从计算的发展简史来看，每一次IT技术的演进带来的不仅是效率的提升，也有新的安全挑战。目前，我们处于第三次浪潮的快速发展时期，以云和容器技术为主。虽然容器使用率越来越高，但是相关安全建设却处于落后阶段。

云安全第一战场——容器安全

云和容器之间有着本质的联系，云安全离不开容器安全，不可能脱离容器安全而单独去讲云安全。虽然现在市场上有各类开源和商业容器安全产品，但很多点状产品只是解决了容器某一特定方面的安全挑战，完全没有把握容器安全的整体状况。只有了解整个容器的堆栈情况，才可以解决漏洞所有信息，包括受影响的资产范围、镜像补丁的修复状态等。

DevSecOps构建全生命周期的容器安全是目前比较推荐的且高效的解决途径。

将安全嵌入容器生命周期

DevSecOps将DevOps团队和安全团队整合在一起，尽早在容器生命周期中引入安全。这种方法将安全嵌入到整个容器生命周期中：构建、部署和运行。

• 构建安全

在容器构建阶段集成安全是指，在构建阶段的早期引入安全检查，而不是在运行时被动地引入安全。构建阶段的安全应侧重于消除漏洞、恶意软件和不安全的代码。由于容器是由库、二进制文件和应用代码组成，因此，为组织机构建立正式的容器镜像仓库至关重要。安全团队的工作是找到镜像仓库，并迅速设置相关访问策略等安全标准。例如创建受信镜像，在DevSecOps团队之间达成一个共识流程并自动执行，确保不会从任何不受信的镜像仓库中部署任何容器。

• 部署安全

数据研究表明，46％的组织机构接受来自任何来源的Kubernetes Pod的流量。这一数据表明，大家对于容器部署安全认知远不如物理服务器安全部署认知，毕竟在本地部署服务器之后，极少有组织机构会将其完全开放给互联网。

在部署阶段，重点是确保团队能够将各项相关内容正确的整合在一起。容器镜像可能是没有漏洞，但是如果将镜像部署到配置不安全的Kubernetes pod中，还是会面临安全风险。只有编排工具和容器引擎都需要制定一个安全标准，方可实现部署的安全配置。此外，需要采用必要的流程和工具来实现自动化和持续监控。

• 运行时安全

运行时安全要确定运行中的容器有哪些新漏洞并了解正常情况应该是什么样子。这还包括调查0day漏洞等异常和可疑活动。有调查发现，在运维阶段修复bug的成本是在设计阶段修复成本的100倍。

如果安全团队从一开始（在构建阶段）就参与进来，那么确保运行时安全可能就没有那么复杂了。如果安全开展得晚了，现在只是被动地重点关注运行时安全，那么，依然建议从头开始检查一遍容器安全风险。确保最终的安全状态当然至关重要，但是如果只关注运行时，则可能无法从根源上解决安全问题，导致很多类似问题反复发生。

总的来说，在云原生环境下，容器安全必须作为整体企业云安全策略的一部分来解决，是安全保障的重要一环。

文章部分素材来源：青藤云安全资讯