10月12日，2021重慶兩江新區(qū)網(wǎng)絡(luò)安全宣傳周拉開帷幕，本次宣傳周以“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”為主題，由兩江新區(qū)黨工委管委會(huì)、兩江新區(qū)網(wǎng)信委主辦，旨在增強(qiáng)廣大網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)，提升網(wǎng)絡(luò)安全防護(hù)技能，營造安全、健康、文明的網(wǎng)絡(luò)環(huán)境，保障人民群眾的合法權(quán)益，切實(shí)維護(hù)國家網(wǎng)絡(luò)安全。

       隨著云計(jì)算的發(fā)展，以容器和微服務(wù)為代表的云原生技術(shù)，受到了人們的廣泛關(guān)注，然而，在應(yīng)用容器和K8S過程中，大多數(shù)企業(yè)都遇到過不同程度的安全問題，如何保障容器安全，已成為企業(yè)最關(guān)心的問題。

       陳羅杰談到，云原生研發(fā)模式下的容器安全挑戰(zhàn)主要集中在Linux操作系統(tǒng)內(nèi)核安全、容器運(yùn)行時(shí)安全、鏡像安全和配置管理安全四大方面，并分享了廣域銘島的應(yīng)對(duì)策略。

       以“容器逃逸”為例，容器運(yùn)行時(shí)，容器利用系統(tǒng)漏洞，“逃逸”出了其自身所擁有的權(quán)限，實(shí)現(xiàn)對(duì)宿主機(jī)和宿主機(jī)上其他容器的訪問，這將直接影響到承載容器的底層基礎(chǔ)設(shè)施的保密性、完整性和可用性，嚴(yán)重威脅辦公和生產(chǎn)環(huán)境的安全與穩(wěn)定。

       陳羅杰闡述了廣域銘島針對(duì)容器逃逸攻擊的應(yīng)對(duì)策略：為每個(gè)容器創(chuàng)建單獨(dú)用戶，限制每個(gè)用戶的磁盤使用量；選擇XFS等支持針對(duì)目錄進(jìn)行磁盤使用量限制的文件系統(tǒng)；為每個(gè)容器創(chuàng)建單獨(dú)的虛擬文件系統(tǒng)，具體步驟為創(chuàng)建固定大小的磁盤文件，并從該磁盤文件創(chuàng)建虛擬文件系統(tǒng)，然后將該虛擬文件系統(tǒng)掛載到指定的容器目錄；使用gVisor和Kata Container等安全容器。

       Geega吉利工業(yè)互聯(lián)網(wǎng)平臺(tái)安全體系架構(gòu)以“自主可控”為核心，建立覆蓋“現(xiàn)場安全、通信安全、應(yīng)用安全、數(shù)據(jù)安全、標(biāo)識(shí)安全”的立體、縱深、集成的安全防御體系。目前已經(jīng)實(shí)現(xiàn)了代碼保護(hù)安全解決方案、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全解決方案、工廠數(shù)字化安全解決方案、應(yīng)用安全解決方案、數(shù)據(jù)安全解決方案的打造與輸出，平臺(tái)已通過ISO27001信息安全管理體系認(rèn)證 ，并正式成為工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟成員。未來，將持續(xù)為企業(yè)提供更安全、更可靠的服務(wù)和解決方案。