本文援引于报告《2022年中国容器安全市场报告》，首发于头豹科技创新网（www.leadleo.com）。

头豹科技创新网内容覆盖全行业、深入垂直领域，行业报告每日更新；政策图录、数据工具助您轻松了解市场动态；智能关键词轻松搜索，直奔行业热点内容。

诚挚欢迎各界精英交流合作，头豹承接行业研究、市场调研、产业规划、企业研究、商业计划、战略规划等业务，您可发送邮件或来电咨询。

客服邮箱：CS@leadleo.com 咨询热线：400-072-5588

头豹联合沙利文发布, 《2022年中国容器安全市场报告》，追踪容器安全市场发展态势。

头豹联合沙利文发布《2022年中国容器安全市场报告》。该市场报告研究课题为2022年中国容器安全市场，以镜像安全、容器隔离、容器集群安全等产品能力为核心研究对象，研究周期为2022年上半年。本研究项目将对容器安全平台在金融、互联网、零售、文娱、电信、能源、物流、交通、制造、能源、医疗、政务等领域的应用特征、市场特征、发展历程、竞争态势等信息进行重点梳理，并从价值创造、技术发展维度出发对市场发展前景做出推测或预判。

如何帮助企业尽可能获得使用容器等技术带来的价值，并且降低使用容器而带来的安全代价，是容器安全赛道中的各厂商竞相追逐的目标。

虚拟机架构是从操作系统层开始建立一个可以用来执行整套操作系统的沙盒独立执行环境。

容器架构是直接将一个应用程序所需的相关程序代码、函式库、环境配置文件都打包起来建立沙盒执行环境，通过“打包”和“标准化”的理念凸显对“可移植性”、“敏捷”和“弹性”的需求导向。在虚拟机中的每个应用都拥有独立的内核，具备软件层完全隔离的优势。在容器中的每个应用都是共享宿主机的内核的，仅具备进程级隔离，配置环境的不细致会让容器直接地与其他容器发生交互。虚拟机和容器代表了两种需求，兴一利必生一弊：虽然容器在轻量化方向优势显著，但其代价则是由于资源隔离的不彻底和“打包”服务限制的数据可见性而带来的原生安全隐患。

在如今云原生体系向行业的不断渗透的趋势中，如何帮助企业尽可能获得使用容器等技术带来的价值，并且降低使用容器而带来的安全代价，正是容器安全赛道中的各厂商竞相追逐的目标。

容器的安全保障需要同时应对来自主机层、Docker层、容器层和应用层的攻击面威胁。对于企业和安全厂商而言，充分了解容器环境和攻击状况，是建立防御体系的第一步。

对容器的运行机制和容器架构的组成分别展开解析，与传统平台相比，容器生态系统涉及的组件、工具和代码通道更多，容器用户需要确保具有专门构建的全栈安全性，以解决容器化应用程序在构建、部署和运行的安全要求。同时，容器的快速广泛采用也创造了一个“安全左移”的机会，保护容器从开发到 CI/CD 管道再到运行时，并在开发和安全团队之间架起桥梁。

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge）是一个攻击行为知识库和威胁建模模型。容器与镜像ATT&CK覆盖了K8s编排层、Docker容器层和应用层的攻击行为，还包括了容器相关的恶意软件威胁。

对于企业和安全厂商而言，充分了解容器环境和攻击状况，是建立防御体系的第一步。企业用户，利用容器ATT&CK模拟红蓝对抗，有助于了解K8s中的安全风险和关键攻击媒介，并且基于此有助于制定正确的检测和缓解策略来应对这些风险，提供全面的保护。

容器安全的建设仍处于起步爬坡阶段，需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题，传统的安全防护手段已经难以适配云原生环境。

从容器的攻击路径中可以体现，针对容器可选择的攻击面和攻击手段十分广泛，同时通过横向移动可以轻松扩大入侵价值。相较于攻击视角的“低门槛高收益”的特性，容器在安全防守的视角中却是“荆棘载途”。容器安全的建设仍处于起步爬坡阶段，需要克服几大难题：

        新旧双重威胁，未知风险。包括漏洞利用、暴力破解、权限提升在内的传统攻击手段对容器一样奏效。同时，云原生使用的一系列技术也意味着容器存在大量未知的风险隐患，黑客也不断衍生出新的攻击手段，如投毒镜像、容器逃逸、集群API调用等，容器防护需要为容器环境创新定制专门的防御策略。

        镜像漏洞普遍。由于镜像的本质是静态存档文件，容器必须在上游的镜像中进行更新并重新部署。容器环境常见风险是使用的镜像版本存在漏洞而使部署的容器存在漏洞。Docker Hub中的镜像普遍存在不同程度的漏洞，这些有安全隐患的漏洞都有可能被恶意利用。

