腾讯云容器安全服务差体验

Posted 2022-01-07 saynaihe

背景：

前几天log4j2漏洞爆出。腾讯云的哪个公众号正好发了容器安全服务的免费试用七天的活动，我就开通体验了。
晒一下我这各种不爽的体验…
注：已经跟腾讯云容器安全团队沟通过，很多都在规划中，期待更好的体验

1.资产的同步

安全概述与资产管理页面 主机节点的同步。将我所有的cvm节点都同步过来了。这点很烦…

虽说agent 直接依赖于原有的（cvm云镜？）但是同步我所有的资产这点很烦。这点我希望能给我一个自己添加同步的选项，比如安装node节点标签添加主机节点（如果是跑的纯docker的服务）。当然了现在的主流的还是kubernetes集群。更应该是可以快速便捷的添加kubernetes集群！镜像安全服务这里有TKE集群的添加，但是应该也有在cvm上自建集群的添加方式去方便便捷用户！
点击容器总数跳转到资产管理的容器页面，如下：

这里更是一片混乱，想有一个清晰的查看pod的方式。比如分组（分组规则），按照主机名？当然了还是希望按照kubernetes集群的方式。如果还有传统的docker搭建的多主机的环境，也可以让用户建一个组，然后去同步主机and同步容器应用。这样也更能符合用户的习惯和需求。

当然了 还有资产管理中web资产数据库资产之类的。墙裂需要资源分组或者更换的命名方式。否则看起来真的很费劲，也需要更好的多样化的查找排序方式！

2. 关于tke集群的同步

同步资产，安装检查组件，如下：



​

等了大概十分钟了进度仍然0%，如下：

集群中查看了一下。这个security服务的资源消耗倒是不高：

什么神仙服务？哈哈哈哈检查失败…

看了一眼异常处理指南，难道安全组问题？…NO，后面腾讯云容器安全组的小伙伴跟我说我触发了一个bug…

重新检查了一下，如下

这个的模块还是很满意的，除了在检查过程中出现bug…

查看详情中还有解决方案修复建议，这个功能很赞！

3. 镜像安全模块：

本地镜像扫描这功能太差劲了我同一个镜像怎么选择最后一个tag？这很正常吧？ 几百个镜像我怎么一个个去选择？有没有匹配或者快速的方式？最好玩的是 都扫码了我master节点上面docker pull的从没有运行过的镜像。扫描到了elasticserch 的log4j2 但是我修改了tag上传到镜像仓库中的咋都没有扫描出来？work节点的也没有搞出来…让我感觉很鸡肋!
​

仓库镜像更是服了气了 我一个镜像下面有50个tag默认…我怎么快速扫描？浪费次数授权很无用功

**敏感消息误报 **我的jar包叫xxx-auth…扫描关键词了 把我当成敏感了…。关键词这些的应该都是机器学习的。还希望能不断完善！

重点总结一下不足吧！

1. 没有一个合理有效的扫描规则，比如我试用的版本有500个授权。几千个镜像我怎么去选择…只能默默的点一下一键扫描？哦对不起，您的授权不够，需要购买xxxx授权…扫描规则还是希望能有一个高效可用的
2. 关于本地镜像扫描我想排除一下主机 or 我压根没有运行过的镜像我不想扫描…我扫描本地镜像干嘛？我只想扫描我运行中的镜像。本地镜像很多只是我docker pull下来未运行的。未关联容器的镜像我不想去扫描浪费授权。
3. 关于扫描结果希望按照漏洞等级排序。然后通过漏洞名称查看所存在的镜像列表！当然了希望能有更丰富的图表化查看方式！

4. 安全基线

安全基线也是一个很不错的功能，当然了我更希望把kubernetes放在前面：

但是这ui选择只能在上面呢？哈哈哈希望微信等级 id这些的可以直接点击进行排序，毕竟这样更负责用户的个人习惯！

另外：
​

我觉得这不是一个设计师设计的？能不能都带个箭头，让我点击显示处置建议？尽量点击功能一致化。减少客户的纠结时间…我觉得很有必要…

其他

运行时安全 高级防御 安全运营 告警设置 这几个功能没有进行较深入的体验。这几个功能先忽略了

总结

1. 容器安全很有必要性。腾讯云的容器安全服务也是一个很新的服务，可以试用一下！
2. 任重而道远。容器安全产品更应该去符合用户的行为习惯，完善功能。发挥更重要的作用。
3. 容器安全团队的小伙伴很是不错。我是直接把体验反馈微信群吐糟了。然后第二天还专门拉取了一个会议，大家聊了一下各种的反馈。都很在意用户的感受。也希望这个产品能够更加完善。发挥更大的作用，帮用户维护容器的安全！
4. 至于各种问题：资产的管理（按照tke集群展示资源or添加腾讯云自建kubernetes集群or个人自定义添加cvm组资源然后去展现）.镜像安全（**仓库镜像：**多样化的镜像扫描规则比如最新tag 指定镜像仓库namespace，嗯也包括第三方仓库？不知道是否可行。**本地镜像：主机组 tke or自建集群组扫描，屏蔽某些主机？只扫描运行中的image。**不去扫描未运行的镜像）**多样化的图表。更多的搜索排序方式。**当然了，还有pipeline ci cd工具的可以接入。毕竟正常的扫描devsec都是在镜像构建时候扫描的？