中国容器安全市场报告.pdf
《中国容器安全市场报告.pdf》由会员分享,可在线阅读,更多相关《中国容器安全市场报告.pdf(31页珍藏版)》请在咨信网上搜索。
1、2022年中国容器安全市场报告2022 China Continer Security Market Report2022年中国市場报告标签:容器集群安全、镜像安全、运行时安全、容器隔离沙利文市场研读|云安全产业报告提供的任何内容(包括但不限于数据、文字、图表、图像等)均系弗若斯特沙利文及头豹研究院独有的高度机密性文件(在报告中另行标明出处者除外)。未经弗若斯特沙利文及头豹研究院事先书面许可,任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容,若有违反上述约定的行为发生,弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的
2、所有商业活动均使用“弗若斯特沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标,弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构,也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。中国:网络安全系列沙利文市场研读容器安全的建设仍处于起步爬坡阶段,需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题,传统的安全防护手段已经难以适配云原生环境。01容器安全防护的挑战02容器运行时防护方案点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全生命周期和全架构层次的容器安全体系框架
3、。概览说明沙利文谨此发布中国容器安全系列报告之2022年中国容器安全市场报告年度报告。本报告旨在梳理梳理容器安全领域产品及服务形态,洞悉用户特点、市场存量空间及增量空间,并结合市场发展前景判断中国容器安全市场各类竞争者所处地位。2022年第四季度,沙利文联合头豹研究院对容器安全核心产品进行了下游用户体验调查。根据下游用户调研反馈、行业专家见解及供应商专题交流,融合多维视角,输出分析成果。本市场报告提供的容器安全趋势分析亦反映出容器安全行业整体的动向。本研究结果将通过增长指数体现竞争者维持现有市场地位的能力,通过创新指数体现竞争者进一步提高市场地位的能力。报告最终对市场排名、领导者的判断仅适用于
4、本年度中国容器安全发展周期。本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询(中国)及头豹研究院调查,数据均采用四舍五入,小数计一位。03镜像仓库安全方案容器、镜像、镜像仓库是容器技术安全的三大核心组件。镜像仓库安全是构筑全生命周期的容器安全核心之一,其中包括版本可信、连接安全、认证和授权安全等层面。04产品形态发展方向容器安全防护体系需覆盖容器技术的全生命周期,针对容器规划、安装、配置、部署、运维、处置等不同阶段,设置相应的动态应用策略。中国:网络安全系列沙利文市场研读3容器架构风险与安全挑战概述-5 容器架构的原生安全性 容器安全威胁与风险 容器安全防护的挑战容器安全技术发展综述-1
5、1 容器安全防护架构体系 容器运行时防护方案 容器仓库安全方案中国容器安全市场发展趋势-15 核心特征发展方向 产品形态发展方向中国容器安全市场竞争态势-18 容器安全竞争力评价维度 容器安全综合竞争力表现 领导者:青藤云安全 领导者:腾讯安全 领导者:小佑科技 领导者:博云名词解释-29方法论-30法律声明-31研究框架China:Container Security SeriesFrost&Sullivan Market Insight4CONTENTSOverview of container structure risks and security challenges-5 Nativ
6、e security feature of container Container security threats and risks Challenges of container security protectionOverview of the development of container security technique-11 Container security protection structure Protection scheme during container operation Container warehouse security planDevelop
