运行中的容器,相关漏洞会被恶意利用,产生容器逃逸风险和资源耗尽风险,针对容器运行时的监控,目前有何比较好的开源或者商业化工具?针对监控指标和阈值,是否有比较实用的标准?
收起您的问题可以分开考虑:
1)漏洞利用、逃逸攻击属于典型的安全问题,应采用专业的容器安全工具进行实时入侵检测。容器安全工具会监控进程执行、文件读写、网络流量来发现异常,匹配检测规则来判定容器是否遭受到了网络攻击。但这类容器安全工具不是运维层面的监控工具(Zabbix/Prometheus),所以也没有监控指标和阈值标准。
因为网络安全攻防类似于矛与盾,是一个动态的持续的对抗升级状态,所以入侵检测功能需要持续更新规则,持续运营。
2)资源耗尽风险,有可能是网络安全问题,也有可能是软件自身质量问题。好在容器本身是可以限制资源额度,所以影响也通常限制在当前容器,而不是整个容器云。
最后回答一下关于工具名称的问题。监控工具已在上文中提到,最常见的开源工具是Prometheus,很普及了。容器安全工具可以考虑开源的StackRox、NeuVector,或者采购商业化的容器安全产品,国内有几家做得还不错。