你至少要知道的5件关于容器安全的事

    随着容器继续进入信息技术主流，领导者将越来越需要确保容器准备好迎接黄金时间，而怀疑论者恐惧的最大影响因素问题之一是一个熟悉的因素：安全。“最大的误解是容器本质上是不安全的，”Cyxtera副总裁兼副总裁David Emerson说。
    事实上，这是作为一个国家重大的误解，我们在云计算出现时看到了中国这种文化误解。 云安全是否具有重要？ 绝对。这是否意味着，云计算本质上是不安全的？当然不是。随着企业IT部门内部容器的增长，类似的原理工作。
 

    当你在组织中与更多人进行讨论容器管理策略时，并且当你展望我们使用容器的下一步是什么时，你必须通过理解能力理解并能够阐明容器安全性的基础理论知识。我们要求IT领导者和安全专家分享容器安全基本指南建议。这里有五个关键点：
    1.容器安全是一个多层次的
    红帽安全战略家Kirsten Newcomer鼓励人们容器安全分为10层，包括一个容器堆垛层（如容器主机和注册表）和容器生命周期的问题（如管理API），Anexinet云解决方案主管Ned Bellavance表示，这一切都始于容器主机。 就像一组虚拟机和虚拟机运行的虚拟机管理员一样安全，容器将和主机一样安全。
    Bellavance解释说：“容器主机需要使用最小访问权限，错误修复和增强系统功能的组合的需要进行适当保护。“”不安全的主机使主机上运行的所有容器都容易受到来自外部的和对方的攻击。”
    由于容器是从一个镜像中部署的，Bellavance指出，容器的安全性也很大程度上发展取决于企业健康，维护社会良好的镜像。
    Bellavance说：“最好的镜像保存得很好，而且相当不变。 通过良好的维护，我的意思是组成映像的各个层保持一致的补丁级别，以防止已知的漏洞，如果通过漏洞所创建的镜像，然后从图像部署中的每个容器具有相同的漏洞。“
    这也是容器安全管理技术发展方面如何流入流程的一个可以很好的例子。安全性需要纳入开发和运营流程的每一步，而不是最后一步的开发和运营的每一个环节。有些组织称这种方法为DevSecOps。
    企业“正试图将安全性转移到应用程序开发生命周期中，”Red HatNewcomer告诉我们。 他们通过在CI/CD管道中集成安全实践，工具和自动化来采用DevSecOps。”
    “为了做到这一点，他们正在整合团队安全专业人员和应用程序开发团队从嵌入开始（设计）到生产部署，”她说， “双方都看到了价值，每个团队都拓展了他们的技能和知识基础，成为更有价值的技术专家。”
    2. 2.限制对风险的依赖
    与大多数企业新技术发展一样，你需要了解你的风险。Cyxtera艾默生指出，容器具有许多优点，但并不意味着零成本。
    “通过不断重复使用信息服务并松散地耦合它们，你的团队可能会加速企业提供一个正常工作运行的产品，”他说， “但它也必须考虑组件之间，代码的关键贡献者和维护者（其中我们许多人可能是通过第三方）之间信息交互复杂性的随之不断增加，以及对社会实践，管道和提供一个服务的各方的可见性降低企业产品主要取决于。“
    通过了解原理，你就可以开始自己进行风险分析，您的组织如何看？
    许多专家建议您依赖这些交互和以来限制限制为只有你的服务实际需要的最佳实践；别的会造成不必要的风。
    3.重新进行评估现有的安全管理实践和工具
    爱默生说：“可以重复使用，分隔式服务和微服务的转变需要重新评估安全设计实践，这是因为你正在进行有效地增加你的表面积，不过，这不应该是一个恐惧因素；这意味着我们需要进行重新评估旧的安全管理实践和工具。
    艾默生说：“组件的再利用和采用他人维护的服务可以节省大量的开发工作和生产高质量的产品，但它需要专注于自己的服务，供应链”，这在之前可能就不那么重要的设计、保护和实施产品。“
 

    事实上，这种重新评估是转向容器的安全优势之一。
    SumoLogic公司安全与合规副总裁George Gerchow说：“容器实际上可以成为一种强制功能，从而变得更加安全。” 他把它比作从物理环境到虚拟环境的移动：“他们将必须虚拟化打开同一服务的所有图像。 现在，使用容器，您可以通过将镜像上服务列在白名单中和真正优化镜像来降低风险。“
    安全重新评估应包括主机​​，镜像和流程，如何特别关注影响底层技术工艺， Bellavance分享镜像和过程如何相互作用的例子；考虑你自己组织中的情况。
    Bellavance说：“创建容器镜像时开发人员应当小心，将镜像中的组件限制在所需的基础上。” “不需要在镜像中安装Java？那么不包括它。越少，镜像和安全更有效。“
    Bellavance在软件进行流水线上学习分享了另外一个两个以上例子：“不需要SSH进入容器？ 然后不要为SSH配置端口映射。 Web前端容器技术不需要通过直接与数据库系统后端对话？所以不允许流量。“
    4.自动化扮演一个重要信息安全角色
    是自动化成为容器战略的关键部分，以加强安全性：Bellavance忠告：“一定要配置声明部署中编码，而不依赖于手工流程。”
    像Kubernetes这样的编排工具不仅可以帮助管理大规模的容器部署，而且还可以管理相关的安全任务， 正如Red HatNewcomer在相关播客中共享的那样，“您确实需要自动化、编排以帮助管理哪些容器应该部署到哪些主机。监视主机容量；容器发现，知道哪些容器需要相互访问。管理共享资源和监视容器健康。“
    “我们可以发现向容器化架构的过渡需要对应用信息安全系统测试方法策略研究进行一个重新评估。并对当前的安全管理工具方面进行仔细检查，以确定它们之间是否具有能够得到充分利用分析企业运行中的容器，”Lamb说，并补充说实践和工具如静态分析和交互式应用程序安全测试（IAST）在运行容器化微服务的环境中可能特别有用。
    最后，Bellavance警告其他IT领导者千万不要忽视了日志和审计：
    他说：“确保所有业务和操作都得到记录和审计。” 当出现问题时，信息安全小组会意识到，他们可以追踪发生的事情，以确定根本原因，并提供适当的缓解措施。”
    5.容器可以帮助新兴问题作出回应
    正如SumoLogic的Gerchow所指出的那样，容器的采用实际上我们可以发展成为企业提高学生整体系统安全性的催化剂，只需强迫您重新进行评估工作流程和工具即可。 但也有其他系统内置的优点。 容器化可以更好地抵御一些现有的威胁，并有助于迅速应对新出现的安全问题。
    Bellavance说：“好消息是，大多数容器都是无状态的，可以替换，这使得在部署过程中很容易推出新版本的镜像，并迅速提高安全性。” 它们也应该是不可变的，因为它们被替换而不是改变。
    Gerchow指出，正如其他专家指出的那样，“当新的漏洞攻击线路时，快速部署不变图像的美”将容器环境中的安全。
    正如任何重大的改变或创新，实现这些好处它也涉及到工作，但对于越来越多的组织，这是值得的。
    “适当进行自动化以确保企业文档符合市场配置，经过一个适当审核以确保系统软件流水线的完整性，并经过适当教学设计以确保纵深防御......容器化代表了强大而高效的设计范例，”Emerson说。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！