新闻动态

产品分享｜聊聊云原生制品的那些事

发布时间：

2023-12-15 11:26

随着云原生技术的快速发展，过去几年中超过七成的国内用户已经或计划使用微服务架构进行业务开发部署等，这使得用户对云原生技术的认知和使用进入新的阶段，技术生态也在快速的更迭。作为容器生命周期的起始点，了解制品是非常重要的一个话题，我们今天就来聊聊它。

01 云原生制品管理现状

01.公共制品仓库

公共制品仓库，如Docker Hub，为许多开发者提供了便捷的资源。然而，这也伴随着一系列安全挑战。从官方维护的镜像更新不及时，到无法访问下载的问题，开发者往往面临一系列质量和可用性的问题。

02.私有制品仓库

私有制品仓库提供了更多的自主权，但也存在各种实现方式和安全隐患。简单的仓库可能缺乏认证方式，容易受到攻击者的上传和替换。不同的制品仓库之间存在巨大的差异，使得企业在实际使用中面临各种挑战。

我们常常说制品是容器业务生命的起点，那么我们需要关注哪些安全风险点呢？

02 云原生制品存在的安全问题

01.制品安全管理问题

从开发、测试到运维，制品安全管理涵盖了整个软件生命周期。开发团队可能使用存在风险的镜像，测试团队面临着版本管理混乱和团队协作难的问题，而安全团队则难以梳理软件，无法有效地对镜像中的漏洞进行检测和修复。运维团队则面临访问控制、镜像规模和人工清理等方面的挑战。

02.开源组件安全风险

开源组件在现代软件开发中扮演着重要的角色，但统计数据显示，每个应用程序开发项目平均存在49个漏洞和80个直接依赖项。使用过时或存在漏洞的开源组件仍然是常见问题，对软件供应链安全构成威胁。

03.开源镜像安全风险

构建自己的制品镜像时，许多企业直接使用开源镜像。扫描数据显示，超过一半的Docker镜像存在高危漏洞，甚至包含了木马病毒、勒索病毒等。政府、传统制造业企业等不同行业都曾遭遇过镜像攻击。

04.政策合规风险

国内政策对于云原生制品的合规性要求逐渐完善，包括对容器安全的明确要求。然而，无论是公共镜像仓库还是私有镜像仓库，都难以完全符合这些要求。云原生制品需要满足容器镜像加密存储、传输加密连接等政策要求，为企业带来挑战。

05.DevOps中的安全风险

在DevOps流程中嵌入安全一直是一个挑战。Gartner在2021年发布的规范中提到，云原生应用保护平台对于代码扫描、制品扫描和软件成分分析提出了要求。然而，目前许多企业的DevOps流程中却缺乏对制品安全的全面把控。

为了应对云原生制品安全的挑战，8590am发现海洋之神科技推出了镜鉴·云原生制品安全平台。

03 镜鉴·云原生制品安全平台

01.企业级黄金镜像

建立企业级黄金镜像，需通过实时扫描公共镜像仓库，并根据扫描结果进行安全加固处理建立全面的安全仓库。黄金镜像仓库可以成为企业对抗软件供应链安全攻击的有效手段。

02.DevSecOps流程的安全插件

在整个DevOps流程中嵌入安全插件，覆盖从镜像构建、上传存储到上线部署等全流程。确保在每个阶段都能够进行安全审查和扫描，及时发现和修复安全问题。

03.制品风险检测及修复能力

拥有制品风险检测及修复能力，包括深度扫描、风险分析、风险处置等功能。对制品进行全面的漏洞、恶意代码和敏感信息扫描，保障软件供应链的完整性和安全性。

04.成分分析

可以对制品内的第三方开源组件、框架等进行精准分析，能很好地融入企业内部的DevOps流程，助力企业提升软件供应链安全管理能力。

05.远程仓库缓存

远程仓库缓存功能可以解决两大痛点，一是被列入实体清单的企业无法使用Docker Hub，可以通过第三方企业进行镜像缓存直接进行下载；二是针对国外镜像仓库上传和下载速率慢以及频次限制问题，通过把所有镜像缓存到本地镜像仓库来解决。

06.多种类型制品统一管理

通过对多种类型制品的支持，实现各类制品的统一管理，避免分散管理带来的混乱。

07.制品定时清理

为了防止仓库中制品数量无限增加，提供制品定时自动清理功能以及历史数据的清理机制,确保仓库的正常运行。

08.0Day漏洞处置

支持自定义风险，支持强大的规则设定来精确匹配0Day漏洞。

04 结语

云原生制品安全是构建可信赖软件供应链的关键一环。通过建立企业级黄金镜像、整合DevSecOps流程、拥有制品风险检测及修复能力，以及借助云原生制品安全防护平台，企业可以在云原生环境中构建坚固的安全防线。通过全面的制品仓库统一管理，企业能够更好地应对云原生制品安全的挑战，实现云原生应用源头的安全可控。