容器安全概述

Docker是目前最具代表性的容器技术之一，对云计算及虚拟化技术产生了颠覆性的影响。

以Docker为代表的容器技术，直接运行于宿主机操作系统内核，因此对于容器安全，很多人会有着这样的疑问：EDR（Endpoint Detection and Response）等主机安全方案，能否直接解决容器安全的问题？

概括来说，容器/容器云安全，可以包括以下四个类别：

第一，就是容器环境基础设施的安全性，比如主机上的安全配置是否会影响到其上面运行的容器，主机上的安全漏洞是否会影响到容器，主机上的恶意进程是否会影响到容器，容器内的进程是否可以利用到主机上的安全漏洞等。

第二，是容器的镜像安全，这里包括镜像中的软件是否存在安全漏洞，镜像在构建过程中是否存在安全风险，镜像在传输过程中是否被恶意篡改等。

第三，是容器的运行时安全，比如运行的容器间隔离是否充分，容器间的通信是否是安全的，容器内的恶意程序是否会影响到主机或者其它容器，容器的资源使用情况是否是安全的等。

第四，是整个容器生态的安全性，比如Docker/Kubernetes自身的安全性如何，ServiceMesh/Serverless对容器安全有什么影响，容器中安全密钥的管理和传统环境有什么不同，容器化后的数据隐私保护跟传统的数据隐私保护是否一致等。

从上述容器安全的核心问题来看&#x