7月9日，騰訊安全正式發布騰訊云容器安全服務產品TCSS（Tencent Container Security Service），騰訊云容器安全服務為企業提供容器資產管理、鏡像安全、運行時入侵檢測等安全服務，保障容器從鏡像生成、存儲到運行時的全生命周期，幫助企業構建容器安全防護體系。

（TCSS幫助打造原生可靠的容器應用安全體系）

云原生時代 容器面臨多重安全風險

容器是云原生的基石之一，作為一種計算單元，在云原生環境中直接運行于主機內核之上，具有系統資源占用少、可大規模自動化部署以及彈性擴容能力強等優勢。另外容器化使開發過程中快速集成和快速部署成為可能，極大地提升了應用開發和程序運行的效率。

另一方面，容器的構建依賴于鏡像，鏡像庫管理不當混入惡意鏡像、鏡像損壞、有漏洞的鏡像沒有及時更新、鏡像認證和授權限制不足等都會給容器帶來巨大安全隱患。同時，容器共享宿主機操作系統內核，隔離性方面存在缺陷，將會造成容器逃逸。容器逃逸也是容器特有的安全問題，會直接影響到底層基礎設施的安全性，主要分為三類：第一類是配置不當引起的逃逸，比如允許掛載敏感目錄；第二類是容器本身設計的BUG，比如runC容器逃逸漏洞；第三類是內核漏洞引起的逃逸，比如dirtycow。因此，容器逃逸也被許多學者視為容器安全的首要問題。

騰訊TCSS四大核心能力 守護容器全生命周期安全

為了解決容器安全問題，騰訊安全結合二十多年的網絡安全實踐經驗，推出了覆蓋容器資產管理、鏡像安全及運行時入侵檢測等功能的騰訊云容器安全服務產品（TCSS），通過資產管理、鏡像安全、運行時安全、安全基線四大核心能力來保障容器的全生命周期安全，幫助企業快速構建容器安全防護體系。

其中，資產管理功能將提供自動化、細顆粒度的資產清點服務，目前已經支持九種資產信息統計，可統一管理容器、鏡像、鏡像倉庫、主機等關鍵資產，幫助企業實現資產可視化；

（核心產品功能：資產管理）

鏡像檢測功能基于自主研發的容器安全殺毒引擎和漏洞引擎，共享病毒庫和漏洞庫，支持“一鍵檢測”、“定時掃描”兩種掃描模式，可以針對鏡像、鏡像倉庫提供安全漏洞、木馬病毒、敏感信息等多維度安全掃描；

（核心產品功能：鏡像安全）

運行時提供了功能強大的入侵檢測能力，基于自適應Agent識別黑客攻擊，實時監控容器運行時環境，支持容器逃逸、異常進程、文件篡改、高危系統調用等五種運行時入侵檢測功能，并提供異常進程攔截、文件篡改防護等全面保護；

（核心產品功能：運行時安全）

安全基線功能則可定期對容器、鏡像、主機、Kubernetes、編排環境進行安全基線檢測，幫助容器環境合規化，避免因配置缺陷引發安全問題，減少攻擊面。

三大優勢 助力構建云原生時代的基礎安全

騰訊TCSS提供的四大安全防護功能，基本覆蓋了容器全生命周期的安全需求，而且相比同類產品，TCSS采用超融合架構，支持簡易安裝，輕量部署，同時容器安全服務嚴格限制 Agent 資源占用，正常負載時消耗極低，負載過高時主動降級保證系統正常運行。

另外，騰訊擁有全球最大、覆蓋最全的黑灰產大數據庫，TCSS容器安全服務可使用騰訊安全數據庫對容器環境發現的惡意程序樣本進行關聯分析，并基于威脅情報感知容器環境威脅行為，進一步增強安全保障。

傳統安全體系在公有云上適應性差，無法有效檢測新威脅形式，缺少自動化響應處置手段。目前，騰訊TCSS已經在多個行業展開了應用，幫助客戶克服了云上資產種類多、數量大、不易盤點的問題，大大提升了客戶的云上安全水平和安全運營管理效率。

在云原生環境下，企業通過微服務來交付應用系統的比例在增加，容器安全已經成為了云安全不可或缺的部分。未來，騰訊安全將繼續完善容器安全一站式解決方案，推動行業構建云原生安全生態，為客戶的應用安全提供更全面的保護。