阿里云容器服务ACK安全体系

  • 阿里云容器服务Kubernetes版安全体系

    • 提供从基础设施到上层用户业务应用全链条安全体系支撑

    • 支持运行时刻的安全策略管理,应用安全配置巡检和运行时刻的安全监控和告警

    • 提升容器安全整体纵深防御能力

  • 主要分为3个层级:运行时安全、可信软件供应链、基础架构安全

基础架构安全

  • 从公有云、专有云、混合云等多角度覆盖

  • 通过集群安全加固、身份验证管理、细粒度安全访问控制、集群日志审计、敏感数据加密等多个环节保障集群基础设施安全稳定高效运行

  • 与ACK/SLS深度绑定,可查询多维度的日志信息,以进行审计

  • KMS保证敏感数据安全加密

可信软件供应链

  • 安全是企业在应用容器技术时最大的顾虑之一

  • 为了系统化提升容器平台的安全性,就需要全方位进行安全防护

  • 阿里云的做法是:

    • 将DevOps升级为DevSecOps

    • 将安全概念融入整个软件生命周期之中

    • 将安全防护能力转移到开发和交互阶段

  • 安全措施包括:镜像扫描、镜像签名、云原生应用交付链

运行时安全

  • 安全巡检:ACK集群提供了应用运行时刻的安全配置巡检能力,帮您实时了解当前转台下运行应用的配置是否存在安全隐患

  • 策略管理:安全策略PSP时Kubernetes中Pod部署时重要的安全校验手段,能够有效地约束应用运行时的行为安全

  • 运行时监控和告警:阿里云容器服务和云安全中心深度集成了告警处理和漏洞检测能力,在应用运行时提供监控和告警能力

  • 安全沙箱管理:安全沙箱为您提供一种新的容器运行时选项,可以让您的应用运行在一个轻量虚拟机沙箱环境中,拥有独立的内核、具备更好的安全隔离能力