沙利文市场研读|云安全产业 2022年 中国容器安全市场报告 2022ChinaContinerSecurityMarketReport2022年中国コンテナセキュリティ市場レポート 报告标签:容器集群安全、镜像安全、运行时安全、容器隔离 报告提供的任何内容(包括但不限于数据、文字、图表、图像等)均系弗若斯特沙利文及头豹研究院独有的高度机密性文件(在报告中另行标明�处者除外)。未经弗若斯特沙利文及头豹研究院事先书面许可,任何人不得以任何方式擅自复制 、再造、传播、�版、引用、改编、汇编本报告内容,若有违反上述约定的行为发生,弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的所有商业活动均使用“弗若斯特沙利文” 、“沙利文”、“头豹研究院”或“头豹”的商号、商标,弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构,也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。 沙利文市场研读中国:网络安全系列 概览说明 —— 沙利文谨此发布中国容器安全系列报告之 《2022年中国容器安全市场报告》年度报告。本报告旨在梳理梳理容器安全领域产品及服务形态,洞悉用户特点、市场存量空间及增量空间,并结合市场发展前景判断中国容器安全市场各类竞争者所处地位。 2022年第四季度,沙利文联合头豹研究院对容器安全核心产品进行了下游用户体验调查。根据下游用户调研反馈、行业专家见解及供应商专题交流,融合多维视角,输�分析成果。本市场报告提供的容器安全趋势分析亦反映�容器安全行业整体的动向。 本研究结果将通过增长指数体现竞争者维持现有市场地位的能力,通过创新指数体现竞争者进一步提高市场地位的能力。报告最终对市场排名、领导者的判断仅适用于本年度中国容器安全发展周期。 本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询(中国)及头豹研究院调查,数据均采用四舍五入,小数计一位。 01容器安全防护的挑战 容器安全的建设仍处于起步爬坡阶段,需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题,传统的安全防护手段已经难以适配云原生环境。 02容器运行时防护方案 点对点的攻防映射在攻防演练和实践中逐渐训练�容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全生命周期和全架构层次的容器安全体系框架。 03镜像仓库安全方案 容器、镜像、镜像仓库是容器技术安全的三大核心组件。镜像仓库安全是构筑全生命周期的容器安全核心之一,其中包括版本可信、连接安全、认证和授权安全等层面。 04产品形态发展方向 容器安全防护体系需覆盖容器技术的全生命周期,针对容器规划、安装、配置、部署、运维、处置等不同阶段,设置相应的动态应用策略。 研究框架 容器架构风险与安全挑战概述 •容器架构的原生安全性•容器安全威胁与风险•容器安全防护的挑战 ---------- 5 容器安全技术发展综述 ---------- 11 •容器安全防护架构体系•容器运行时防护方案•容器仓库安全方案 中国容器安全市场发展趋势 ---------- 15 •核心特征发展方向•产品形态发展方向 中国容器安全市场竞争态势 ---------- 18 •容器安全竞争力评价维度•容器安全综合竞争力表现 领导者:青藤云安全领导者:腾讯安全领导者:小佑科技领导者:博云 名词解释 ---------- 29 方法论 ---------- 30 法律声明 ---------- 31 CONTENTS Overviewofcontainerstructurerisksandsecuritychallenges ----- 5 •Nativesecurityfeatureofcontainer•Containersecuritythreatsandrisks•Challengesofcontainersecurityprotection Overviewofthedevelopmentofcontainersecuritytechnique ----- 11 •Containersecurityprotectionstructure•Protectionschemeduringcontaineroperation•Containerwarehousesecurityplan DevelopmenttrendofcontainersecuritymarketinChina ----- 15 •Developmentdirectionofcorefeature •Developmentdirectionofproductform competitivelandscapeofcontainersecuritymarketinChina18 •Assessmentscoring •Comprehensivevendorassessment–FrostRadar Leadingcompetitor:Qingteng Leadingcompetitor:Tencent Leadingcompetitor:DOSEC Leadingcompetitor:BoCloud Terms ----- 29 Methodology ----- 30 LegalStatement ----- 31 Chap1 容器架构风险与安全挑战概述 容器架构的原生安全性 容器的安全威胁与风险 容器安全防护的挑战 5 •如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来的安全代价,是容器安全赛道中的各厂商竞相追逐的目标。 