        数据可观测性低，攻击溯源难。容器的生命周期短，动态变化快，超过50%容器从上线到下架的整个生命周期不超过1天。同时容器的轻量化部署原理也使主机上的可以承载上百个容器的同时运行，集群内部的网络流量和通信端口总量大幅增加。容器化环境的容器应用部署密度和容器变化频率都远高于传统环境，攻击威胁的检测、追踪和溯源的难度显著。

受共享内核特点的影响，容器在多租户场景的应用存在诸多安全风险，未来需要服务商通过细化隔离层级、拓展隔离维度等方式，确保容器在不同应用模式下实现用户资产安全性。

共享内核的特征使得容器技术在安全性方面存在缺陷，容器应用场景因此受到限制。云原生产品更多应用于单租户场景，多租户模式下，容器特征无法确保运行时隔离、网络隔离、镜像隔离等安全性。容器应用安全涉及运行时隔离、镜像隔离、网络隔离、磁盘存储隔离等；为细化和深化隔离程度，服务商可通过提供网络策略隔离、存储隔离、镜像引用隔离等模式确保容器用户资产安全性。

此外，容器技术栈与开源安全工具的融合应用将有效提升隔离策略在网络、镜像、存储等层面的渗透和协同。

容器安全防护体系需覆盖容器技术的全生命周期，针对容器规划、安装、配置、部署、运维、处置等不同阶段，设置相应的动态应用策略。

在对用户使用容器体验的调研中，90%以上的用户表达了对容器安全性天生存在缺陷的担忧，容器应用场景受到限制。容器与的宿主机共享内核，且容器技术本身建立在Linux Namespace和Linux Cgroups两项关键技术之上，而Linux内核本身所产生的漏洞会导致容器逃逸。容器运行时，攻击者可通过恶意镜像和修改容器配置入侵容器。在容器的配置、部署和运维等不同阶段，实际业务线具有针对性的需求，安全规划需渗透容器运行全生命周期。

沙利文联合头豹根据增长指数和创新指数两大评估维度，通过容器宿主机安全、容器集群安全、容器软件安全、容器镜像安全、容器运行时安全态势、云原生能力、市场表现力七项大指标，对中国容器安全市场竞争力进行了多因素分层次评估。由“创新指数”和“增长指数” 综合评分，青藤云安全、腾讯安全、小佑科技、博云位列中国容器安全市场领导者梯队。

青藤云安全：青藤蜂巢是青藤自主研发的云原生安全平台，支持安全能力与云原生复杂多变环境的平滑集成，如集成于Kubernetes、PaaS云平台、OpenShift、Jenkins、Harbor、JFrog等环境。通过提供覆盖全生命周期的一站式容器安全解决方案，青藤蜂巢构建容器安全预测、防御、检测和响应的安全闭环 。青藤“一二四”云原生安全框架，在实战化思想下创新而来，遵循1个体系（DevOps)，聚焦2个方向（DEV-Build time、OPS-Run time)，立足4个环节（安全开发、安全测试、安全管理、安全运营），覆盖容器安全整个生命周期。

腾讯安全：腾讯安全协同容器PaaS团队和操作系统团队提供统一安全加固后的基础系统镜像，规范业务镜像构建过程，融合DevOps理念和手段，制定容器安全基线策略，根据用户业务镜像和集群特点，引导用户做好容器运行时准入控制、入侵防范等。此外，腾讯安全融合微隔离技术，基于集群自定义配置网络访问策略，支持基于pod、命名空间、IP等对访问协议和端口进行自定义访问控制，在镜像签名验证、集群隔离等方面探索差异化安全策略的应用。

小佑科技：小佑科技着眼中国云原生安全行业建设，融合云原生技术与安全技术。小佑科技推出自主构建的安全基础镜像库“黄金镜像库”，打造体系化产品矩阵，提供从镜像深度扫描、容器运行时安全、集群安全、到微服务安全等的云原生安全解决方案，为用户构建统一的云原生安全运营管理中心。

博云：博云容器安全BKS从运行时安全、运行环境安全、运行生态安全、镜像安全、自适应安全、全生命周期安全六大维度，综合解决物理机，虚拟机，容器等混合云原生安全问题。

推荐阅读

头豹联合沙利文发布《2020年中国云主机安全市场报告》

头豹联合沙利文发布《2020年中国云WAF市场报告》

头豹联合沙利文发布《2021年中国身份认证市场报告》

头豹联合沙利文发布《2021年中国云主机安全市场报告》

头豹联合沙利文发布《2022年中国威胁情报市场报告》