代码编织梦想

随着企业上云步伐的加快,以容器、微服务及动态编排为代表的云原生技术为企业的业务创新带来了强大的推动力。然而,在容器应用环境中,由于共享操作系统内核,容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比存在一定的差距。在应用容器和K8S过程中,近几年陆续爆出大量的基于容器平台的安全隐患,如何保障容器安全,已成为企业最关心的问题。

7月9日,腾讯安全正式发布腾讯云容器安全服务产品TCSS(Tencent Container Security Service),腾讯云容器安全服务为企业提供容器资产管理、镜像安全、运行时入侵检测等安全服务,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。

图片

(TCSS帮助打造原生可靠的容器应用安全体系)

01云原生时代容器现状

容器是云原生的基石之一,作为一种计算单元,在云原生环境中直接运行于主机内核之上,具有系统资源占用少、可大规模自动化部署以及弹性扩容能力强等优势。另外容器化使开发过程中快速集成和快速部署成为可能,极大地提升了应用开发和程序运行的效率。

为此,越来越多的企业选择在生产环境中使用容器架构,根据《中国云原生用户调查报告2020》(下文简称《报告》)显示,已经有6成以上的用户在生产环境中运用了容器技术,其中43%的用户已经将容器技术应用到非核心生产环境。

然而由于自身隔离性差,存活时间短等特征,容器也成为易受网络攻击的对象。Tripwire 2019年对311位IT安全专业人员进行了调研,发现60%的组织都遭遇过容器安全事故,《报告》数据也显示63%的用户认为容器安全是紧迫需求。

02常见的容器安全风险场景

逃逸风险

容器共享宿主机操作系统内核,隔离性方面存在缺陷,将会造成容器逃逸。容器逃逸也是容器特有的安全问题,会直接影响到底层基础设施的安全性,主要分为三类:第一类是配置不当引起的逃逸,比如允许挂载敏感目录;第二类是容器本身设计的BUG,比如runC容器逃逸漏洞;第三类是内核漏洞引起的逃逸,比如dirtycow。

镜像风险

镜像是容器的静态表现形式,容器运行时的安全取决于镜像的安全。部分官方途径或者开源社区下载的容器镜像可能会包含各类第三方库文件和系统应用,而这些库和应用可能存在漏洞、木马或者后门,因而存在较大的安全风险。

同时,容器镜像在存储和使用的过程中,可能被篡改,如被植入恶意程序或被修改。一旦使用被恶意篡改的镜像创建容器后,将会影响容器和应用程序的安全。

运行环境风险

作为容器的载体和编排管理软件,主机和容器编排平台等运行环境也是容器安全的重要因素之一。若宿主机存在漏洞或配置不规范、容器软件的相关环境配置不规范或编排应用配置不规范,都将影响整个容器环境的安全性。

例如2018年特斯拉在亚马逊上的K8s集群被入侵,原因为集群控制台没有设置密码保护,攻击者入侵后在一个pod中找到AWS的访问凭证,并凭借这些凭证信息获取到特斯拉敏感信息。

03 腾讯TCSS解决方案护航云容器安全

为了解决容器安全问题,腾讯安全结合二十多年的网络安全实践经验,推出了覆盖容器资产管理、镜像安全及运行时入侵检测等功能的腾讯云容器安全服务产品(TCSS),通过资产管理、镜像安全、运行时安全、安全基线四大核心能力来保障容器的全生命周期安全,帮助企业快速构建容器安全防护体系。

资产管理

TCSS容器安全服务提供自动化、细粒度资产清点功能,可快速清点出运行环境中的容器、镜像、镜像仓库、主机等关键资产信息,帮助企业实现资产可视化。目前,TCSS资产管理模块已支持9种资产信息统计。

图片

(核心产品功能:资产管理)

镜像安全

TCSS容器安全服务针对镜像、镜像仓库提供“一键检测“或“定时扫描”,支持安全漏洞、木马病毒、敏感信息等多维度安全扫描。在敏感信息方面,可检测包括root启动、代码泄漏、认证信息泄漏等敏感信息泄漏事件,防止敏感信息泄漏。

图片

(核心产品功能:镜像安全)

由腾讯自主研发的容器安全杀毒引擎和漏洞引擎,基于腾讯强大的安全数据基础,可共享腾讯管家病毒库和漏洞库,同时与传统杀毒软件保持恶意样本交换合作,带来强大的安全数据检测支持。其中,安全漏洞数据库包含了所有CVE漏洞库、开源和商业情报库、腾讯安全实验室漏洞库;木马病毒检测基于腾讯云全国百亿级样本,覆盖海量病毒、木马、僵尸网络等恶意代码样本。