7、ment trend of container security market in China-15 Development direction of core feature Development direction of product formcompetitive landscape of container security market in China-18 Assessment scoring Comprehensive vendor assessment Frost Radar Leading competitor:Qingteng Leading competitor:
8、Tencent Leading competitor:DOSEC Leading competitor:BoCloudTerms-29Methodology-30Legal Statement-315容器架构的原生安全性容器的安全威胁与风险容器安全防护的挑战Chap 1容器架构风险与安全挑战概述中国:网络安全系列沙利文市场研读6容器架构的原生安全性如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来的安全代价,是容器安全赛道中的各厂商竞相追逐的目标。虚拟机与容器虚拟机架构是从操作系统层开始建立一个可以用来执行整套操作系统的沙盒独立执行环境。容器架构是直接将一个应用程序所需的相
9、关程序代码、函式库、环境配置文件都打包起来建立沙盒执行环境,通过“打包”和“标准化”的理念凸显对“可移植性”、“敏捷”和“弹性”的需求导向。隔离程度在虚拟机中的每个应用都拥有独立的内核,具备软件层完全隔离的优势。在容器中的每个应用都是共享宿主机的内核的,仅具备进程级隔离,配置环境的不细致会让容器直接地与其他容器发生交互。容器安全虚拟机和容器代表了两种需求,兴一利必生一弊:虽然容器在轻量化方向优势显著,但其代价则是由于资源隔离的不彻底和“打包”服务限制的数据可见性而带来的原生安全隐患。在如今云原生体系向行业的不断渗透的趋势中,如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来
10、的安全代价,正是容器安全赛道中的各厂商竞相追逐的目标。面向不同虚拟环境的架构定义物理服务器操作系统环境配置程序代码应用操作系统环境配置程序代码虚拟机封装物理服务器应用应用应用环境配置程序代码容器封装物理服务器操作系统应用应用应用应用应用独立地基、独立大门一栋楼一户人家独栋别墅共享地基、共享大门一栋楼多套房、一套房一户人家独立卫生间、独立厨房、独立宽带公寓大楼共享地基、共享大门一套房多个隔间、一个隔间一位租户共享卫生间、共享厨房、共享宽带胶囊旅馆理解传统物理机架构容器架构虚拟机架构来源:头豹研究院中国:网络安全系列沙利文市场研读7镜像仓库风险:信息泄露 恶意程序 镜像篡改 植入后门 高危漏洞集群
11、风险:网络控制 租户隔离 凭证泄漏 节点可信 组件漏洞代码风险:恶意代码账号风险:账号AK泄露主机风险:内核漏洞 组件漏洞 资源访问控制和限制容器风险:容器逃逸 恶意入侵 网络攻击 木马挖矿应用风险:不可信应用源 旧版本 应用漏洞 应用入侵容器的安全威胁与风险容器的安全保障需要同时应对来自主机层、Docker层、容器层和应用层的攻击面威胁。对于企业和安全厂商而言,充分了解容器环境和攻击状况,是建立防御体系的第一步。容器的运行机制、构成结构与风险来源运行状态Running停止状态Stopped暂停状态Pausedstart容器 Containercommitpushpullrestartstar
12、tkillunpausepause服务端Docker Daemon主机 Docker Host用户端Client镜像仓库RegistryK8s&镜像集群应用1submit23456123456来源:Docker、腾讯安全、成都信息工程大学、Cloudman,头豹研究院传统云安全风险主机操作系统层风险容器集群风险镜像和仓库风险应用风险容器风险应用A应用BBins/LibsBins/Libs应用CBins/Libs容器引擎(Docker Daemon)主机操作系统(Host、内核、Shell)基础设施(服务器/云主机)容器#1容器#2容器#3容器安全对容器的运行机制和容器架构的组成分别展开解析,与
