隨著信息技術(shù)的快速發(fā)展，云原生技術(shù)憑借其敏捷性、彈性和可擴展性，已逐步成為企業(yè)數(shù)字化轉(zhuǎn)型的核心基礎(chǔ)設(shè)施。容器化部署和微服務(wù)架構(gòu)的普及，極大地提升了應(yīng)用交付效率，但同時也給安全領(lǐng)域帶來了前所未有的挑戰(zhàn)。

一方面，云原生環(huán)境的動態(tài)性和復(fù)雜性使得傳統(tǒng)安全防護手段難以應(yīng)對；另一方面，AI 技術(shù)的迅猛發(fā)展催生了大量使用容器執(zhí)行任務(wù)的 AI Agent，它們被廣泛用于代碼執(zhí)行、自動化決策、數(shù)據(jù)分析、智能運維等場景。AI Agent 在執(zhí)行任務(wù)時，往往需要訪問敏感數(shù)據(jù)和系統(tǒng)資源，一旦容器環(huán)境存在漏洞或配置不當，就可能成為惡意攻擊的跳板。云原生與 AI 技術(shù)的深度融合，在釋放巨大生產(chǎn)力的同時，也帶來了全新的安全威脅——從容器逃逸到模型投毒、運行時對抗攻擊，安全防護的邊界正變得愈發(fā)模糊。如何在保障敏捷創(chuàng)新的同時構(gòu)建縱深防御體系，已成為企業(yè)必須應(yīng)對的關(guān)鍵課題。傳統(tǒng)容器安全方案依賴共享內(nèi)核架構(gòu)，面臨容器逃逸、策略爆炸半徑大、動態(tài)管控能力不足等問題。

針對上述問題，螞蟻集團自研了下一代云工作負載保護平臺AntCWPP。AntCWPP 結(jié)合 Kata 安全容器與 eBPF 技術(shù)，通過底層技術(shù)重構(gòu)實現(xiàn)容器安全能力的突破性升級。AntCWPP 的核心創(chuàng)新在于將 Kata 容器的“強隔離”特性與 eBPF 技術(shù)的“內(nèi)核級可編程性”深度結(jié)合。

· Kata 安全容器

每個容器運行在獨立內(nèi)核的輕量級虛擬機中，徹底阻斷容器逃逸路徑。即使容器內(nèi)存在高權(quán)限配置或內(nèi)核漏洞，攻擊者也無法突破虛擬機邊界影響宿主機或其他容器。此外，Kata 容器的獨立內(nèi)核降低了安全策略對宿主機的依賴，策略影響范圍被限制在單個容器層面，避免了傳統(tǒng)方案中因策略錯誤導(dǎo)致的節(jié)點級崩潰風險。

· eBPF 動態(tài)管控

eBPF 作為內(nèi)核級技術(shù)，通過動態(tài)加載安全策略，實現(xiàn)了對容器進程、網(wǎng)絡(luò)、文件訪問及關(guān)鍵系統(tǒng)調(diào)用的實時監(jiān)控與攔截。相比傳統(tǒng)內(nèi)核模塊，eBPF 具備更高的安全性、靈活性和低開銷，且無需依賴特定內(nèi)核版本，顯著提升了生產(chǎn)環(huán)境的兼容性。

通過對云原生場景及 AI Agent 場景下的攻擊鏈路與流程進行分析，AntCWPP 會對容器中的進程、文件、網(wǎng)絡(luò)以及關(guān)鍵的系統(tǒng)調(diào)用進行安全審計與管控。

螞蟻 AntCWPP 實現(xiàn)了高水平的安全科技自主創(chuàng)新，能夠?qū)Ω鞣N復(fù)雜的容器使用場景進行有效的安全審計與管控能力。具體能力包括如下：

· 徹底解決容器逃逸

獨立內(nèi)核架構(gòu)消除共享內(nèi)核漏洞利用的可能性，業(yè)務(wù)權(quán)限可按需配置，避免“權(quán)限過大”導(dǎo)致的容器逃逸問題。

· 細粒度安全策略管理

支持應(yīng)用維度的動態(tài)安全策略下發(fā)，支持從安全審計到安全防護的多種安全策略，每個應(yīng)用可以按需選擇適合自身的安全策略。

· 豐富的容器安全策略支持

基于eBPF技術(shù)，實現(xiàn)了容器安全審計、安全防護、身份認證三個層次的安全策略，既能夠?qū)崿F(xiàn)容器內(nèi)基本的安全事件審計，也能夠?qū)崿F(xiàn)基于業(yè)務(wù)需求的安全策略防護以及應(yīng)用容器間基于身份的安全認證。

AntCWPP 已在螞蟻集團海量容器場景中穩(wěn)定運行。典型應(yīng)用包括：高風險在線業(yè)務(wù)，通過進程白名單與網(wǎng)絡(luò)出向管控，防止 Web 服務(wù)被利用為跳板機進行橫向移動；AI 代碼執(zhí)行沙箱，為 AI Agent 提供強隔離環(huán)境，結(jié)合 eBPF 實時監(jiān)控與攔截惡意行為，確保用戶代碼無法突破容器邊界。

螞蟻集團基礎(chǔ)安全事業(yè)部和超級計算團隊將使用 Kata 和 eBPF 技術(shù)構(gòu)建容器安全方案的實踐編寫為《螞蟻容器安全（AntCWPP）能力建設(shè) - 基于 Kata 和 eBPF》藍皮書，深度介紹了容器安全以及相關(guān)安全方案的現(xiàn)狀、AntCWPP 的架構(gòu)設(shè)計與實現(xiàn)、AntCWPP 能夠?qū)崿F(xiàn)的安全管控策略以及 AntCWPP 使用場景和內(nèi)部最佳實踐。

希望《螞蟻容器安全（AntCWPP）能力建設(shè) - 基于 Kata 和 eBPF》藍皮書能夠為行業(yè)提供可復(fù)用的技術(shù)路徑，為云原生安全的持續(xù)創(chuàng)新作出貢獻，也期待能夠與更多行業(yè)伙伴加強交流合作，攜手共同探索下一代容器與 AI Agent 運行環(huán)境安全。

關(guān)注【安在新媒體】公眾號，同名文章，即可下載藍皮書全文