容器架构的原生安全性 物 理服务器 操 作系统 应用 应用应用应用应用 容器封装 独栋别墅 公寓大楼 独立地基、独立大门 一栋楼一户人家 共享地基、共享大门 一栋楼多套房、一套房一户人家独立卫生间、独立厨房、独立宽带 胶囊旅馆 共享地基、共享大门 一套房多个隔间、一个隔间一位租户共享卫生间、共享厨房、共享宽带 虚拟机封装 应用 应用 应用 操环程 作境序 系配代 统置码 物 理服务器 应 用 物 理服务器 容器架构 虚拟机架构 传统物理机架构 理解 定义 环程 境序 配代 置码 面向不同虚拟环境的架构 操 环 程 作 境 序 系 配 代 统 置 码 来源:头豹研究院 虚拟机与容器 虚拟机架构是从操作系统层开始建立一个可以用来执行整套操作系统的沙盒独立执行环境。 容器架构是直接将一个应用程序所需的相关程序代码、函式库、环境配置文件都打包起来建立沙盒执行环境,通过“打包”和“标准化”的理念凸显对“可移植性”、“敏捷”和“弹性”的需求导向。 隔离程度 在虚拟机中的每个应用都拥有独立的内核,具备软件层完全隔离的优势。 在容器中的每个应用都是共享宿主机的内核的,仅具备进程级隔离,配置环境的不细致会让容器直接地与其他容器发生交互。 容器安全 虚拟机和容器代表了两种需求,兴一利必生一弊:虽然容器在轻量化方向优势显著,但其代价则是由于资源隔离的不彻底和“打包”服务限制的数据可见性而带来的原生安全隐患。 在如今云原生体系向行业的不断渗透的趋势中,如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来的安全代价,正是容器安全赛道中的各厂商竞相追逐的目标。 •容器的安全保障需要同时应对来自主机层、Docker层、容器层和应用层的攻击面威胁。对于企业和安全厂商而言,充分了解容器环境和攻击状况,是建立防御体系的第一步。 容器的安全威胁与风险 主机DockerHost⊗$ ⊗2 服务端 DockerDaemon K8s& 镜像集群 start commit submit ⊗1 pullpush 用户端Client 镜像仓库⊗3 Registry 容器的运行机制、构成结构与风险来源 容器Container⊗5 应用⊗& start 停止状态 Stopped 运行状态kill Running unpause暂停状态Paused restart pause ⊗1⊗2⊗3⊗$⊗5⊗& 应用风险容器风险 容器集群风险 镜像和仓库风险主机操作系统层风险 传统云安全风险 容器#1容器#2容器#3 基础设施(服务器/云主机) 应用A 应用B 应用C Bins/Libs Bins/Libs Bins/Libs 容器引擎(DockerDaemon) 主机操作系统(Host、内核、Shell) 容器安全 来源:Docker、腾讯安全、成都信息工程大学、Cloudman,头豹研究院 对容器的运行机制和容器架构的组成分别展开解析,与传统平台相比,容器生态系统涉及的组件、工具和代码通道更多,容器用户需要确保具有专门构建的全栈安全性,以解决容器化应用程序在构建、部署和运行的安全要求。同时,容器的快速广泛采用也创造了一个“安全左移”的机会,保护容器从开发到CI/CD管道再到运行时,并在开发和安全团队之间架起桥梁。 初始入侵InitialAccess 对外漏洞 远程服务 投毒镜像 账户泄露 云账号AK泄露 使用恶意镜像 K8sAPIServer未授权访问 K8sconfigfile泄露 DockerDaemon公网暴露 容器内应用漏洞入侵 主节点SSH登陆凭证泄露 私有镜像库暴露 Dashboard暴露 下发指令Execution 容器服务创建后门 脚本 RCE 通过kubectl进入容器 创建后门容器 通过K8s控制器部署后门容器 利用ServiceAccount连接APIServer执行指令 带有SSH服务的容器 通过CloudShell下发指令 Bash/cmd命令行执行脚本 持久控制Persistence 挂载Host 冒充镜像 计划服务 创建账号 部署远控用户端 可写挂载目录hostPath K8scronjob持久化 在私有镜像库的镜像中植入后门修改核心组件访问权限 添加创建账户 冒充正常镜像签名 部署计划任务 权限提升PrivilegeEscalation 容器逃逸 漏洞 账号权限挂载目录 部署特权容器 集群binding添加用户权限 利用挂载目录逃逸 访问云资源 利用Linux内核漏洞逃逸 利用Docker漏洞逃逸 利用K8s漏洞进行提权 容器内访问docker.sock逃逸 利用LinuxCapabilities逃逸 Host命名空间、Cgroups滥用 躲避防御DefenseEvasion 名称伪装 路径伪装 卸载杀软 日志清理 容器及宿主机日志清理 K8sAudit日志清理 利用系统Pod名称伪装 利用路径伪装 通过代理或匿名网络访问K8sAPIServer 卸载安全产品Agent 创建影子APIServer 创建超长annotations使K8sAudit日志解析失败 窃取凭证CredentialAccess 账号泄露 API凭证 配置文件 K8sSecret泄露 云产品AK泄露 K8sServiceAccount凭证泄露 容器API凭证泄露 应用层API凭证泄露 利用K8s准入控制器窃取信息 窃取应用凭证配置文件 探测信息Discovery KubeletAPI 内网扫描 私有镜像库 元数据API 访问K8sAPIServer 访问KubeletAPI Cluster内网扫描 访问K8sDashboard所在Pod 访问私有镜像库 访问云厂商服务接口 通过NodePort访问Service 实例元数据API 横向移动LateralMovement 云资源 内网渗透 宿主机 K8s组件 窃取凭证攻击云服务 窃取凭证攻击其他应用 通过ServiceAccount访问K8sAPI Cluster内网渗透 通