云原生2.0时代，容器是云原生的代表技术之一。容器的安全性是云原生企业重点关注的问题。近日，第二届华为云TechWave全球技术峰会在深圳举行，华为云安全服务产品专家在云原生技术设施分论坛上与大家分享了华为云容器安全防护方案——容器安全服务CGS。

　　容器天生具备优越性

　　容器化部署有许多优势，以华为云容器为例，具备资源高效、资源隔离、弹性扩展、环境标准化、简化版本控制、跨平台性等特点，并结合存算分离、分布式部署等云原生特征，将成为云原生数据服务部署的发展趋势。

　　资源高效：容器技术创建容器实例比创建虚拟机实例速度快得多，比虚拟机消耗更少的资源；

　　资源隔离：每个容器之间互相隔离，每个容器有自己的文件系统，容器之间进程不会相互影响，能区分计算资源；

　　弹性扩展：容器技术具备秒级弹性机制，华为云容器扩缩容及时性<5s，30秒扩容1000容器实例，可实现业务按需极速跨云弹性伸缩；

　　环境标准化：容器占用资源少、部署快，每个应用可以被打包成一个容器镜像。使用容器为应用创建容器镜像，由于每个应用不需要与其余的应用堆栈组合，也不依赖于生产环境基础结构，这使得从研发到测试、生产能提供一致环境；

　　简化版本控制：容器的每个镜像都可以进行版本控制，方便跟踪不同版本的容器，监控版本间的差异；

　　跨平台性：容器适配性强，许多云平台都支持容器，用户无需担心受到云平台的捆绑。

　　华为云容器全生命周期安全防护方案 CGS 为容器业务贴身护航

　　基于上述容器的特点，结合开源生态的情况，华为云发布了保护容器全生命周期安全的防护方案 —— 容器安全服务CGS，通过构筑黄金镜像，容器逃逸防护机制等功能，助力容器将其自身的性能优势发挥到最大，方便企业利用容器技术更高效地发展业务。

　　华为云容器安全服务（Container Guard Service，简称CGS）构建了容器安全威胁纵深防御体系，提供包括镜像扫描、威胁检测与威胁防护的一整套容器安全能力，提供针对容器的Build、Ship、Run全生命周期保护能力，渗透到整个容器DevOps流程，保证容器虚拟环境从开发到生产整个流程的安全。

　　1、帮助用户构建安全的黄金镜像

　　在Docker Hub下载的官方镜像中可能包含了漏洞，研发人员在使用大量开源框架时也有可能加剧漏洞问题的出现。CGS通过扫描镜像仓库与正在运行的容器镜像，发现镜像中的漏洞、恶意文件等并给出修复建议，帮助用户得到一个安全的黄金镜像，从根本保证Image的安全。

　　支持智能安全策略，定制企业专属安全容器

　　容器的行为通常是固定不变的， CGS可通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。

　　3、统一安全管理，提升运营效率

　　CGS Agent负责节点上所有容器的镜像漏洞扫描，安全策略实施和异常事件收集，方便统一管理CCE集群中所有节点上运行的容器与镜像的安全状态。

　　4、智能安全检测，有效规避容器逃逸

　　CGS全球创新的基于机器学习的容器逃逸行为检测能力，内置10大类、100小类容器逃逸行为规则，对异常行为进行检测和关联分析，有效检测shocker攻击、进程提权、DirtyCow和文件暴力破解等逃逸行为。

　　5、全容器化安全解决方案 为容器业务贴身护航

　　华为云采用全容器化安全解决方案，安全检测程序作为独立容器运行于节点上，且CPU和内存占用率极低，生命周期由Kubernetes统一管理，可随容器业务自动伸缩，全程无需人为干预，实现全自动化、高效的安全保障。

　　华为云是容器安全服务的首发云服务商，在“2020可信云大会“上，华为云容器安全服务通过可信云全部49项安全检测，获得较高级认证——先进级认证，可以为云原生企业的容器安全提供全生命周期的安全防护。

　　转载请注明出处。