13、传统平台相比,容器生态系统涉及的组件、工具和代码通道更多,容器用户需要确保具有专门构建的全栈安全性,以解决容器化应用程序在构建、部署和运行的安全要求。同时,容器的快速广泛采用也创造了一个“安全左移”的机会,保护容器从开发到 CI/CD 管道再到运行时,并在开发和安全团队之间架起桥梁。中国:网络安全系列沙利文市场研读8来源:MITRE、阿里云、Azure、腾讯安全、青藤云安全,头豹研究院,沙利文容器与镜像ATT&CK攻防对抗知识库初始入侵 Initial Access下发指令 Execution持久控制 Persistence权限提升 Privilege Escalation躲避防御 Defen
14、se Evasion窃取凭证 Credential Access探测信息 Discovery横向移动 Lateral Movement破坏目标 Impact 云账号AK泄露 使用恶意镜像 K8s API Server未授权访问 K8s configfile 泄露 Docker Daemon公网暴露 容器内应用漏洞入侵 主节点SSH登陆凭证泄露 私有镜像库暴露 Dashboard暴露 通过kubectl进入容器 创建后门容器 通过K8s控制器部署后门容器 利用Service Account连接APIServer执行指令 带有SSH服务的容器 通过CloudShell下发指令 Bash/cmd 命
15、令行执行脚本 部署远控用户端 可写挂载目录hostPath K8s cronjob持久化 在私有镜像库的镜像中植入后门修改核心组件访问权限 添加创建账户 冒充正常镜像签名 部署计划任务 部署特权容器 集群binding添加用户权限 利用挂载目录逃逸 访问云资源 利用Linux内核漏洞逃逸 利用Docker漏洞逃逸 利用K8s漏洞进行提权 容器内访问docker.sock逃逸 利用Linux Capabilities逃逸 Host命名空间、Cgroups滥用 容器及宿主机日志清理 K8s Audit日志清理 利用系统Pod名称伪装 利用路径伪装 通过代理或匿名网络访问K8sAPI Server
16、卸载安全产品Agent 创建影子API Server 创建超长annotations使K8sAudit日志解析失败 K8s Secret泄露 云产品AK泄露 K8s Service Account凭证泄露 容器API凭证泄露 应用层API凭证泄露 利用K8s准入控制器窃取信息 窃取应用凭证配置文件 访问K8s API Server 访问Kubelet API Cluster内网扫描 访问K8s Dashboard所在Pod 访问私有镜像库 访问云厂商服务接口 通过NodePort访问Service 实例元数据API 窃取凭证攻击云服务 窃取凭证攻击其他应用 通过Service Account访
17、问K8sAPI Cluster内网渗透 通过挂载目录逃逸到宿主机 访问K8s Dashboard 攻击第三方K8s插件 访问Tiller endpoint 破坏系统及数据 劫持资源 DoS攻击 加密勒索对外漏洞远程服务投毒镜像账户泄露容器服务创建后门脚本RCE挂载Host冒充镜像计划服务创建账号账号泄露API凭证配置文件名称伪装路径伪装卸载杀软日志清理容器逃逸漏洞账号权限挂载目录数据破坏资源劫持拒绝服务云资源内网渗透宿主机K8s组件Kubelet API内网扫描私有镜像库元数据API中国:网络安全系列沙利文市场研读9来源:MITRE、安全狗,头豹研究院从容器ATT&CK看模拟攻击路线初始入侵
18、Initial Access下发指令 Execution持久控制 Persistence权限提升 Privilege Escalation躲避防御 Defense Evasion窃取凭证 Credential Access探测信息 Discovery横向移动 Lateral Movement破坏目标 Impact对外漏洞远程服务投毒镜像账户泄露容器服务创建后门脚本RCE挂载Host冒充镜像计划服务创建账号账号泄露API凭证配置文件名称伪装路径伪装卸载杀软日志清理容器逃逸漏洞挂载目录账号权限数据破坏资源劫持拒绝服务云资源内网渗透宿主机K8s组件Kubelet API内网扫描私有镜像库元数据API
19、12234675 一种容器攻击路线1.首先攻击者发现K8s暴露在外的微服务开始渗透,利用容器内的应用漏洞入侵并成功获取到容器的shell。2.然后探测内网环境,进行Cluster内网的扫描,探测存活主机和存活主机开放的端口,以此可以确定K8s集群对外暴露的微服务。扫描还可以得到Pod的IP,条件允许的话可以直接在容器内利用。3.通过扫描开放的组件的默认端口,进而发现K8s的未授权访问,在获取到shell的容器内利用kubectl用户端操纵K8s资源。4.利用K8s的未授权访问创建后门容器。5.从挂载宿主机目录并向宿主机目录写入定时的反弹shell任务。6.通过挂载目录逃逸到宿主机完成主机的横向
