5G的三大应用场景分别是eMBB(增强型移动宽带)，uRLLC(低时延、高可靠通信) 和mMTC(海量物联网)，而垂直行业主要应用场景应该是mMTC和uRLLC。垂直行业应用广泛，大量场景要求通讯高效率和轻量化，传统集中式核心网已不能满足要求，故3GPP在5G时代将传统核心网设计成服务化架构(SBA)。以核心网为主的5G云原生应用在服务化之后带来了可裁减、高扩展、调用简单等好处，是分布式技术的典型范例。在实际使用中要求承载服务的实际物理载体轻便小巧，易于扩展，此时主机和虚拟化技术都显得过于笨重，而容器技术使用命名空间在操作系统中建立隔离，使用更少的资源满足复杂多样的需求。在此背景下，基于Docker的容器技术脱颖而出，得到广泛应用。

容器风险

虽然容器带来的技术优势无可比拟，但同时也引入了新的安全风险。从容器的Dev&Ops生命周期来看，镜像制作开始容器就面临风险，镜像加载、容器运行和数据传输这类运行期风险更多。

容器加载时，Docker镜像仓库提供了明文下载镜像方式，给中间人攻击提供了便利。同时，镜像仓库的端口可能因配置不当而暴露在互联网中，攻击者可以上传带有恶意软件的镜像给企业带来灾难。

容器运行时，隔离也不如虚拟机严格，部分系统路径如/sys /dev仍和其他容器共享;如果宿主机(Host)的文件路径与Docker路径被联合挂载(union mount)到一起，那么恶意代码就有机会“穿透”容器，攻击到宿主机，进而攻击到其他应用;容器可以通过内网平面向其他容器发起攻击，比如通过向Docker守护进程发送创建新容器并且和宿主机联合挂载文件的方式来达到另一种形式的“穿透”攻击。容器销毁时，对应挂载的volume数据会留在宿主机上，如果不主动删除则会造成数据泄露。

容器安全防护

上述风险都是容器云特有的风险，所以除了一般云安全防护之外，容器云还需要针对以上风险做特殊防范。中兴通讯结合业内最佳实践，将安全融入Dev&Ops，提出容器云安全三道防线解决方案，将容器云风险降至最低。