火山引擎容器安全项目入选信通院优秀案例名单

近日，由中国信通院主办的安全运营发展论坛在北京召开，会上公布了"安全守卫者计划 -- 安全运营专题"优秀案例征选结果。北京火山引擎科技有限公司携手金拱门（中国）有限公司共同申报的《容器安全全生命周期建设》项目案例成功入选优秀案例名单。

"安全守卫者计划 -- 安全运营专题"是由中国信通院发起的优秀案例征集活动。目的是引导安全领域产品的发展方向，选拔出一批成熟度高、具有示范作用的优秀安全案例。经过多轮严格评审，火山引擎申报的容器安全实践案例成功脱颖而出，充分体现了火山引擎在云原生安全领域的竞争实力。

《容器安全全生命周期建设》项目从金拱门实际容器平台业务场景出发，与业务端 DevOps 模式转型深度融合，有效解决了用户在镜像安全扫描分析、运行时安全、容器基础设施环境安全等方面实际的需求痛点，保障了金拱门数字化业务安全稳定的运行。

火山引擎在云原生领域有着丰富的技术实践经验，通过将安全原生的理念融入金拱门容器云业务架构建设中，为客户的数字化转型提供了坚实的安全保障，并带来以下效益：

安全易用，能效提升

镜像供应链的安全保障是容器安全运行的基础，除了基础的安全扫描分析加固之外，火山引擎通过自定义基础镜像、精细化的漏洞风险分析以及多样化的镜像阻断手段，来帮助用户提升镜像安全运营效率。

运维部门通常会将获取的源镜像，进行安全扫描修复后，放入镜像仓库作为基础镜像，同时所有的业务镜像都是由开发部门提供应用代码，在基础镜像上构建而成的。火山引擎容器安全产品在后续的安全扫描中，能够自动化识别出脆弱性是否属于基础镜像引入，按照责任归属提交运维部门或者开发部门进行修复。修复过程中，会优先修复基础镜像存在的问题，以提升修复效率。

另外，火山引擎容器安全产品对镜像漏洞风险引入智能化分析评分机制，不仅基于 CVE 本身的风险要素，还结合容器运行的环境要素进行综合评定（如特权容器、端口监听、异常事件等要素），给出最适合实际场景的修复优先级建议。

在最后环节中，镜像在生产环境中启动成容器时，产品会帮助设置合理的安全卡点，并依据镜像的脆弱性风险进行自动化镜像启动阻断，防止镜像带病上线。

技术领先，全面防治

火山引擎以容器原生特性为基础创新技术路线，以业内领先的行为建模分析技术为基础，全面覆盖容器运行时遇到的各类已知和未知威胁。

如图，产品客户端组件会进行广泛的容器资产行为收集，可收集各类资产静态特征和动态行为。进一步利用容器的不变性和单一性，通过行为基线、广谱规则对异常行为进行检测，多维度数据关联分析，提升未知威胁检测的准确性。从而全面覆盖各类高级入侵行为，如容器逃逸、反弹 shell、远程控制、挖矿等威胁。

原生部署，安全稳定

火山引擎提供的所有产品组件全部以云原生化的方式进行部署，以非特权平行容器的方式运行，可自主设置资源消耗上限，对业务运行"0"影响，深得用户信赖。

在未来，火山引擎会不断加大对云原生安全领域的探索，深度洞察技术发展趋势，输出更多的内部技术实践经验，不断加深和专业客户的合作，共创共建出更多的优秀实践案例。