腾讯自研TAV引擎,高效查杀二进制木马病毒,通过多个国际第三方测评机构认证,病毒检出率达100%。强大的基础能力和全面的合作生态,保障TCSS不断进化,持续提供镜像安全支持。

运行时安全

为了保障容器运行时安全性,实现入侵行为的即时告警与响应,需要对容器运行时的各项指标进行实时监控。腾讯云容器安全服务运行时安全检测功能包括容器逃逸、反弹Shell、异常进程、文件篡改、高危系统调用等多维度的入侵检测引擎。

其中,异常进程、文件篡改、高危系统调用属于高级防御功能,通过丰富的系统规则和用户自定义检测规则,实时监控进程异常启动行为、违反安全策略的文件异常访问行为及容器内发起的可能引起安全风险的linux系统调用行为,并实时告警通知或拦截。

图片

(核心产品功能:运行时安全)

安全基线

基于TCSS所提供的安全基线功能,可定期对容器、镜像、主机、Kubernetes编排环境进行安全基线检测,帮助容器环境合规化,避免因配置缺陷引发的安全问题,减少攻击面。

目前支持“容器、镜像、主机、K8S”四种维度检测,帮助客户检查由于容器运行环境配置不当而引发的安全问题。

04三大优势助力云原生时代的基础安全

TCSS容器安全服务采用超融合架构,支持简易安装,轻量部署,助力客户免除对容器安全的担忧,专注于自身核心业务。

TCSS严格限制 Agent 资源占用,负载过高时主动降级保证系统正常运行,正常负载时消耗极低。实测表明,CPU资源占用不到5%、30M内存。TCSS兼容CentOS、Debian、RedHat等主流操作系统,可一键部署,实现自动在线升级,一经安装,终生免维护,令客户全程无忧。

TCSS得到腾讯云强大的情报和威胁感知能力赋能。腾讯拥有全球最大、覆盖最全的黑灰产大数据库,TCSS容器安全服务使用腾讯安全数据库对容器环境发现的恶意程序样本进行关联分析,基于威胁情报感知容器环境威胁行为。超过3500人的腾讯安全专家团队专注于腾讯云安全建设,带来切实的实力保障。

传统安全体系在公有云上适应性差,无法有效检测新威胁形式,缺少自动化响应处置手段。目前,腾讯TCSS已经在多个行业展开了应用,帮助客户克服了云上资产种类多、数量大、不易盘点的问题,大大提升了客户的云上安全水平和安全运营管理效率。

在云原生环境下,企业通过微服务来交付应用系统的比例在增加,容器安全已经成为了云安全不可或缺的部分。未来,腾讯安全将继续完善容器安全一站式解决方案,推动行业构建云原生安全生态,为客户的应用安全提供更全面的保护。

点击预约申请腾讯云容器安全服务内测~

国密解决方案专场推介会 四城联动 圆满落幕-爱代码爱编程

国密解决方案专场推介会 由腾讯云DNSPod牵头,联合腾讯安全云鼎实验室的筹办的「国密解决方案专场推介会」四城联动之成都站,于10月22日在成都成功举办。本系列专场推介会,在华南、华东、华北、华西各区域设点定向推介:深圳站(5月13日)、上海站(5月27日)、北京站(7月29日)、成都站(10月22日)圆满落幕。 腾讯云DNSPod总经理吴洪声、腾讯云

《个人信息保护法》正式实施,企业如何保证数据安全合规?-爱代码爱编程

背景 随着云计算时代的快速发展,数据爆炸式增长的同时也让数据安全和隐私保护问题变得更加复杂以及困难,数据安全问题日益凸显,并成为企业上云发展的最大威胁。企业数据安全通常面临数据治理困难,数据安全实施复杂、成本高等问题。再者,国家连续出台一系列关于数据安全的法律法规,包括《网络安全法》、《密码法》、《数据安全法》和《个人信息保护法》,在法律层面为数据安全和

卑鄙者的墓志铭:REvil勒索软件罪魁首次被锁定-爱代码爱编程

俗话说“法网恢恢疏而不漏”,但法网似乎与如今的线上犯罪网络难以交织。作为密码学技术无心插柳的果实,勒索软件近年横扫互联网,使得下至小白网民上至各国政府无不闻风丧胆。在对受害者系统和主机入侵之后,勒索软件全盘扫描并加密特定类型的文件,对勒索受害者的筹码,也从给这些文件“解密”,发展为不给钱就“泄密”,倒是很符合昨天万圣节“不给糖就捣乱”的主题。 原本只能通

