您的位置: 网界网 > 软件 > 正文

容器安全概览:看看你了解多少

2015年06月30日 22:59:48 | 作者:George Lawton | 来源:TechTarget中国 | 查看本文手机版

摘要:云和虚拟化技术已经存在了十几年,但是容器化仅仅刚开始一年,在容器安全最佳实践成熟之前可能也会需要另一个十几年。

标签
容器技术
微服务
虚拟化技术

对很多企业来说,容器化相对VM而言,可以帮助企业更快更高效地发布稳定的软件。同时,容器引入了一种全新的部署模型,要求企业架构师和安全专家重新思考保护应用程序的方式。在RAS安全大会上,安全专家评估了安全实现容器化策略所需考虑的方面。

传统安全工具在云环境上几乎都不工作,终端安全供应商Bromium的CTOSimon Crosby说,。现在企业在讨论的是围绕容器的另外的抽象层。

企业可以按区域实现安全管理,使用网络和端点安全技术,Juniper Networks的安全VP和CTO,Chris Hoff说。但是市场越来越复杂,因为程序员越来越想像Amazon那样工作。添加健壮的安全基础架构所需的流程,比如审计控制,核心控制和文档工作,比起推送应用程序和更新而言需要更多的时间。真正的挑战在于云,DevOps和如今的容器化带来的变革对于安全团队而言意味着更少的隔离。这在大型企业里尤其困难。

容器供应商关注安全

企业尝试更快得到更新,这样的动态性带来了新的问题。速度现在至关重要,Docker的产品SVP,Scott Johnston说。他正想将容器化技术应用到财务服务领域,来帮助利用更好的交易算法帮助加快速度,更高效地解决客户需求。云和移动厂商也正在快速引入微服务架构来支持快速交付。

安全性是最重要的,防止欺诈和网络攻击。“我们意识到不可能不考虑安全性,”Johnston说。“几乎Docker的每个版本都会添加安全方面的功能,帮助运维团队更容易地在运行时设定政策,帮助应用开发人员开发出更安全的产品。”

Docker正在加大投资,改进关闭Linux内核功能的能力,允许运维团队管理独立于开发团队的安全政策。同时也在基础架构上投资巨大,创建互信链,显示源代码来源,谁编译了代码,谁完成了QA。“安全责任在开发和运维两边,”Johnston说。

Microsoft也已经宣布进军容器基础架构市场,可以在Azure和私有云[注]上使用。同时正在研究新的安全模型,从而在私有、公开和混合云[注]场景下保护容器,Microsoft的Azure CTO,Mark russinovich说。Drawbridge是Microsft的研究项目,创建拥有安全隔离范围的容器来接管不信任的代码。另外,他们的Haven原型在操作系统妥协时,帮助保护VM或者容器。

从网络到应用安全

当应用程序被部署并运行数月或者数周时,应该使用基于网络的安全。但是当转向微服务架构之后,事情变得更加动态(+本站微信networkworldweixin),Docker的Johnston说。第一批微服务在单个服务器上部署,但是当这些服务跨多个服务器和数据中心部署时事情就更加复杂了。

软件定义的网络(Software defined network,SDN[注])的功能,包括防火墙和路由器,被开发用来支持少量的VM。但是现在,微秒级内成千上万的容器就可能被创建。“我们不是尝试将以前的安全模型应用到容器上,”Johnston说。需要从应用的角度考虑如何部署防火墙和负载均衡器。

对于企业而言,围绕保护网络而构建安全模型是难度较大的转型。Juniper的Hoff观察到,对于可能都不了解VM的人,很难说服他们使用容器这一更为敏捷的基础架构。这不仅仅是安全和政策的考量。

以前,IT运维团队会选择所使用的网络和基础架构安全工具。现在则是DevOps选择这些工具,并且确保这些工具可用,Microsoft的Russinovich说。传统模型里,IT负责网络安全,但是现在的模型与之十分不同。

教会安全团队写代码

今天的最后,容器化不仅仅是技术的升级。它还要求重新思考流程和工具。比如,当ING银行引入DevOps时,他们要求每个团队成员必须能编程,这将新应用的开发周期从几个月降低到几天。安全团队也需要学会如何写代码。

云和虚拟化技术已经存在了十几年,但是容器化仅仅刚开始一年,Docker的Johnston说。在容器安全最佳实践成熟之前可能也会需要另一个十几年。

参考资料

1.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

2.私有云:(Private cloud)是将云基础设施与软硬件资源建立在防火墙内,以供机构或企业内各部门共享数据中心内的资源。私有云完全为特定组织而运作的云端基础设施,管理者可能是组织...详情>>

3.混合云:(Hybrid cloud)由两个或更多云端系统组成云端基础设施,这些云端系统包含了私有云、社群云、公用云等。这些系统保有独立性,但是借由标准化或封闭式专属技术相互结合,确...详情>>

[责任编辑:软件频道 yu_xiang@cnw.com.cn]