c114通信网多维度容器安全 护航5G云原生
容器面临的安全威胁
垂直行业需求千差万别 , 提供低成本、快速适应行业需求的创新方案成为5G成功商用的关键 。
容器作为NFV转型的最佳载体 , 成为创新发展的助燃剂 , 基于容器的云原生应用将成为CT应用的趋势 。 然而 , 容器在使用过程中面临着诸多安全威胁:
·镜像文件安全威胁
容器镜像的安全将影响到整个容器安全:镜像软件可能存在漏洞;镜像仓库访问控制不善 , 镜像可能被篡改 , 镜像文件完整性被破坏 , 恶意镜像文件或配置被植入后门和木马 。l容器自身的安全威胁
多个应用共享容器资源 , 攻击者可利用容器攻击主机或其他容器;在容器生命周期内 , 容器运行时面临文件系统威胁、DDoS攻击、容器逃逸等威胁;容器删除后 , 存在剩余信息未及时消除、计算及网络资源未及时释放等威胁 。
·容器网络安全威胁
SDN/NFV电信网络场景下 , 需要部署多个虚拟网络平面并实现网络流量隔离 , 否则控制面、信令面和管理面间流量互相影响 , 无法保障业务安全 。
·容器数据安全威胁
容器对于无状态和有状态的应用程序都是有用的 。 保护的存储安全是确保有状态服务安全的关键要素,否则严重影响业务连续性 。
·容器主机安全威胁
攻击者可利用操作系统和其他网络组件的安全漏洞实施攻击;利用共享内核程序非法监控所有进程;篡改主机操作系统文件 , 通过主机对容器进行攻击、非法操作容器、窃取敏感数据信息 。
·容器访问安全威胁
【c114通信网多维度容器安全 护航5G云原生】容器开放一系列用户接口和API编程接口 , 接口容易被意外和恶意接入;同时接口可能被利用 , 来开发出更有价值的服务 , 引入更复杂的API , 安全威胁也会相应增加 。
·容器编排安全威胁
容器编排负责管理整个容器的生命周期 , 恶意管理员可能越权或非授权管理资源、数据 , 就会存在系统异常、系统被篡改、VNF敏感信息泄露等威胁 。
安全是容器的基本需求之一 , 应采用有效的安全举措消除系统安全风险 , 保障容器化应用的安全运行 。
中兴通讯容器安全解决方案
针对容器安全风险 , 中兴通讯提出多维度容器安全解决方案 , 该方案基于物理基础设施安全、容器自身安全、镜像安全、访问安全、安全运维、数据安全等角度 , 利用多个安全组件 , 有效实现容器安全威胁的防御 。
本文插图
图 1容器安全框架
·镜像安全
中兴通讯容器管理平台集成了Clair和Anchore等容器安全工具 , 可实时对容器镜像进行深度扫描 , 提取每层镜像文件进行特征与CVE漏洞库进行比对分析;同时对镜像进行整体数字签名 , 根据镜像标签发布 , 对镜像每层文件进行Hash完整性校验 , 防止被篡改;对镜像仓库访问双向认证 , 并采用安全协议进行传输保护 , 实现对镜像全流程安全防护 , 保证运行安全 。
·资源隔离
在操作系统、容器、VNF/APP部署时 , 可以根据防护安全策略自动配置安全隔离方式 。 在主机侧 , 操作系统启动强制访问控制SELinux,配置每个程序级别的访问控制 , 定义合适访问策略;启用CPU亲和机制 , 保证CPU缓存数据无法被利用;在容器内 , 通过Namespace、Control Groups构建应用沙箱实现隔离与资源SLA限制;根据VNF需求开放特定的能力 , 限制容器进程的运行特权和系统调用 , 实现资源隔离与访问隔离 , 防止越权访问和横向攻击 。
·网络安全
支持NFV多网络平面方案
中兴通讯容器安全解决方案包含自主研发的插件Knitter , 实现多网络平面功能 , 网络隔离 , 并设定安全访问策略,划分安全域 , 有效防护了网络攻击 , 同时满足高性能转发的需求 。
推荐阅读
- C114通信网|与盟国共投资?扶植华为对手?英国于7月底前再次做出华为5G决定
- C114通信网|传投资总额达65亿美元,三星在韩扩大第六代V-NAND闪存芯片产能
- c114通信网|河北联通携手华为完成河北首个A+P商用整站覆盖
- C114通信网|参与中国5G建设!爱立信斩获91个5G合同,已包括中国三大运营商
- c114通信网|手机界的天文望远镜,超感光夜拍荣耀30系列化身“星空艺术家”
- c114通信网|中国移动2020年PC服务器集采:华为、中兴、新华三等分享80亿大单
- c114通信网|小米员工晒出一代MIX Alpha 5G环绕屏手机
- c114通信网端到端能力打造“智能联接”战略体系:新华三全力赋能数字时代
- c114通信网中国信科王映民:推动5G技术标准演进 释放5G全部潜能
- 「像素」2020年最佳智能手机,多维度更多的选择(续)?