腾讯安全姬生利:云原生环境下的“密码即服务”-爱代码爱编程

日前,第四届中国金融科技产业峰会在苏州国际博览中心开幕。本届大会由中国信息通信研究院与苏州市金融科技协会联合举办,大会致力于汇聚金融科技最新成果,展示科技赋能金融业数字化升级的前沿风貌,搭建金融与科技跨领域交流平台。会上,腾讯安全云鼎实验室数据安全总监姬生利就金融领域的密码安全问题进行了主题报告。 众所周知,金融是产生和积累数据量最大、数据类型最丰富

腾讯董志强:基建、研发、安全——云安全前沿技术探索和实践-爱代码爱编程

产业互联网飞速发展,各行各业加速“上云”,相应的云上安全需求也正持续升温。 11月4日,2021腾讯数字生态大会·Techo Day技术峰会在武汉召开。Techo Day上,腾讯安全副总裁、腾讯安全云鼎实验室负责人董志强带来了《基建、研发、安全——腾讯云安全前沿技术探索和实践》的主题演讲,对数实融合时代下如何更好开展云上安全建设进行了观点与实践经验分享。

数字生态大会上,云鼎实验室介绍了这些重要成果-爱代码爱编程

11月4日,为期2天的腾讯数字生态大会在湖北武汉落下帷幕。 40+行业专场深度解读,100+前沿科技成果亮相,150+创新服务全景呈现,300+大咖嘉宾思维碰撞……腾讯数字生态大会汇聚了全球智慧洞察产业新机遇,描绘云、AI、大数据等关键技术发展蓝图,展示腾讯最新研究成果及战略规划。 大会上,腾讯安全云鼎实验室提出的云安全相关议题成为行业共同关注的焦点。

腾讯云发布容器安全白皮书-爱代码爱编程

云原生充分利用云计算的弹性、敏捷、资源池化和服务化等特性,解决业务在开发、集成、分发和运行等整个生命周期中遇到的问题,以其高效稳定、快速响应等特点极大的释放了云计算效能,成为企业数字业务应用创新的原动力,有效推动了国民经济的高质量发展。 当前,腾讯云原生产品体系和架构已非常完善,涵盖了软件研发流程、计算资源、架构框架、数据存储和处理、安全等五大领域的多个

腾讯安全李滨:腾讯云数据安全与隐私保护探索与实践-爱代码爱编程

11月4日, 2021腾讯数字生态大会·云安全专场于武汉光谷科技会展中心召开,大会以“数实融合,安全共赢”为主题,探索讨论在产业数字化信息高速发展下,腾讯安全如何为企业提供全栈式安全防护。会上,腾讯云安全总经理李滨做了题为“云数据安全和隐私保护体系建设实践”的演讲,对如何做到数据安全保障和隐私保护方面进行了精彩的解读与分享。 (腾讯云安全总经理李滨)

勒索软件即服务与IAB产业浅析-爱代码爱编程

前言: 勒索软件即服务Ransomware-as-a-Service  (RaaS)是当前全球勒索软件攻击势头急剧上升的背景下出现一种服务模式。同其他Saas解决方案类似,RaaS模式已经成为一种成熟软件商业模式。RaaS的出现大大降低了勒索攻击的技术门槛,勒索软件开发者可以按月或一次性收费提供给潜在用户(犯罪组织)。这些犯罪组织,只需要购买勒索软件来执

企业如何做好员工安全意识提升-爱代码爱编程

背景: 近年来随着网络安全政策、技术的不断发展,国内企业对于安全的重视程度越来越高,安全建设投入力度越来越大,安全防御能力得到了明显的提升。然而,企业面临一个尴尬的问题就是,企业即使做了很多安全防御措施,但依然无法有效的避免信息安全事件,而这些安全事件中绝大多数与企业内部员工安全意识不足有关。据相关机构数据统计,在所有的安全事件中,只有20-30%是由于

腾讯云容器安全已支持检测Apache Log4j2漏洞-爱代码爱编程

 腾讯云容器安全服务团队通过犀引擎发现约数万镜像受ApacheLog4j2远程代码执行漏洞影响,存在较高风险!为助力全网客户快速修复漏洞,免费向用户提供试用,登录控制台(https://console.cloud.tencent.com/tcss)即可快速体验。 1、漏洞描述 腾讯云容器安全服务团队注意到,12月9日晚,Apache Log4j2反序列