20、移动。7.最后利用K8s cronjob进行持久化控制。容器与镜像ATT&CK攻防对抗知识库ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击行为知识库和威胁建模模型。容器与镜像ATT&CK覆盖了K8s编排层、Docker容器层和应用层的攻击行为,还包括了容器相关的恶意软件威胁。对于企业和安全厂商而言,充分了解容器环境和攻击状况,是建立防御体系的第一步。企业用户,利用容器ATT&CK模拟红蓝对抗,有助于了解K8s中的安全风险和关键攻击媒介,并且基于此有助于制定正确的检测和缓解策略来应对这些风险,提供全面的保护。中国:
21、网络安全系列沙利文市场研读10容器安全防护的挑战容器安全的建设仍处于起步爬坡阶段,需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题,传统的安全防护手段已经难以适配云原生环境。容器安全的难题和挑战从容器的攻击路径中可以体现,针对容器可选择的攻击面和攻击手段十分广泛,同时通过横向移动可以轻松扩大入侵价值。相较于攻击视角的“低门槛高收益”的特性,容器在安全防守的视角中却是“荆棘载途”。容器安全的建设仍处于起步爬坡阶段,需要克服几大难题:1.新旧双重威胁,未知风险。包括漏洞利用、暴力破解、权限提升在内的传统攻击手段对容器一样奏效。同时,云原生使用的一系列技术也意味着容器存在大量
22、未知的风险隐患,黑客也不断衍生出新的攻击手段,如投毒镜像、容器逃逸、集群API调用等,容器防护需要为容器环境创新定制专门的防御策略。2.镜像漏洞普遍。由于镜像的本质是静态存档文件,容器必须在上游的镜像中进行更新并重新部署。容器环境常见风险是使用的镜像版本存在漏洞而使部署的容器存在漏洞。Docker Hub中的镜像普遍存在不同程度的漏洞,这些有安全隐患的漏洞都有可能被恶意利用。3.数据可观测性低,攻击溯源难。容器的生命周期短,动态变化快,超过50%容器从上线到下架的整个生命周期不超过1天。同时容器的轻量化部署原理也使主机上的可以承载上百个容器的同时运行,集群内部的网络流量和通信端口总量大幅增加。
23、容器化环境的容器应用部署密度和容器变化频率都远高于传统环境,攻击威胁的检测、追踪和溯源的难度显著。无漏洞镜像20%存在低风险漏洞的镜像4%存在中风险漏洞的镜像存在高危漏洞的镜像51%含有恶意软件或病毒的镜像0.16%其他12%镜像数拉取数其他Windows恶意软件flatmap流黑客工具加密货币矿工Docker中镜像的漏洞风险现况与恶意镜像构成来源:Prevasio,Docker,头豹研究院11容器安全防护架构体系容器运行时防护方案镜像仓库安全方案Chap 2容器安全技术发展综述中国:网络安全系列沙利文市场研读12 从攻击视角到防御视角容器安全体系的建立,最初是攻防映射的点对点关系,常见攻防视
24、角有:针对镜像漏洞/应用漏洞的攻击。防守方可以通过基于版本与漏洞库的比对完成基于镜像的漏洞扫描。利用暴露的K8s配置或账号发起入侵。防守方可以通过针对主流的攻击场景进行检测识别,同时关注账号安全层面的异常状况。容器逃逸会对容器集群有很大的危害。防守方可以通过对攻击场景的理解建立黑白名单完成运行时监测。点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全生命周期和全架构层次的容器安全体系框架。可观测容器安全防护架构体系点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全
25、生命周期和全架构层次的容器安全体系框架。全生命周期和全架构的容器安全体系容器安全的攻防视角来源:火山引擎、NeuVector、腾讯安全、青藤云安全,头豹研究院,沙利文容器运行时容器网络容器环境软件供应链安全运行时安全工作负载安全基础设施安全镜像仓库安全通信镜像阻断镜像扫描镜像签名镜像加固宿主机安全零信任网络安全网络隔离访问控制容器逃逸检测进程异常检测反弹Shell检测API网关安全配置检查加固身份管理权限管理融合微隔离漏洞扫描和修复DevSecOps代码审计代码分析代码加固依赖加固DevOps集成态势监控宿主机内核安全宿主机网络安全入侵检测持续检测准入控制Docker Dameon访问控制K8
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国 容器 安全 市场 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。