层面实现了对计算机系统资源的虚拟化，在操作系统中，通过对CPU、内存和文件系统等资源的隔离、划分和控制，实现进程之间透明的资源使用。

容器云平台是通过容器编排引擎及容器运行时等技术提供应用运行平台，从而实现运维自动化、快速部署应用、弹性伸缩和动态调整应用环境资源，进而提高研发运营的效率，目前市场上主流的容器云平台是基于GoogleKubernetes（简称k8s）容器编排引擎和容器引擎建立。本文中介绍内容也是针对此类的容器云平台。

说明：

1、容器云平台本身的单点故障是一大安全隐患，但本文不涉及如何设计一个高可用的容器云平台。

2、RedhatOpenShift方案是RedHat的企业级增强发行版本，是一个很好的部署版本，核心原理和开源版本相同，但本文不刻意针对OpenShift发行版本进行介绍。

本文主要从容器云平台云平台运行时，管理平台，应用镜像构建，应用部署运行监控，租户管理，4A管理，行业规范，最佳实践方面讲述容器云平台的安全设计，突出容器安全设计与建设是系统工程，是需要从下层到上层，从平台到应用，从理论到实践都要仔细考虑的，通过本文的介绍用户可以得到如下收益：第一，安全建设的概览图；第二，安全建设的实施建设方案，可以能比较好的给同业在容器安全实施建设上从哪些方面进行设计以及如何实施参考。第三，获得安全建设的工作指引，起到授之以渔的目的。

二、容器云平台风险及挑战举例

作为平台级的容器环境，比以往任何的基础架构平台更加的接近业务，同时也包含了更多的层级和组件，因此也带来了更多的风险；目前容器安全也是一个信息安全的新兴领域，该领域的技术和产品也在不断完善中，下面我们先从风险的角度列举几个常见的例子，让大家对容器平台安全有个感性认识：

-软件漏洞风险

容器的设计虽然实现了良好的操作系统级隔离，但同时也存在很多安全隐患，比如容器是运行在宿主机上的一种特殊的进程，那么多个容器之间使用的就还是同一个宿主机的操作系统内核，其次在Linux内核中，有很多资源和对象是不能被Namespace化的，最典型的例子是：时间，即如果某个容器修改了时间，那整个宿主机的时间都会随之修改，非计划内的修改系统时间，对于时间敏感的应用可能引起数据错误甚至进程crash，老版本Oracle数据库就存在这样的问题。

Kubernetes作为容器编排引擎，如果在规划和部署架构方面存在缺陷，同样会和传统环境一样容易受到外部攻击者和具有恶意的内部人员的攻击。因此，需要保障大型容器云环境具有正确的安全部署体系结构，并为应用上云提供安全最佳实践。

根据国家信息安全漏洞库的统计，截止2019年1月2日，Docker相关的漏洞共40个，其中包括Apache、RedHat、hyper、boot2docker、Jenkins等厂商产品或开源项目。

2018年，Kubernetes生态系统因发现Kubernetes的第一个主要安全漏洞（Kubernetes特权升级漏洞CVE-2018-1002105）而动摇。该漏洞使攻击者能够通过k8sapiserver实现提升k8s普通用户到k8sapiserver的最高权限，然后运行代码来安装恶意软件，进而破坏k8s集群。除此之外还有CVE-2019-11245Kuberneteskubeletv1.13.6andv1.14.2提权漏洞，实现了在通常情况下以容器Dockerfile中指定的USER运行的容器，有时可以以root身份运行（在容器重启时，或者如果镜像先前被拉到节点）。这种情况的出现违反了容器禁止以root（容器内进程运行用户是root）运行的最佳实践。

-API