2018年容器的采用率是81.7%，超過80%的受訪者表示他們會采用容器技術，這個數字遠超去年50%。

越來越流行的容器

越來越多的企業利用Docker容器來快速構建和維護新服務和新應用。但是，云服務器租用，容器本身也存在重大的安全風險，例如不安全的 Docker 鏡像、運行環境的安全問題、Docker架構缺陷與安全機制等，這都意味著保護容器安全將是一項持續的挑戰。

據悉，美國當地時間周五晚上，由于 Docker Hub 遭受非法入侵，已導致 19 萬個帳號的敏感數據被泄露。雖然受影響的用戶只有 5%，但是絕大多數 Docker Hub 用戶都是大公司的內部員工，他們的帳號可能正在使用自動構建容器服務，然后在實際生產環境中部署這些容器。如果他們沒有及時重置帳號密碼，那么其帳號的自動構建服務會存在極大的安全風險。

藏在天使背后的可能是豺狼虎豹

容器對于快速和高效的軟件交付有著獨特“功效”，但是天使背后藏著的可能就是“血盆大口”，隨時將眼前的羔羊們撕成碎片。那該怎么辦？是避而遠之放棄得之不易的便利性，還是謹慎前行減少自身可被利用的脆弱性呢？

任何事物都有兩面性，對于那些在安全道路上選擇獨自前行的同行。筆者認為，在選擇利用容器便利性同時，前期一定不能忽視其安全性。只有這樣才能夠在部署容器化應用程序之前便知悉潛在風險。DevOps團隊需盡早在開發過程中獲得快速修復容器化鏡像中的漏洞和惡意軟件所需的信息，從而在部署之前降低風險并加速開發。 

在軟件開發生命周期中，安全“左移”已成為共識。那么如何通過整合常見的 CI/CD 構建系統和容器鏡像倉庫，在 DevOps 工具鏈中進行漏洞和惡意軟件的快速檢測等方式來確保容器的安全？ 

將安全整合到DevOps中才能對容器實現全生命周期保護

青藤的容器安全解決方案可集成至DevOps的流程中以消除安全盲點，同時不會拖慢軟件開發進程。青藤容器安全解決方案提供Docker容器鏡像安全整體的狀況，通過鏡像掃描、入侵檢測和合規基線實施情況等，化解容器所帶來的安全挑戰。

青藤蜂巢·容器安全產品， 是以應用為中心、輕量級、保障容器靜態資源及運行時安全的分布式解決方案，能夠針對應用漏洞、不安全配置、入侵攻擊、網絡行為，并結合安全策略，提供覆蓋容器全生命周期的、持續性安全防護。青藤蜂巢·容器安全產品覆蓋了容器使用過程中的Build、Ship和Run三個階段，提供資產清點、鏡像掃描、合規基線、以及入侵檢測等核心功能。

消除容器資產盲點容器資產清晰可視化

如何了解容器中跑了哪些應用，以及這些應用是否存在已知漏洞？容器多久更新一次，安全人員如何知曉更新情況？要解決這些問題，需要為安全管理者提供容器資產安全可視化能力，使之對資產安全狀況一目了然。

青藤容器安全解決方案以容器、鏡像、registry、主機的四大資產為基礎，進一步清點出有哪些具體的應用容器在跑。青藤蜂巢·容器安全產品的資產清點功能可主動識別并可視化所有容器資產。例如為安全人員展示了：

1） 系統中有哪些容器在使用，容器中都跑了哪些應用。例如MySQL的容器有多少，Ngnix的容器都分布在哪些機器上，哪些容器未被使用。

2） 清晰了解Registry中鏡像使用情況。基于此可進一步管理Registry中存在漏洞的鏡像，阻斷不可信的鏡像被使用。

持續鏡像掃描，覆蓋容器全生命周期

在不斷發展的技術環境中，每天都會發現新的漏洞。通過大范圍監視外部漏洞數據庫，保護容器免受新型威脅。一旦發現新的漏洞，便會自動對容器鏡像進行重新測試，迅速做出響應。比如最近新爆發的Docker提權漏洞，我們能在24小時之內進行響應，迅速幫助客戶發現生產環境中是否存在這樣的漏洞。

青藤容器安全解決方案將鏡像掃描能力集成在 CI/CD 環節中，提供Jenkins的安全插件，在集成階段即對鏡像進行掃描，發現存在漏洞的鏡像。通過對Registry中的鏡像進行掃描，從鏡像庫中發現存在漏洞的鏡像，并提供受信鏡像的設置，以及時發現不可信的鏡像。當然，在持續鏡像掃描中，會優先處理那些處于運行狀態且存在漏洞的容器。同時，可以通過配置細粒度的鏡像規則，阻斷存在漏洞的鏡像投入使用。例如，可設置規則，對于存在危急漏洞的鏡像禁止使用。

合規基線，是策略執行最佳保證

青藤蜂巢·容器安全的Docker CIS基線從宿主機配置、Docker Deamon 配置、容器運行時配置三個方面，為企業提供容器的最佳安全策略。