API-Server、Scheduler、Controller等核心组件存在漏洞;

CVE2019-5736

CVE2017-1002101

CVE2018-11506

CVE2017-9951

容器程序自身安全

容器网络防火墙策略

运行时防护策略

容器镜像漏洞检查策略

合规检查策略

权限控制策略

以标签化的形式展示，能够很清晰的看到各类安全事件的数量

基线的自动化学习结果

用于展示镜像扫描的结果，可以以镜像视角，CVE视角等进行漏洞查看

展示合规扫描的结果

威胁建模

SCA

SAST

镜像安全

AST

合规检测

安全验证

渗透测试

资产清点

风险检测

微隔离

WAF/RASP

入侵检测

安全响应

溯源分析

威胁狩猎

应用容器

防护容器

一方面是原生的基础安全，也就是在基础设施和基础架构上原生的提供安全能力，使得云原生应用能够做到上线即安全。腾讯云容器服务 TKE 在容器、编排、微服务等云原生基础架构的构建过程中，就充分的融入安全性的设计和考虑，使我们的云原生系统天然具备安全特性，使得安全成为像计算、存储、网络一样的基础能力。

另一方面，就是安全能力的云原生实现，充分利用云原生的技术优势，来实现安全检测与防护能力，使相关的安全能力同样具备云原生的低成本、高效率和高可用等特性。

云原生架构下，容器实例生命周期短，业务迭代更新快，同时主机上容器密度高、业务复杂，而且很多传统的安全设备和安全手段无法发挥有效的作用。在这种情况下，增加运行时安全的投入对于整体安全性的提升很难有显著的帮助。

一个有效的方法就是最近两年经常被提及的安全左移（Shift Left），在软件生命周期的更早阶段，投入安全资源和安全能力能更有效的收敛安全问题，包括安全编码、供应链（软件库、开源软件）安全、镜像（仓库） 安全等。这些方面的资源大多是白盒，相应的安全投入相对较少；而且这些资源生命周期较长，如果能保证安全性，攻击者在攻击运行时实例得手后更难持久化。

基于 DevOps 协作框架实现敏捷高效的 IT 流程，是云原生架构的一个重要应用场景，Gartner 更是在很早便提出 DevSecOps。安全左移同样也是实现 DevSecOps 的一个重要的原则，将安全能力全面融入到 DevOps 体系中，实现面向 DevSecOps 的全生命周期安全防护。

云原生架构下的网络基础设施更加复杂，这种复杂性超越了传统网络边界安全的防护方法。基于传统物理、固定边界的网络安全也被证明是不够用的，“内部的系统和网络流量是可信的”这一假设是不正确的。网络边界的安全防护一旦被突破，即使只有一个 Pod 被攻陷，攻击者也能够在所谓“安全的”内部横向移动。

NIST在2020年8月，发布了最新的零信任架构[3]，在零信任安全模型中，会假设环境中随时可能存在攻击者， 不能存在任何的隐形信任，必须不断的分析和评估其资产、网络环境、业务功能等的安全风险，然后制定相应的防护措施来缓解这些风险。在零信任架构中，这些防护措施通常要保证尽可能减少对资源（比如数据、计算资源、应用和服务等）的访问，只允许那些被确定为需要访问的用户和资产访问，并且对每个访问请求的身份和安全态势进行持续的认证和授权。

在云原生架构下，容器安全防护的主体从主要以 IP 为标记的主机变成了以 Label、Tag 等作为标记的应用程序， 其安全边界变的更加模糊。因此，需要采用零信任架构，通过全面有效的身份权限管理以及持续的检测与响应来实现对云原生应用的安全防护。

在云原生架构中，业务的快速迭代以及容器生命周期短、业务复杂、网络复杂等特点会造成运行时的安全检测投入成本很高。因此，基于上述安全左移的设计思想，我们在容器生命周期的各个阶段，嵌入相应的安全能力，实现对容器的全生命周期安全防护。全生命周期防护是实现“安全前置”或者“安全左移”的结果，也是实现 DevSecOps 的一个重要方法。

1.容器基础设施安全

2.容器基础架构安全

3.容器应用安全

漏洞分析与系统加固

安全检测和趋势预判

制定应急响应机制

集群监控

节点监控

命名空间、

Service

Pod等

容器ID、Pod名称、标签变化监控

应用性能观测(APM)服务

应用依赖拓扑的自动发现

调用链路追踪

多维下钻分析