【蚂蚁集团】蚂蚁容器安全(AntCWPP)能力建设-基于Kata和eBPF

近日，蚂蚁集团发布了一份名为《蚂蚁容器安全(AntCWPP)能力建设—基于Kata和eBPF》的行业研究报告。报告主要介绍了蚂蚁集团如何利用Kata安全容器和Linux内核eBPF技术构建一套功能丰富、深度集成于内部基础设施的稳定、高效、安全的容器工作负载保护平台（CWPP）系统。报告详细阐述了传统CWPP方案的不足，并展示了蚂蚁集团通过结合Kata容器与eBPF技术，如何构建起一套安全能力丰富且与生产环境稳定兼容的CWPP系统，推动容器安全的发展。这份报告中包含了对容器安全需求的深入分析、技术实现细节以及未来发展趋势的展望，为行业提供了宝贵的参考和洞见。

容器安全的新篇章：蚂蚁集团AntCWPP方案深度解析

在数字化时代，容器技术因其灵活性和高效性，已成为应用部署的主流方式。然而，容器安全问题也日益凸显，特别是容器逃逸和网络微隔离等挑战。蚂蚁集团发布的《蚂蚁容器安全(AntCWPP)能力建设——基于Kata和eBPF》报告，为我们揭示了一种全新的容器安全解决方案。

报告指出，传统的容器工作负载保护平台（CWPP）方案存在诸多不足，如生产环境兼容性差、容器逃逸防护难度大等。这些问题的根源在于传统容器与宿主机共享内核，一旦内核或容器运行时出现漏洞，攻击者就可能逃逸到宿主机，威胁整个集群的安全。

为了解决这些问题，蚂蚁集团采用了Kata容器和eBPF技术，构建了AntCWPP系统。Kata容器通过在每个容器中运行独立的内核，从根本上阻断了容器逃逸的可能性。这种设计不仅彻底解决了容器逃逸问题，还减少了对宿主机内核版本的依赖，使得安全策略的影响半径限制在容器层面，极大地提高了系统的稳定性。

eBPF技术的应用，为AntCWPP系统带来了更多的灵活性和安全性。eBPF允许在不修改内核源代码的情况下，在内核中安全地运行自定义代码。这种技术在加载到内核之前会经过严格验证，确保不影响系统稳定性，同时支持在系统运行时动态加载和更新程序，无需重新编译或重启内核。

AntCWPP方案通过安全Agent将eBPF程序加载到Kata容器所属的虚拟机内核中，实现对容器内进程、网络、文件等系统事件的安全审计。这种审计能力对于及时发现并处置攻击行为至关重要。例如，攻击者经常通过合法进程的子进程触发攻击，安全审计需要监控execve系统调用的参数及进程父子关系，以识别潜在的威胁。

除了审计，AntCWPP方案还能实现对异常行为的实时拦截。通过在Linux安全模块（LSM）层和网络TC层上加载eBPF程序，AntCWPP方案能够根据安全团队定制的安全策略进行进程、文件、网络行为的阻断。这种拦截能力对于防止恶意软件运行、数据窃取等安全事件具有重要意义。

报告还提到，AntCWPP方案实现了应用维度的安全策略管控。这意味着在同一节点上，根据不同的Kata容器下发不同的安全策略，并且对违反策略的行为进行审计或拦截。这种按应用维度的安全管理，使得安全策略更加精准和灵活。

在实际应用中，AntCWPP方案已经被部署在蚂蚁集团的多个业务场景中，包括在线应用和AI计算使用等。这些应用场景的安全策略包括系统安全事件审计、非镜像程序禁止执行、进程执行黑白名单管控等。这些策略的实施，有效提升了容器环境的安全性。

展望未来，报告预测安全容器将得到更广泛的使用，安全容器内的威胁分析与监测将逐渐得到发展，eBPF在安全领域的使用将逐渐成为共识，Kata独立内核的更广泛应用也将为基于容器的创新方案提供更多可能。

这篇文章的灵感来源于蚂蚁集团发布的《蚂蚁容器安全(AntCWPP)能力建设——基于Kata和eBPF》报告。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。