甜野猫|17 年安全界老兵，专注打造容器安全能行吗？( 二 ) 作者|伍杏玲出品|CSDN（ID:CSDNnews）

袁曙光在探索的过程中，还发现以下容器安全痛点：
一、隔离性较弱。容器基于进程的隔离，其隔离性不如虚拟机强，可能导致容器逃逸攻击宿主机，为云计算的多租户安全提出挑战。
二、镜像漏洞多。镜像是容器运行的基础、官方的镜像有30%的镜像存在高危安全漏洞。
三、资产理不清。容器平均的存在时间为3分钟，快建快消的特点导致容器资产变化快。
四、安全控制难。容器集群k8s只提供了编排框架，额外的一切安全控制需要插件实现。
在打造“镜界”产品时，袁曙光坦言遇到的难点不少：
一是当时这个方向较前沿，可参考案例较少，只能一点点地去摸索和尝试；
二是由于云原生涉及方方面面技术，不能说“指哪打哪” ，仅单点解决某个问题，而是提供容器从镜像端到容器运行的完整生命周期防护。
由于云原生是一个较大的体系，拥有非常多的项目，国内没有很成熟的标准统一。云原生都是基于开源的构造， K8S、Docker等。云原生技术品类、插件版本分裂，开发者和企业使用的可能均不相同， “镜界”平台都需要覆盖和兼容到。
【甜野猫|17 年安全界老兵，专注打造容器安全能行吗？】假如仅靠原有安全攻防知识来研发的话，袁曙光表示， “难度还是很大，光是把云原生环境搭起来就要从入门到放弃了，因为太复杂了。 ”
在他们充分深入研究云原生技术后，将其中的安全需求抽离出来，再结合团队扎实的安全技术，融合打造出“镜界”平台。
对此，小佑科技搭建一套容器云原生安全防护平台——镜界容器安全防护平台。 “镜界”不仅对容器做全流程防护，还可无缝集成DevOps 。提供容器资产管理、镜像深度扫描、容器运行监控与控制、微服务及API安全、容器及集群的合规审计。该平台保证容器从镜像生成、存储到容器运行的全生命周期防护。且安装部署方便，与Kubernetes兼容，可用性较高。
安全厂商群立，专注容器安全的小佑科技如何突围而出？
尽管如此，两年的小佑科技面对的竞争一点不少：一是来自传统安全厂商，这些厂商的产品全涵盖边缘计算、终端安全等全产品线，因为企业采购时通常整体采购，小佑科技如何凸显优势？
二是大云厂商也提供一些容器安全服务，那么专门针对容器安全、成立两年的小佑科技如何“杀”出重围？
袁曙光表示，之前企业很喜欢一些大集成的解决方案，总希望一家厂商就能包揽所有安全解决方案。如今安全负责人的专业水平和认知的提升，对自身系统的安全需求较明确，知道自己缺什么再有针对性地去买。大而全的安全厂商尽管拥有自己的“拳头”产品，但仍存在没覆盖到的细分领域，此时企业更愿意要该细分领域做得最专业的产品。企业不在乎这个细分的产品提供者是谁，但该产品必须具备集成能力，这是如今云安全产品的趋势。
像小佑科技等的创业公司专注做细分产品，并不是为了和大厂商的整条产品线 PK ，而是针对该细分产品。小佑科技专注在较前沿的容器安全上，一些大的安全厂商内部针对这条产品线可能没有像小佑科技投入大，从这看小佑科技具备优势的。
小佑科技主要是私有云的大型行业用户，大云厂商做安全产品和系统是深度耦合的，灵活性一般，可能满足不了客户复杂的个性化需求，倾向标准化的交付，不会给行业做个性化需求。在私有云上，客户企业倾向于把基础建设和安全分开，私有云企业用户甚至可能自建独立的安全管理平台，上层对接和开放接口，从而接入一些外部安全能力来满足自身需求。