腾讯专有云企业版容器安全服务 (TCSS) 产品概要

一、 产品定位与核心亮点

腾讯专有云企业版容器安全服务 (TCSS) 是腾讯云面向云原生环境推出的全生命周期容器安全解决方案。该产品基于腾讯云积累的海量威胁数据和安全能力，深度融合七大核心引擎（包括 BinaryAI、TAV、洋葱、犀、Wedetect 等）及六大容器逃逸检测引擎，覆盖构建、部署、运行三大关键生命周期阶段，旨在为企业提供从镜像供应链到运行时环境的纵深防御体系。

核心差异化卖点：

• 技术架构： 采用超融合架构，支持免重启的 RASP 虚拟补丁技术，实现 0Day 漏洞的原生免疫。
• 性能表现： 依托百万级 Agent 装机实践，实现单核 CPU 占用低于 1%，内存占用仅 30M，性能优于传统方案 60 倍。
• 专家背书： 集成腾讯安全云鼎实验室及多个联合实验室（如玄武实验室）的攻防经验与黑产情报。

二、 产品应用场景

针对云原生时代容器技术带来的攻击面扩大问题，TCSS 主要服务于以下场景：

1. 构建阶段（镜像安全）： 针对 Docker Hub 等仓库中超过 30% 的官方镜像包含未修复漏洞、以及镜像投毒（如被植入挖矿软件，曾导致超 2000 万次下载）的风险，提供供应链安全检测。
2. 部署阶段（环境合规）： 解决 K8s 集群因配置不当（如 API Server 未授权访问、Kubelet 权限过大）导致的集群沦陷风险（如 Tesla K8s 集群入侵事件、TeamTNT 挖矿团伙攻击）。
3. 运行阶段（入侵防护）： 应对容器运行时面临的容器逃逸、反弹 Shell、恶意文件及异常进程等威胁，解决传统 EDR 无法监测容器内行为、传统防火墙无法管控东西向流量的盲区。

三、 应用框架和功能介绍

1. 功能框架

TCSS 构建了覆盖容器全生命周期的安全能力，核心架构如下：

• 资产管理： 自动化清点容器、镜像、仓库、主机等 9 种资产信息。
• 镜像安全： 涵盖本地镜像与仓库镜像的漏洞、木马、敏感信息检测。
• 集群安全： 针对 K8s、Docker、Pods、ETCD 等基础设施的组件漏洞与配置巡检。
• 运行时安全： 基于自适应 Agent 监控容器逃逸、高危系统调用、K8s API 异常等。
• 安全基线： 基于 CIS 标准对容器、镜像、主机、K8s 进行合规检查。
• 高级防御： 基于 RASP 技术的漏洞防御系统（泰石引擎）。

2. 硬核指标

3. 产品优势

• 一键启用与低侵入： 无需复杂部署，一键开启，支持混合云场景；负载过高时 Agent 主动降级，保障业务稳定。
• 全栈联动防御： 与腾讯云主机安全（云镜）、网站管家（WAF）、流量分析等产品形成纵深防御体系。
• 创新 RASP 防御： 首创免重启技术，即开即用；支持0Day 原生免疫，一键防御覆盖 TOP 高危应急漏洞（如 Log4j）。
• 情报驱动： 安全专家团队支持黑产镜像、在野容器攻击情报同步预警，集成业内最大规模容器集群安全治理经验。
• 多引擎查杀： 集成自研 TAV 引擎（VB100、AVC 评测第一梯队）、云查杀多杀软鉴定器（小红伞、卡巴、Nod32 等 10 多款）及百亿级样本库。
• 合规支持： 全面支持 CIS Docker Benchmark v1.3.1 及 CIS Kubernetes V1.20 Benchmark v1.0.0 标准。

4. 荣誉背书

• 腾讯安全联合实验室： 依托3500+ 安全专家团队，包括玄武实验室于旸（奥运会信息网络安全指挥部技术专家）、移动安全实验室李伟（中国首批 Root 安卓手机安全专家）。
• 核心成就： 全球首个无物理接触攻破特斯拉汽车、全球首例破解苹果 iPhone X iOS 11.1.1 系统、Pwn2Own 首个三获“世界破解大师”称号团队、国家信息安全漏洞共享平台原创积分榜第一。
• 引擎评测： TAV 引擎多次获得 VB100、AVC 等国际权威机构评测第一梯队；自研 Webshell 引擎获赛可达评测高检出率认证。

四、 典型案例

案例：一键自动防御 Log4j 应急漏洞 (实战案例)

1. 背景： Log4j 组件爆发严重 0Day 漏洞，攻击者可通过 JNDI 注入（如 jndi:rmi:// 攻击载荷）结合 BeanFactory 工厂类与 EL 表达式注入内存马，直接导致业务失陷。
2. 解决方案： 利用 TCSS 集成的 RASP+泰石漏洞引擎，开启一键防御功能。无需重启业务容器，通过虚拟补丁技术在运行时拦截攻击。
3. 成效：
   • 实现了 0Day 原生免疫，快速响应高危应急漏洞。
   • 拦截事件能自动关联 CVE 编号，便于溯源。
   • 验证了免重启技术的即开即用能力，为漏洞修复争取了时间。

案例：镜像安全运营与加固 (腾讯安全云鼎实验室)

1. 背景： Docker Hub 上存在大量包含高危漏洞（36%-86% 比例不等）及恶意代码的镜像，且存在敏感信息泄漏风险，对供应链安全构成极大威胁。
2. 解决方案：
   • 云鼎实验室对 Docker Hub 镜像风险建立长期监控，定时同步恶意镜像情报。
   • 提供镜像安全加固服务，建立私有 Docker Hub，制作私有黄金基础镜像。
   • 在入仓、发布阶段进行强制安全扫描与风险镜像拦截（黑名单机制）。
3. 成效：
   • 镜像系统漏洞检出率高达 99.7%，误报率低于 1.4%，远优于同类产品。
   • 针对 962 个镜像样本测评，针对标记为 "latest" 的镜像（n=73），高危或中危优先级检出率达 87%。

案例：Tesla K8s 集群入侵事件 (行业警示)

1. 背景： 2018 年特斯拉在亚马逊上的 K8s 集群被入侵，原因系集群控制台未设置密码保护，且攻击者在 Pod 中找到了 AWS 访问凭证。
2. 解决方案（TCSS 防御逻辑）：
   • 使用 TCSS 集群安全模块，检测 K8s API Server 未授权访问等配置风险。
   • 利用安全基线功能，检查是否存在敏感目录挂载、特权模式运行等不当配置。
   • 通过运行时安全监控异常外连与凭证窃取行为。
3. 成效： 避免因配置不当导致的敏感信息泄漏及集群沦陷，确保容器运行环境配置合规。

案例：TeamTNT 挖矿团伙攻击 (威胁应对)

1. 背景： TeamTNT 挖矿团伙通过批量扫描公网开放 2375 端口的云服务器，利用 Docker Remote API 未授权访问漏洞攻击并种植挖矿程序。
2. 解决方案：
   • TCSS 集群配置风险检测功能识别 Docker Remote API 未授权访问漏洞。
   • 运行时安全模块检测恶意进程与挖矿行为，并进行自动拦截。
3. 成效： 有效阻断针对 Docker API 的自动化攻击链条，防止资源被恶意劫持。