摘要:隔離使用容器,內(nèi)核被設(shè)計(jì)為在主機(jī)上的容器之間提供隔離����。對(duì)于而言,如果應(yīng)用程序受到威脅�����,這將降低攻擊向量對(duì)系統(tǒng)其他部分的影響�����。月日����,北京海航萬(wàn)豪酒店����,容器技術(shù)大會(huì)即將舉行�����。
每當(dāng)一項(xiàng)新的軟件技術(shù)出現(xiàn)���,InfoSec團(tuán)隊(duì)都會(huì)有點(diǎn)焦慮。理由是他們的工作是評(píng)估和降低風(fēng)險(xiǎn)——而新軟件引入了一些未知變量�,這些變量等同于企業(yè)的額外風(fēng)險(xiǎn)。對(duì)新的�、不斷演進(jìn)的和復(fù)雜的技術(shù)做出判斷是一項(xiàng)艱難的工作,這些團(tuán)隊(duì)克服重重疑慮接受未知的新技術(shù)值得贊賞�。
這篇文章旨在呼吁世界范圍內(nèi)的InfoSec人士對(duì)容器的出現(xiàn)持樂(lè)觀態(tài)度。有些人認(rèn)為容器=不安全����,其實(shí),容器在安全性方面反而具有先天的優(yōu)勢(shì):
不變性
在一個(gè)典型的生產(chǎn)環(huán)境中�����,你的服務(wù)器上有一系列的管理狀態(tài)��,包括系統(tǒng)鏡像、配置管理(CM)和部署工具�。 系統(tǒng)的最終狀態(tài)是非常動(dòng)態(tài)的(特別是對(duì)于CM工具),庫(kù)和包往往基于各種runtime變量��。以下是一些可能會(huì)出現(xiàn)問(wèn)題的例子:
你在你的主機(jī)上運(yùn)行的 openssl 版本可能會(huì)因你使用的操作系統(tǒng)而異��,你的 rhel 6 主機(jī)可能有一個(gè)版本����,而使用不同補(bǔ)丁版本的Ubuntu主機(jī)則有不同的版本。即使是這些細(xì)微的差異也可以產(chǎn)生明顯的影響���,并導(dǎo)致近期的OpenSSL漏洞(如Heartbleed)��。
如果你沒(méi)有不同的操作系統(tǒng)����,那么如果你在一個(gè)特定的主機(jī)上運(yùn)行的CM工具遇到了一個(gè)bug��,并且在它能夠確保包版本(假設(shè)你已經(jīng)定義了顯式版本!)之前�����,會(huì)發(fā)生什么����?現(xiàn)在的情況是����,一個(gè)過(guò)時(shí)的軟件包在被注意到之前將會(huì)一直存在在系統(tǒng)中��。在小環(huán)境下, 在CM成功運(yùn)行中, 你可能有一個(gè)良好的脈沖, 但在有著數(shù)以千計(jì)的主機(jī)的復(fù)雜的大環(huán)境中�,因?yàn)槟悴涣私饣蛘邿o(wú)法解決這些問(wèn)題����,將會(huì)有一些主機(jī), 你無(wú)法保證它們的一致性。在此環(huán)境中���,這種缺少確定性的狀態(tài)會(huì)導(dǎo)致對(duì)庫(kù)存和 CVE掃描技術(shù)的需求�����。
這就是容器提供的額外優(yōu)勢(shì)���。由于容器鏡像的不可變性,我可以在部署之前了解runtime的狀態(tài)�。這為我提供了一個(gè)點(diǎn)來(lái)檢查和理解runtime狀態(tài)。在構(gòu)建過(guò)程中對(duì)已知的CVE和其他漏洞進(jìn)行一次掃描�����,并在部署之前捕獲風(fēng)險(xiǎn),這比不斷地對(duì)系統(tǒng)中部署的每個(gè)運(yùn)行庫(kù)進(jìn)行清點(diǎn)要容易得多����。
隔離
使用容器,Linux 內(nèi)核被設(shè)計(jì)為在主機(jī)上的容器之間提供隔離�����。它允許每個(gè)進(jìn)程與其相鄰的進(jìn)程具有不同的runtime�。對(duì)于InfoSec而言,如果應(yīng)用程序受到威脅�����,這將降低攻擊向量對(duì)系統(tǒng)其他部分的影響����。雖然這種劃分不嚴(yán)密,但目前還沒(méi)有一個(gè)真正安全的機(jī)制����。
開發(fā)人員和應(yīng)用團(tuán)隊(duì)易于上手
最后,還有一個(gè)原因應(yīng)該能吸引InfoSec�,因?yàn)殚_發(fā)人員和應(yīng)用團(tuán)隊(duì)共享的優(yōu)勢(shì)���,比起僅使用安全性的工具,你可以更容易獲得上述所有優(yōu)點(diǎn)��。沒(méi)有一個(gè)安全組織能夠在真空中運(yùn)作���,即使是最安全的組織也需要平衡控制和生產(chǎn)率�。但是��,當(dāng)你的解決方案同時(shí)滿足這兩個(gè)要求時(shí)�,采用容器并證明所需資源的阻力非常小���。盡管這聽起來(lái)似乎是一個(gè)不應(yīng)該存在的悖論����,但在某種程度上可以提高靈活性和容器的安全性�����。
結(jié)論
我希望這篇文章中的觀點(diǎn)�����,能鼓勵(lì)你進(jìn)一步探索和了解一下容器技術(shù)能如何提高組織機(jī)構(gòu)IT系統(tǒng)的安全性,若你的團(tuán)隊(duì)能(哪怕只是在內(nèi)部)討論一下是否可將容器技術(shù)用于生產(chǎn)環(huán)境���,那就更好不過(guò)了��。一如既往地����,Rancher團(tuán)隊(duì)將助你開啟你的容器之旅——加入官方微信交流群與我們聯(lián)系�,在Rancher Blog上查看更多技術(shù)文章;如果你準(zhǔn)備好與我們展開更詳細(xì)的討論�,還可以在官網(wǎng)上預(yù)約一次demo。
9月27日�,北京海航萬(wàn)豪酒店,容器技術(shù)大會(huì)Container Day 2017即將舉行�����。
CloudStack之父����、海航科技技術(shù)總監(jiān)、華為PaaS部門部長(zhǎng)��、恒豐銀行科技部總經(jīng)理、阿里云PaaS工程總監(jiān)�����、民生保險(xiǎn)CIO······均已加入豪華講師套餐��!
11家已容器落地企業(yè)���,15位真·云計(jì)算大咖��,13場(chǎng)純·技術(shù)演講��,結(jié)合實(shí)戰(zhàn)場(chǎng)景�,聚焦落地經(jīng)驗(yàn)�。免費(fèi)參會(huì)+超高規(guī)格,詳細(xì)議程及注冊(cè)鏈接請(qǐng)戳
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11279.html
