首页 > 通信 >正文

多维度容器安全 护航5G云原生

2021-04-05 18:53 • 稿源:互联网

核心网系统架构师杨春建

容器面临的安全威胁

垂直行业需求千差万别,提供低成本、快速适应行业需求的创新方案成为5G成功商用的关键。

容器作为NFV转型的最佳载体,成为创新发展的助燃剂,基于容器的云原生应用将成为CT应用的趋势。然而,容器在使用过程中面临着诸多安全威胁:

● 镜像文件安全威胁

容器镜像的安全将影响到整个容器安全:镜像软件可能存在漏洞;镜像仓库访问控制不善,镜像可能被篡改,镜像文件完整性被破坏,恶意镜像文件或配置被植入后门和木马。

● 容器自身的安全威胁

多个应用共享容器资源,攻击者可利用容器攻击主机或其他容器;在容器生命周期内,容器运行时面临文件系统威胁、DDoS攻击、容器逃逸等威胁;容器删除后,存在剩余信息未及时消除、计算及网络资源未及时释放等威胁。

● 容器网络安全威胁

SDN/NFV电信网络场景下,需要部署多个虚拟网络平面并实现网络流量隔离,否则控制面、信令面和管理面间流量互相影响,无法保障业务安全。

● 容器数据安全威胁

容器对于无状态和有状态的应用程序都是有用的。保护的存储安全是确保有状态服务安全的关键要素,否则严重影响业务连续性。

● 容器主机安全威胁

攻击者可利用操作系统和其他网络组件的安全漏洞实施攻击;利用共享内核程序非法监控所有进程;篡改主机操作系统文件,通过主机对容器进行攻击、非法操作容器、窃取敏感数据信息。

● 容器访问安全威胁

容器开放一系列用户接口和API编程接口,接口容易被意外和恶意接入;同时接口可能被利用,来开发出更有价值的服务,引入更复杂的API,安全威胁也会相应增加。

● 容器编排安全威胁

容器编排负责管理整个容器的生命周期,恶意管理员可能越权或非授权管理资源、数据,就会存在系统异常、系统被篡改、VNF敏感信息泄露等威胁。

安全是容器的基本需求之一,应采用有效的安全举措消除系统安全风险,保障容器化应用的安全运行。

中兴通讯容器安全解决方案

针对容器安全风险,中兴通讯提出多维度容器安全解决方案,该方案基于物理基础设施安全、容器自身安全、镜像安全、访问安全、安全运维、数据安全等角度,利用多个安全组件,有效实现容器安全威胁的防御。

图1:容器安全框架

● 镜像安全

中兴通讯容器管理平台集成了Clair和Anchore等容器安全工具,可实时对容器镜像进行深度扫描,提取每层镜像文件进行特征与CVE漏洞库进行比对分析;同时对镜像进行整体数字签名,根据镜像标签发布,对镜像每层文件进行Hash完整性校验,防止被篡改;对镜像仓库访问双向认证,并采用安全协议进行传输保护,实现对镜像全流程安全防护,保证运行安全。

展开阅读全文
免责声明:"5G之家"的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权
等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实
其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

相关推荐

本站由阿里云提供计算和安全 Copyright ©5gzj.net. All Rights Reserved. 违法举报平台12377 浙ICP备20028707号-2