容器技术在2013年得到了全球范围内的推广，市场对容器云技术的认知越来越成熟，容器云技术的应用领域继续扩大，生态建设也更加深化，容器云市场进入了大规模化发展的阶段。至今，随着容器云与云原生和DevOps等多项技术的结合度越紧密，容器云也被更多行业采用，市场认可度和渗透率持续提升。

作为一个持续演进的过程，容器安全防护应覆盖到整个开发运维流程，全面自动化、智慧化减少人工工作。作为2021年入选Gartner云安全技术成熟度曲线等多份技术报告的容器安全产品，云甲通过覆盖构建中的镜像容器、运行时的容器主机，能为容器提供整个生命周期的安全防护，有效帮助企业降低业务风险。

为了更好地契合当下企业用户在容器云安全面临的众多安全问题，安全狗也加快研发速度，提升了云甲的功能，并且发布了4.0版本，以期满足用户的更多安全需求。让我们来看看云甲4.0新版本的特色功能吧。

由于资产变化过快的特性，传统主机资产采集工具容易出现资产采集不全、误报漏报、耗时较长等问题，无法满足对容器的资产清点要求，资产清点可视化一直是容器管理上的一个痛点。

风险源于未知，云甲通过调用docker api与宿主机docker demon交互，获取镜像容器各类资产识别，梳理镜像类别、容器类别、主机类别资产，包括但不限于软件包、进程、数据库等，实时监测资产变更。

对于资产可视化，将大量纷杂的数据转换为用户可以轻松访问、理解和利用的有实用价值的信息至关重要。通过整合容器资产，依托折线图、饼图、环形图等进行资产的分类聚合、关联分析、趋势分析，联合风险信息通过统一的界面平台实现全面的可视化，随时监控云资源的安全状况。

 图1 仪表盘

对使用者来说容器是不透明的，封装成一个个繁琐镜像。随着数年积累的CVE越来越多，很多应用都存在一些问题，在更新频率低的镜像中尤为严重。

云甲提供来自主机镜像、仓库镜像的检测，通过多层次的镜像检测分析，杜绝镜像中的问题在运行的容器中带来风险。

· 对于镜像漏洞风险，通过对镜像发起扫描，对镜像进行特征的提取，结合CVE漏洞库进行特征匹配，发现漏洞则进行提示。

· 对于镜像恶意后门，提供病毒木马、网页后门检测引擎，自定义网页后门规则，检测恶意镜像。

· 对于镜像不安全风险，提供查看镜像中的敏感信息，防止敏感文件泄露、敏感秘钥泄露等，提供查看镜像registry的镜像关系，版本历史，镜像的层，还有镜像构建文件，确保镜像在分发上线前安全可信。

· 同时采用自定义镜像阻断规则，对存在root用户启动、病毒木马、网页后门、特定漏洞或非信任镜像等规则下的镜像阻断其运行。

图2 镜像安全

容器在运行中会持续为用户的应用程序处理资料、产生记录、建立文件快取等等，此时，我们就需要确保这些都是正常行为，而非恶意活动；而对于容器运行时配置不当也会降低系统的相对安全性。

云甲提供容器的风险监测和阻断，监控分析容器运行中发生的安全事件，采用即时扫描和实时监控两种模式对容器进行入侵行为检测。恶意行为检测是对于恶意行为模式的定义，对容器及编排工具内的黑客攻击行为进行实时检测。

· 入侵检测引擎，对于容器内文件、代码、脚本进行病毒木马、网页后门、反弹shell、安全漏洞的实时检测；

· 异常处理引擎，建立行为学习模型，对容器内进程、文件行为、命令、网络进行异常行为检测，包括但不限于执行ssh命令、挂载非法目录、搜索私钥等；

· 逃逸检测引擎，在容器面临的所有安全问题当中，逃逸问题是最为严重的，云甲能针对容器、主机及编排工具内的逃逸风险，监测用户不安全配置、Docker runC、“脏牛漏洞”、进程提权等方面的容器逃逸攻击，快速告警跟踪；

· 自动将风险事件阻止隔离并根据严重性发出不同等级的告警通知。

 图3 容器安全

在开发环境中，如果容器没有配置得当，则很可能被利用。安全基线一直是安全措施中最省时省力的技术手段之一，完备的基线检查可以帮助研发人员提前发现相关配置问题，尽可能的帮我们减少攻击面。

云甲提供CIS容器配置基准保证，从基线、静态分析多个维度对容器安全性提供保障。构建基于CIS的Docker、Kubernetes安全操作实践检查基线。可实现一键自动化检测，提供可视化基线检查结果和代码级的修复建议。同时，结合企业个性化应用场景，还可为用户提供基线定制开发服务，以快速匹配各行业、各企业安全配置需求。

图4 基线合规

云甲支持Agent+插件部署方式实现容器安全防护，同时支持平行容器部署方式实现。Agent+插件高效率，低损耗，可扩展功能，包括主机安全、微隔离、补丁管理功能。平行容器资源占用小、环境依赖小，易管理易维护。两种部署方式可单独部署、混合部署适配多种业务场景。

  图5  部署架构

当然除了这些，很快云甲将进一步迎来容器微隔离功能，实现“容器网络拓扑”的可视化、“生成网络策略”自动化，帮助用户在配置网络策略时获得更直观、便捷的体验。随着容器云技术的蓬勃发展和趋于成熟，信息系统软件设计模型趋向于微服务架构和容器化部署，越来越多的信息系统发布到容器云，容器云安全变得至关重要。云甲容器安全防护是一个持续不断的过程，不仅可覆盖开发流程，并可通过自动化的方式减少人工手动工作，在提供保护构建流程的容器镜像基础上，云甲能防护运行时期的主机、平台与应用程序层，结合后续将延伸到基础架构的维护与运营，云甲将防护融入不断循环的软件生命周期持续性交付特点，能全面覆盖云原生环境中可能产生的更多安全问题，更好的保护系统，降低企业风险。