【修复升级】腾讯容器安全首个发布开源 Log4j2 漏洞缓解工具-爱代码爱编程

12月9日晚,Apache Log4j2反序列化远程代码执行漏洞(CVE-2021-44228)细节已被公开,受影响版本为Apache Log4j 2.x< 2.15.0-rc2。 Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 当前官方已发

腾讯云商用密码合规解决方案,亮相2021商用密码应用创新高端研讨会-爱代码爱编程

随着全球大数据、云计算、互联网、物联网等信息技术的发展,数字化产业已经成为社会经济核心发展动力。影响数字化产业应用的最普遍、最核心的制约因素是数据安全性和数据私密性保护,持续深化商用密码技术应用,保障数据安全和隐私性具备战略性意义。 12月18日,“2021商用密码应用创新高端研讨会”举行,以密码“融入新时代、赋能新发展”为主题,集中呈现我国商用密码理论

腾讯云容器安全获得云安全守卫者计划优秀案例-爱代码爱编程

12月28日,由中国信息通信研究院(以下简称“中国信通院”)主办,云计算开源产业联盟承办,中国通信标准化协会云计算标准和开源推进委员会支持的“2021可信云安全论坛”在北京顺利举办。腾讯云作为国内最早进行云原生安全技术研究与应用实践的单位之一受邀参加本次论坛。 为了引导云安全领域产品的发展方向,中国信通院于2021年10月至12月开展了“云安全守卫者计划

腾讯云容器安全获得云安全守卫者计划优秀案例-爱代码爱编程

12月28日,由中国信息通信研究院(以下简称“中国信通院”)主办,云计算开源产业联盟承办,中国通信标准化协会云计算标准和开源推进委员会支持的“2021可信云安全论坛”在北京顺利举办。腾讯云作为国内最早进行云原生安全技术研究与应用实践的单位之一受邀参加本次论坛。 为了引导云安全领域产品的发展方向,中国信通院于2021年10月至12月开展了“云安全守卫者计划

浅谈云上攻防——云服务器攻防矩阵-爱代码爱编程

前言 云服务器(Cloud Virtual Machine,CVM)是一种较为常见的云服务,为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源,以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。 由于云服务器中承载着用户的业务以及数据,其安全性尤为重要而云服务器的风险往往来自于两方面:云厂商平台

从重大漏洞应急看云原生架构下的安全建设与安全运营(上)-爱代码爱编程

前言: 近年来,云原生架构被广泛的部署和使用,业务容器化部署的比例逐年提高,对于突发重大漏洞等0day安全事件,往往给安全的应急带来重大的挑战。例如前段时间广受影响的重大漏洞的爆发,可以说是云原生架构下安全建设和安全运营面临的一次大考。 本文将以该高危任意代码执行漏洞作为案例,分享云原生架构下的安全建设和安全运营的思考。 1、漏洞处置回顾

从重大漏洞应急看云原生架构下的安全建设与安全运营(下)-爱代码爱编程

前言: 前一篇文章“从重大漏洞应急看云原生架构下的安全建设与安全运营(上)”中,我们简要分析了对于重大安全漏洞,在云原生架构下该如何快速进行应急和修复,以及云原生架构对于这种安全应急所带来的挑战和优势。事件过后我们需要痛定思痛,系统的来思考下,面对云原生架构如何进行有效的安全建设和安全运营,使得我们在安全事件的处置上可以做到游刃有余。 腾讯云容器服务T

云厂商第一家,腾讯安全获国家级信息安全服务资质“双认证”-爱代码爱编程

1月25日,中国信息安全测评中心公布最新一批信息安全服务资质名单,腾讯安全获“安全运营类一级”和“云计算安全类一级”两项权威信息安全服务资质认证,也是目前唯一一家同时拿下国家级信息安全服务资质“双认证”的云厂商。 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构。测评中心开展的“信息安全服务资质认定”是对信息安全服务的提供者的技术、资源

CVE-2021-4034 Linux Polkit 权限提升漏洞挖掘思路解读-爱代码爱编程

近日,Qualys 安全团队发布安全公告称,在 Polkit 的 Pkexec 程序中发现了一个本地权限提升漏洞CVE-2021-4034。Qualys安全团队在其博客文章中完整介绍了 Polkit 漏洞的细节。笔者在这里将以导读的形式,为大家解读一下这篇Qualys安全团队关于 Polkit 漏洞的精彩分析,揭开这个漏洞的神秘面纱。 简介