云安全
容器安全
别称: Docker 安全, OCI 容器安全
定义
保护容器镜像、镜像仓库、编排平台以及容器运行时环境的一整套实践。
容器安全覆盖 OCI 兼容容器(Docker、containerd、CRI-O)的完整生命周期。构建阶段,团队会扫描镜像中的 CVE 漏洞与嵌入凭据,使用 Sigstore/Cosign 进行签名,并强制使用最小化基础镜像。分发阶段,镜像仓库采用认证访问与签名校验加以保护。运行阶段,主机加固、命名空间/cgroup 隔离、seccomp、AppArmor、只读文件系统等措施缩小攻击面,而准入控制器和基于 eBPF 的传感器则强制策略并检测异常。常见风险包括特权容器、hostPath 挂载、存在漏洞的基础层、泄露的凭据,以及通过内核漏洞进行的容器逃逸。
示例
- 在 CI 中使用 Trivy 或 Grype 扫描镜像;用 Kyverno 或 OPA Gatekeeper 拒绝特权 Pod。
- Falco 在生产容器中检测到被启动的 shell。
相关术语
Kubernetes 安全
对 Kubernetes 集群(API Server、控制平面、节点、工作负载与网络)的保护,防止配置错误、被攻陷以及横向移动。
CWPP(云工作负载保护平台)
一种保护云端工作负载(虚拟机、容器和无服务器函数)从构建到运行时整个生命周期的平台。
CNAPP(云原生应用保护平台)
一种集成式安全平台,融合 CSPM、CWPP、CIEM、IaC 扫描与运行时检测,用于保护云原生应用从构建到运行时的全过程。
云安全
用于保护托管在公有云、私有云或混合云环境中的数据、应用和基础设施的一整套策略、控制措施和技术。
漏洞扫描
自动化对系统、应用或容器进行探测,根据已知漏洞特征生成潜在弱点清单的过程。
系统加固
通过移除不必要的功能、收紧配置并强制安全默认值,降低系统的攻击面。