安全狗容器云原生安全研究成果获《计算机科学

近期，由安全狗CEO陈奋、技术副总裁陈荣有、海青实验室负责人陈俊杰联合撰写的《Docker 容器逃逸的防御方法研究》一文，经专家多轮严谨的评审和推荐，入选了《计算机科学与探索》专刊。值得一提的是，安全狗基于对K8s容器全生命周期安全的长期研究、实践，并几经改进的容器安全产品云甲可以有效防御Docker容器逃逸攻击，并在不久前也获得国际权威咨询机构Gartner的认可，接连入选了多份技术报告（点此查看）。此次安全论文的入选，是对安全狗技术研究实力的又一肯定。

据悉，《计算机科学与探索》是由中国电子科技集团公司主管、华北计算技术研究所主办的国内外公开发行的计算机学报级高级学术期刊，中国计算机学会会刊，主要报道计算机（硬件、软件）各学科领域内具有创新性、前沿性、导向性、开拓性及探索性的科研成果。此学术期刊多次获得工业和信息化部优秀科技期刊、中国计算机学会优秀会刊等荣誉，权威性和专业度广受认可。

当前，容器云原生技术快速发展，而Docker容器和宿主机共享内核的特点导致了Docker容器逃逸问题变得严峻。因为一旦发生“逃逸”，宿主机和宿主机上其他容器的保密性、完整性和可用性也会受到严重影响。，解决Docker容器逃逸具有重要安全意义。

《Docker 容器逃逸的防御方法研究》一文，通过梳理国内外对容器逃逸展开的防御工作，分析了容器逃逸的根源，并围绕了Docker容器逃逸涉及到的技战术分析了攻击者的攻击思路。针对这些问题现状，文中还分析了业界常见的应对方案，如运行时异常检测、安全容器、基于Docker容器生命周期的安全运维等等，并指出了这些方案的局限性，如现有运行时异常检测方案存在检测覆盖面不足、检测能力时效性不足等局限性；现有安全容器方案具有安全风险、引入现阶段仍不够主流的技术栈等局限问题；现有部分基于Docker容器生命周期的安全运维方案在完备性和性能等方面仍存在改善空间。

在论文的，安全狗安全研究专家从基于Docker容器生命周期和攻击前、攻击时、攻击后等综合性角度出发，明确提出为了低成本、高效率地做好容器逃逸的防御工作，应在Docker容器的全生命周期内开展落实最小权限、纵深防御的工作。，还分享了实际案例，为安全从业者如何有效开展Docker容器逃逸防御工作提供了思路与方向。

从常态化的攻防实战角度分析和解决容器逃逸问题，有利于用户更好地利用容器快速部署业务应用，让业务在安全环境中稳定推进。在未来，安全狗将继续扩大和巩固自身在国内云安全行业的技术优势，紧密跟踪国际、国内技术发展趋势和市场需求动向，继续坚持创新，高速成长，推出更加优质、安全、放心的产品和能力，为广大用户的网络安全保驾护航，为网络强国贡献力量。