容器麻雀虽小五脏俱全钢结构件

　　近日，国际权威咨询机构IDC发布了《PRC SDC Software Market Overview, 2019H2/2019》报告。容器报告显示，容器中国容器软件市场份额华为云位居国内商。除杰出的市场表现，华为云容器的安全性再次成为焦点。

　　其实早在去年9月，全球权威咨询机构Forrester发布的报告就指出，华为云容器有强大的安全和应用生命周期管理能力，安全能力覆盖面很广。

　　为何测评机构如此看重容器的安全性，将其作为衡量容器产品重要的竞争力之一呢？

　　容器，本质是将操作系统、应用等资源上（也叫宿主机）虚拟化出相互隔离的独立单元，是某个容器镜像的一个实现。容器麻雀虽小五脏俱全，可以用于业务的开发、交付和部署等。容器镜像则是轻量的软件包 ，包含开发、交付和部署等所需的代码、运行时环境、系统工具、系统库和设置等。可见，容器可以用更少的资源来实现更丰富的功能。

　　但与所有新技术一样，容器也面临新的安全挑战：一旦某个容器被攻陷，就会导致同在一个宿主机上的其它容器也面临被攻陷风险（也即容器逃逸），并由此导致更多的安全问题：

　　4、容器运行在某个具体的容器集群环境中，环境相关的系统、应用和网络都要进行安全加固、检测和防护。

　　华为云在设计容器之初就考虑和妥善解决了这些可能影响用户使用的安全问题，并于2018年8月了容器安全服务（Container Guard Service，CGS），从容器集群安全、镜像构建安全（Build）、镜像仓库安全（Ship）、镜像运行安全（Run）保障容器全生命周期安全。CGS主要功能包括：

　　容器集群包括容器运行的某个宿主机和宿主机的管理节点。华为云采用了宿主机系统漏洞检测修复、集群组件安全加固、网络隔离、钢结构件租户资源隔离、资源访问控制等措施，钢结构件保障容器集群的安全。

　　首先，CGS可对容器进行细粒度的租户隔离，钢结构件防止租户间相关攻击和资源滥用；其次，CGS可对异常行为进行检测和关联分析，准确发现和阻断shocker攻击、进程提权、DirtyCow和文件暴力破解等攻击，及早规避容器逃逸。

　　CGS对官方镜像进行定时漏洞扫描，帮助用户在制作镜像前进行漏洞修复。在容器的构建阶段，CGS即可扫描镜像编码的安全问题。在容器分发阶段，CGS会持续对镜像进行安全扫描，发现可能存在的漏洞和风险，并给出修复和调整意见。

　　在容器运行的时候，CGS可通过恶意程序库，有效检测挖矿、勒索病毒等恶意程序；用户可设置安全策略对某些安全漏洞和风险进行拦截和告警，也可设置进程白名单，有效阻止异常进程、提权攻击、违规操作等风险；文件只读保护功能，锁定和保护关键文件，容器避免被篡改。

　　总之，通过以上一系列安全措施，华为云保障了中国市场份额的容器的安全性，让用户安心使用容器，专注于使用容器来发展业务。
以上信息由无锡珂瑞特重工有限公司整理编辑，了解更多容器,换热器信息请访问http://www.wxwchi.com