【镜界云原生容器安全检测平台】基于云原生安全理念，采用自动检测、自动分析、自动处理的方式来防御整个容器生命周期中所遇到的安全威胁，使用智能测试、机器学习与威胁预测的方式来确保容器及容器内的应用安全，具有成熟度高、兼容性强、无侵入用户态防护、可用性高等特点，从容器视角为云原生的全生命提供整体安全防护。

1、全面的镜像&容器安全监测能力。

（1）通过对制作的镜像文件进行安全扫描，以发现镜像文件中的安全漏洞、镜像文件中的木马病毒等安全风险，支持CVE和CNNVD编号查询；

（2）支持识别容器镜像的基础镜像以及应用程序中间件漏洞检测；

（3）对风险镜像提供安全加固建议，支持Dockerfile加固建议，辅助工作人员修复风险镜像；

（4）对容器运行过程进行全程的安全监控，进而对容器访问宿主机的资源进行监控，防止有越权访问破坏容器隔离性的行为；

（5）容器内应用保护：集群环境下微服务自动识别，自动扫描。对容器内应用的安全漏洞识别、网络威胁检测，从而保证容器内应用的安全。

2、通过行为学习构建容器行为模型。

镜界为容器安全提供自动学习能力，容器开始运行后，按照相应的学习策略，自动学习容器的进程行为、文件读写行为与网络访问行为。为目标容器构建行为模型，保证容器运行中的安全。并且对容器与镜像的运行提供默认策略，即使用户没有自定义安全策略，默认策略仍能保证基本的安全防护需求。

3、兼容多种运行环境。

面对不同客户的复杂环境，镜界支持Ubuntu、CentOS、银河麒麟等多种不同操作系统的多个版本、支持Docker 1.13.X 及以上版本等多种运行环境，满足不同环境所需。

4、支持镜像加固。

镜界容器安全防护平台支持对容器镜像制作到发布进行全方位的监控和检测。对于存在高风险的镜像，平台能够给出相应的加固建议，协助研发人员对镜像进行加固，确保镜像的安全质量达到发布要求。

【关键技术】

1、项目关键技术-容器镜像快速扫描技术

镜像的内容是基于分层结构组织存储的，构建镜像的过程会产生多个层文件，上层的内容是相对下层文件的增量变化，最终把所有层的变化合在一起就是最终的镜像系统。基于镜像分层存储的原理，防护平台的镜像扫描也是按层来扫描镜像，并按层存储结果的。大部分用户会基于同样的基础镜像构建业务镜像，这样当多个镜像基础层一样时，可以从已有的层扫描结果中读取，只扫描差异的层，在用户上T的镜像存储环境中，大大提高扫描速度。

2、项目关键技术-容器行为学习建模识别异常

在云原生环境下，容器的生命周期是在分钟级的，大量业务容器快建快销，给容器的运行安全检测带来了挑战。防护平台所拥有的容器行为建模能力，能够根据容器所使用的镜像，统一为所有使用该镜像的容器建立行为模型画像，通过智能的学习、统计、聚类算法，建立容器行为模型基准，并以此模型作为容器行为基准，任何偏离该基准的行为都存在风险。

具有智能学习、增量补偿、高性能存储等特点。

3、项目关键技术-Sidecar模式微服务流量检测

云原生环境重点微服务架构有别于传统的单体web服务，其将提供的应用服务按其核心功能块拆分成多个单独的服务，各服务之间耦合度极低，这就导致云原生环境中有大量的微服务且内网流量很高。传统的全流量分析在这种场景下无法担负这种性能压力。防护平台采用新兴的Sidecar模式，以边车容器方式为每个微服务独立设置分析引擎，具有高效、精准、细粒度控制的特点。

【创新点】

1、项目创新点-可信镜像源

1）镜像构建：基础镜像来源于小佑的黄金镜像仓库， 小佑黄金镜像仓库是小佑官方运营经过安全加固和精简后的镜像，黄金镜像对比Docker Hub等仓库的公开镜像具有更高的安全性和可信度。

2）镜像扫描：基于小佑自研扫描引擎Doberman对构建完成的镜像进行全方位的深度扫描（软件漏洞、恶意文件、敏感信息、IaC风险、License风险、自定义规则），如果扫描结果满足安全控制策略则流转至流水线的下一步，否则终止流水线。

3）镜像签名：镜像签名基于cosgin签名方案对构建后的容器镜像签名，签名密钥通过密钥管理系统获取，保障密钥的安全性；签名后的镜像被推送至小佑镜鉴云原生制品安全平台。

4）持续扫描：随着漏洞库和自定义安全规则的不断更新，仓库内的制品安全性需要被持续关注，小佑镜鉴云原生制品平台能够支持对仓库内的镜像制品进行持续安全检查，如发现安全问题能够自动触发镜像加固流程或者基于策略阻断镜像部署至生产环境。

5）镜像检查：该步骤包括镜像安全检查和签名校验，只有同时满足安全要求的镜像且签名校验通过（镜像未被篡改）才能成功在生产环境部署。

2、项目创新点-制品加密

制品存储于仓库中，统一仓库使用相同的加密算法，目前支持上述三种分组加密算法

加解密过程需要依赖KMS接口, 该接口需要实现两个方法用于保障密钥的安全性

详细的加解密过程如下：

加密过程：通过KeyID到KMS获取DEK, EncDEK基于DEK派生OEK基于DEK和制品元数据派生KEKKEK加密OEK： SealedOEK-用OEK作为加密算法的Key加密制品保存SealedOEK、制品元数据和EncDEK

