方案背景

容器化、微服务化、云原生化是当前 IT 系统演进的趋势。容器利用Linux Cgroup和Namespace等技术实现的隔离性相比虚拟机的硬件虚拟化和Guest OS有着先天性的不足，同时，容器所暴露的端口及API的漏洞，被攻击者监听后攻破一个容器很有可能直接攻破一个宿主机。容器生态安全暴露的问题吸引了更多容器使用者的关注，在实际生产和运维的阶段，容器安全需从CI/CD流水线着手，确保容器整个生命周期的安全。

客户需求

可视化

消除云原生环境的安全盲区，快速发现容器内部异常事件，避免已知漏洞和高危配置；

自动化

设置符合企业要求的容器合规规则，定期自动检查，开发团队就能够尽早、迅速、轻松地采取行动；

云原生

安全措施不能影响 Devops 团队的速度和敏捷性，因此云原生安全方案应具备敏捷、弹性、轻量化等特性；

应用保护

在Devops流程中引入安全机制，建立应用安全基线，在不阻碍敏捷性的同时，提高安全性。

方案架构

月亮巴巴云原生与容器安全解决方案建立在云原生架构上，实现镜像扫描，漏洞检测，合规性检查，容器运行时防御，访问控制，容器可视化，监控审计等安全功能，为容器构建到分发生产的全生命周期提供细致的安全审查和严格的安全防护。

方案优势

轻量化

无Agent部署，无需特权模式，简单易部署，具备云原生特性；

自定义策略

支持自定义安全合规基线策略、漏洞管理策略，适配企业自身安全特性；

机器学习

利用机器学习技术对容器行为进行检测，发现已知、未知威胁；

管理工具

支持Kubernetes, OpenShift, Rancher等集群编排工具；

多样化接口

提供丰富的API接口，对接第三方安全管理平台。

客户收益

月亮巴巴提供容器安全解决方案与咨询服务，帮助企业在云原生环境下实践DevSecOps。应对容器技术可能面临的各种风险，将安全防护的边界扩展到云原生容器和容器编排。

从隔离（安全容器）与加固（安全内核）两个角度进行安全实践，解决容器安全逃逸等问题。

从容器主机多租户，容器内容，容器注册表，构建容器，部署容器，容器编排，网络隔离存储，应用编程接口 (API) 管理等10大关键要素入手保证容器整个生命周期的安全性。