10月12日,2021重庆两江新区网络安全宣传周拉开帷幕,本次宣传周以“网络安全为人民,网络安全靠人民”为主题,由两江新区党工委管委会、两江新区网信委主办,旨在增强广大网民的网络安全意识,提升网络安全防护技能,营造安全、健康、文明的网络环境,保障人民群众的合法权益,切实维护国家网络安全。
作为网络宣传周重要活动,工业互联网安全论坛邀请国内知名网络安全专家学者,围绕网络安全前沿技术、行业应用等主题进行交流合作。广域铭岛应邀出席本次论坛,云平台部总经理陈罗杰在论坛上发表了《云原生研发模式下的容器安全保障》主题演讲。
随着云计算的发展,以容器和微服务为代表的云原生技术,受到了人们的广泛关注,然而,在应用容器和K8S过程中,大多数企业都遇到过不同程度的安全问题,如何保障容器安全,已成为企业最关心的问题。
陈罗杰谈到,云原生研发模式下的容器安全挑战主要集中在Linux操作系统内核安全、容器运行时安全、镜像安全和配置管理安全四大方面,并分享了广域铭岛的应对策略。
以“容器逃逸”为例,容器运行时,容器利用系统漏洞,“逃逸”出了其自身所拥有的权限,实现对宿主机和宿主机上其他容器的访问,这将直接影响到承载容器的底层基础设施的保密性、完整性和可用性,严重威胁办公和生产环境的安全与稳定。
陈罗杰阐述了广域铭岛针对容器逃逸攻击的应对策略:为每个容器创建单独用户,限制每个用户的磁盘使用量;选择XFS等支持针对目录进行磁盘使用量限制的文件系统;为每个容器创建单独的虚拟文件系统,具体步骤为创建固定大小的磁盘文件,并从该磁盘文件创建虚拟文件系统,然后将该虚拟文件系统挂载到指定的容器目录;使用gVisor和Kata Container等安全容器。
Geega吉利工业互联网平台安全体系架构以“自主可控”为核心,建立覆盖“现场安全、通信安全、应用安全、数据安全、标识安全”的立体、纵深、集成的安全防御体系。目前已经实现了代码保护安全解决方案、工业互联网网络安全解决方案、工厂数字化安全解决方案、应用安全解决方案、数据安全解决方案的打造与输出,平台已通过ISO27001信息安全管理体系认证 ,并正式成为工业信息安全产业发展联盟成员。未来,将持续为企业提供更安全、更可靠的服务和解决方案。
