华为云全球首发容器安全服务，市场份额位居国内厂商第一

近日，国际权威咨询机构IDC发布了《PRC SDC Software Market Overview， 2019H2/2019》报告。报告显示，华为云容器软件市场份额位居国内厂商第一。除杰出的市场表现，华为云容器优异的技术特别是安全性再次成为焦点。其实早在去年9月，全球权威咨询机构Forrester发布的报告就指出，华为云容器有“强大的安全和应用生命周期管理能力”，“安全能力覆盖面很广”。

一、容器安全为何如此重要？

为何测评机构如此看重容器的安全性，将其作为衡量容器产品最重要的竞争力之一呢？

容器，本质是将操作系统、应用等资源（也叫宿主机）虚拟化出相互隔离的独立单元，是某个容器镜像的一个实现。

容器“麻雀虽小五脏俱全”，可以用于业务的开发、交付和部署等。容器镜像则是轻量的软件包 ，包含开发、交付和部署等所需的代码、运行环境、系统工具、系统库和设置等。可见，容器可以用更少的资源来实现更丰富的功能。

但与所有新技术一样，容器也面临新的安全挑战：一旦某个容器被攻陷，就会导致同在一个宿主机上的其它容器也面临被攻陷的风险（也即“容器逃逸”），并由此导致更多的安全问题：

1.容器本身也是软件，不安全的镜像会导致容器被攻击。

2.传统的主机间防火墙规则不适用于容器。

3.安全隔离面更小，核心模块更易被直接攻击，危及整个系统的安全。

4.容器运行在某个具体的容器集群环境中，环境相关的系统、应用和网络都要进行安全加固、检测和防护。

二、华为云全球首发容器安全服务

华为云在设计容器之初就考虑和妥善解决了这些可能影响用户使用的安全问题，并于2018年8月全球首发了容器安全服务（Container Guard Service，CGS），从容器集群安全、镜像构建安全（Build）、镜像仓库安全（Ship）、镜像运行安全（Run）保障容器全生命周期安全。CGS主要功能包括：

1.保障容器集群安全

容器集群包括容器运行的某个宿主机和宿主机的管理节点。华为云采用了宿主机系统漏洞检测修复、集群组件安全加固、网络隔离、租户资源隔离、资源访问控制等措施，保障容器集群的安全。

2.实时安全检测防止容器逃逸

首先，CGS可对容器进行细粒度的租户隔离，防止租户间相关攻击和资源滥用；其次，CGS可对异常行为进行检测和关联分析，准确发现和阻断shocker攻击、进程提权、DirtyCow和文件暴力破解等攻击，及早规避容器逃逸。

3.安全扫描保障镜像安全运行

CGS对官方镜像进行定时漏洞扫描，帮助用户在制作镜像前进行漏洞修复。在容器的构建阶段，CGS即可扫描镜像编码的安全问题。在容器分发阶段，CGS会持续对镜像进行安全扫描，发现可能存在的漏洞和风险，并给出修复和调整意见。

4.自定义运行时的安全策略

在容器运行的时候，CGS可通过恶意程序库，有效检测挖矿、勒索病毒等恶意程序；用户可设置安全策略对某些安全漏洞和风险进行拦截和告警，也可设置进程白名单，有效阻止异常进程、提权攻击、违规操作等风险；文件只读保护功能能锁定和保护关键文件，避免被篡改。

总之，通过以上一系列安全措施，华为云让用户更加安心地使用容器。

责任编辑：gt