摘要:隔離使用容器,內(nèi)核被設(shè)計為在主機上的容器之間提供隔離���。對于而言��,如果應(yīng)用程序受到威脅�����,這將降低攻擊向量對系統(tǒng)其他部分的影響�����。月日���,北京海航萬豪酒店��,容器技術(shù)大會即將舉行���。
每當一項新的軟件技術(shù)出現(xiàn),InfoSec團隊都會有點焦慮���。理由是他們的工作是評估和降低風險——而新軟件引入了一些未知變量���,這些變量等同于企業(yè)的額外風險。對新的�、不斷演進的和復(fù)雜的技術(shù)做出判斷是一項艱難的工作,這些團隊克服重重疑慮接受未知的新技術(shù)值得贊賞����。
這篇文章旨在呼吁世界范圍內(nèi)的InfoSec人士對容器的出現(xiàn)持樂觀態(tài)度�。有些人認為容器=不安全�����,其實����,容器在安全性方面反而具有先天的優(yōu)勢:
不變性
在一個典型的生產(chǎn)環(huán)境中,你的服務(wù)器上有一系列的管理狀態(tài)�����,包括系統(tǒng)鏡像����、配置管理(CM)和部署工具����。 系統(tǒng)的最終狀態(tài)是非常動態(tài)的(特別是對于CM工具),庫和包往往基于各種runtime變量���。以下是一些可能會出現(xiàn)問題的例子:
你在你的主機上運行的 openssl 版本可能會因你使用的操作系統(tǒng)而異�����,你的 rhel 6 主機可能有一個版本����,而使用不同補丁版本的Ubuntu主機則有不同的版本。即使是這些細微的差異也可以產(chǎn)生明顯的影響����,并導致近期的OpenSSL漏洞(如Heartbleed)。
如果你沒有不同的操作系統(tǒng)�����,那么如果你在一個特定的主機上運行的CM工具遇到了一個bug���,并且在它能夠確保包版本(假設(shè)你已經(jīng)定義了顯式版本!)之前���,會發(fā)生什么?現(xiàn)在的情況是���,一個過時的軟件包在被注意到之前將會一直存在在系統(tǒng)中�。在小環(huán)境下, 在CM成功運行中, 你可能有一個良好的脈沖, 但在有著數(shù)以千計的主機的復(fù)雜的大環(huán)境中���,因為你不了解或者無法解決這些問題��,將會有一些主機, 你無法保證它們的一致性��。在此環(huán)境中���,這種缺少確定性的狀態(tài)會導致對庫存和 CVE掃描技術(shù)的需求��。
這就是容器提供的額外優(yōu)勢����。由于容器鏡像的不可變性����,我可以在部署之前了解runtime的狀態(tài)。這為我提供了一個點來檢查和理解runtime狀態(tài)��。在構(gòu)建過程中對已知的CVE和其他漏洞進行一次掃描�����,并在部署之前捕獲風險���,這比不斷地對系統(tǒng)中部署的每個運行庫進行清點要容易得多�����。
隔離
使用容器�,Linux 內(nèi)核被設(shè)計為在主機上的容器之間提供隔離�����。它允許每個進程與其相鄰的進程具有不同的runtime���。對于InfoSec而言���,如果應(yīng)用程序受到威脅,這將降低攻擊向量對系統(tǒng)其他部分的影響�。雖然這種劃分不嚴密,但目前還沒有一個真正安全的機制�。
開發(fā)人員和應(yīng)用團隊易于上手
最后,還有一個原因應(yīng)該能吸引InfoSec���,因為開發(fā)人員和應(yīng)用團隊共享的優(yōu)勢����,比起僅使用安全性的工具,你可以更容易獲得上述所有優(yōu)點���。沒有一個安全組織能夠在真空中運作�����,即使是最安全的組織也需要平衡控制和生產(chǎn)率�����。但是����,當你的解決方案同時滿足這兩個要求時�����,采用容器并證明所需資源的阻力非常小��。盡管這聽起來似乎是一個不應(yīng)該存在的悖論�,但在某種程度上可以提高靈活性和容器的安全性。
結(jié)論
我希望這篇文章中的觀點�,能鼓勵你進一步探索和了解一下容器技術(shù)能如何提高組織機構(gòu)IT系統(tǒng)的安全性���,若你的團隊能(哪怕只是在內(nèi)部)討論一下是否可將容器技術(shù)用于生產(chǎn)環(huán)境���,那就更好不過了�。一如既往地�,Rancher團隊將助你開啟你的容器之旅——加入官方微信交流群與我們聯(lián)系,在Rancher Blog上查看更多技術(shù)文章����;如果你準備好與我們展開更詳細的討論,還可以在官網(wǎng)上預(yù)約一次demo��。
9月27日���,北京海航萬豪酒店��,容器技術(shù)大會Container Day 2017即將舉行�。
CloudStack之父���、海航科技技術(shù)總監(jiān)���、華為PaaS部門部長、恒豐銀行科技部總經(jīng)理�、阿里云PaaS工程總監(jiān)��、民生保險CIO······均已加入豪華講師套餐����!
11家已容器落地企業(yè)�,15位真·云計算大咖,13場純·技術(shù)演講����,結(jié)合實戰(zhàn)場景,聚焦落地經(jīng)驗���。免費參會+超高規(guī)格�,詳細議程及注冊鏈接請戳
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/26967.html
