直播回放｜“安全左移”：企业云原生建设的必经之路

近日，第六期【CNBPA技术实践沙龙】于线上顺利举行，来自灵雀云资深产品经理温磊和小佑科技架构师任亚周进行了“安全左移”：企业云原生建设的必经之路主题分享，和百余位企业IT从业者深入交流云原生时代下的安全挑战及落地实践。以下为直播视频回顾及问答内容汇总。

视频回顾

活动问答

Q：如何保证容器本身的安全？

A：从安全防护思路上来讲，首先要保证容器本身配置的安全，也就是我们经常说的合规性安全，可以通过一些安全组件对Docker配置进行安全扫描，以实现配置安全；其次，我们还需要对容器运行过程中的异常行为进行安全监控，并及时进行响应处理，最终保证容器本身的安全性。

Q：K8s安全在平台设计时有哪些考量，有没有最佳实践？

A：其实在整个云原生体系下的最佳实践，就是我们在前面分享中强调的“安全左移”模型，结合先进的DevOps理念，在技术开发、需求设计等不同阶段就尽早地引入安全考量，进行相应的安全设计，如安全建模，引入一些符合公司发展的安全红线要求；再然后就是在整个DevOps过程中进行镜像安全配置，包括镜像仓库、运行时及K8s本身等相关安全防护策略。目前看来，将安全融入DevOps的全流程可能就是最佳的安全实践。

Q：容器安全的风险评估有没有可以参考的依据，因为很多风险对现有环境来说都是unknow的。

A：关于容器安全风险评估：首先是漏洞，很大程度上扫描容器、K8s环境的漏洞，其实都是通过CVE漏洞库，它本身会带有安全的评分，可以有效评估容器的安全风险；此外还有一些基线类的，像CIS基线，通过开源软件kube-bench，可以对容器环境、运行时进行安全扫描，这部分其实有很多对安全风险评估的建议可以参考。

Q：云原生安全是建议使用开源的云原生组件还是采用商用产品的解决方案？

A：在云原生体系下，其实有很多开源组件，包括我们前面提到的用于镜像扫描的kube-bench、针对集群漏洞扫描的kube-hunter等等，如果技术团队本身对K8s有非常强的专业能力，可以考虑使用开源的云原生组件。

感谢各位线上观众的积极提问，和演讲嘉宾的精彩回答，后续CNBPA将会推出更多云原生技术实践相关活动，欢迎大家持续关注。

关于【CNBPA技术实践沙龙】

【CNBPA技术实践沙龙】由云原生技术实践联盟CNBPA主办，聚集云原生领域技术大咖，意见领袖，云原生技术落地的典型用户，生态伙伴 ，探讨新技术的创新应用趋势，展示技术推动业务创新升级的优秀实践。