解密过程:读取制品内容和制品元数据、SealedOEK、EncDEK通过KeyID请求KMS解密EncDEK， 拿到DEK基于DEK和制品元数据派生KEKKEK 解密SealedOEK，拿到OEK用OEK作为加密算法的Key解密制品内容

3、项目创新点-Serverless安全

针对Serverless面对的主要风险，本项目中主要研究的是针对安全左移中的函数安全和运行时安全防护：

3.1安全左移

1）在业务函数的运行过程嵌入安全检查，提供安全SDK在函数代码中校验输入、输出，阻断不符合安全策略的数据流

2） 基于小佑自研扫描引擎Dobermann对构建完成的镜像进行全方位的深度扫描（软件漏洞、恶意文件、敏感信息、IaC风险、License风险、自定义规则），如果扫描结果满足安全控制策略则流转至流水线的下一步，否则终止流水线。

3.2运行时防护

运行时防护基于函数扩展方式，使用扩展 API 深入集成到函数执行环境中，控制并参与函数生命周期的所有阶段：初始化、输入、调用执行和输出。扩展方式无需修改代码，支持动态嵌入业务函数执行过程，为应用提供有效的运行时保护。

【标杆解决方案】

（一）场景痛点

云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化特性，在改变云端应用的设计、开发、部署和运行模式的同时，对架构防护、访问控制、供应链、研发运营等领域都提出了新的安全防护需求和挑战，主要包括：

1、以容器、Serverless为载体的云应用实例极大地缩短了应用生命周期。

2、微服务化拆分带来应用间交互式端口的指数级增长。

3、多服务实例共享操作系统导致单个漏洞的集群化扩散风险。

4、独立的研发运营流程增加了软件全生命周期各个环节的潜在风险。

（二）方案设计

基于以上安全风险，结合OpenShift技术特点制定了一整套云安全防护管控措施，分期推进各项管控措施落地，在目前的阶段，主要安全需求包括:

1、补充镜像漏洞检测手段。

在传统模式中，部署的软件在其运行的主机上“现场”更新，而容器则必须在上游的镜像中进行更新，然后重新部署。因此，容器化环境的常见风险之一就是用于创建容器的镜像版本存在漏洞，从而导致所部署的容器存在漏洞。为了解决上述风险，需要在镜像构建的过程中补充针对镜像内漏洞的检测手段。

2、提供镜像修复能力。

传统的漏洞检测后一般会提供一个 CVE 官方漏洞介绍与修复方式的链接，但是研发人员不是专业的安全人员，无法快速的基于漏洞介绍对镜像漏洞进行修复，而镜像又是分层存储，如果是底层的操作系统镜像出现漏洞，则基于它构建的业务镜像都会包含统一的漏洞，现有的镜像检测手段无法识别出镜像漏洞处于业务镜像还是基础镜像。为解决上述难题，需要有专业的安全人员或第三方公司提供安全精简后的镜像仓库和可操作性的修复建议，降低镜像修复成本。

3、提供 OpenShift配置安全审计的能力。

OpenShift拥有不同于 Kubernetes 的CIS 规范，为解决上述问题，我们基于专用的 OpenShift V4 CIS 合规基线，定制出一套适用于客户的OpenShift安全配置规范，并借助安全产品对平台配置进行实时监控。

（三）方案效果

方案建设完成后，制定并施行了企业云平台安全使用规范，实现了镜像安全问题的自动化扫描，严格控制了镜像准入流程中的各个环节，解决了由配置合规性引起的安全问题，加固了集群的薄弱配置项，极大的提高了集群整体的安全水平，保障平台业务稳定运行，助力平台业务不断创新。

1、自动化镜像检测流程, 减少人力成本。

安全镜像仓库目前已提供50 余个经过安全加固的操作系统和常用中间件的镜像,并同时包含了 X86 及 ARM 平台的基础镜像。

镜像扫描器在构建、传输、运行阶段都会对镜像进行安全扫描，在构建阶段扫描出镜像漏洞后会直接中断构建流程，并给研发人员提供修复建议，在镜像上传到测试仓库后会自动进行扫描, 在发现漏洞后可以配合仓库组织用户下载镜像，如果没有发现漏洞，会标记此镜像为安全镜像，并自动同步到生产的镜像仓库中，生产的镜像仓库只允许镜像扫描器上传镜像，这样可以保证生产镜像仓库的安全性。

2、实时检测合规配置，持续安全预警。

云安全防护平台内置了 Docker CIS、Kubernetes CIS、和定制的 OpenShift V4 合规基线, 共 300 多条合规基线, 扫描内容包括：主机安全配置、Docker守护进程配置、Docker守护程序文件配置、容器镜像、构建文件、容器运行时、Kubernetes配置等进行基线扫描，满足安全合规要求。可以对合规情况进行统计，并持续扫描Docker 和 OpenShift 平台合规情况，动态的反应系统的基线变化, 可分集群分节点查看, 可直接导出合规扫描报告, 并提供修复建议和影响。