Gartner稱,如果閣下的應用程序要接入互聯(lián)網(wǎng)而又需要具備安全性,那就用容器技術吧。
根據(jù)分析公司Gartner的研究結(jié)果,容器比在傳統(tǒng)操作系統(tǒng)里運行的應用程序更安全,因此那些不想被黑客攻擊的架構(gòu)需要認真考慮往云里遷移。
分析師jeorg Fritsch在一篇名為“如何確保Docker容器安全”的文章里表示,“Gartner認為部署在容器里的應用程序比部署在傳統(tǒng)操作系統(tǒng)里的應用程序 更安全”,原因是即便某個容器受到攻擊,“但由于每個應用程序和用戶是各處在自己的容器里,是被隔離的,黑客并不會同時攻陷其他容器或主機操作系統(tǒng)”。
這也并不是說容器是完美的:文章也承認這種容器擁有的“……內(nèi)在安全屬性令它們?nèi)菀资艿絻?nèi)核特權升級攻擊”,因此并不是“高風險隔離保險的好工具” 。
但文章仍然主張坊間各機構(gòu)“力求從Linux容器的安全性受益,采用‘容器優(yōu)先'的方法”及“將互聯(lián)網(wǎng)應用部署在Docker容器里,不管是否用了CI/CD/DevOps都要遵循最佳安全實踐” 。
但這也不是說容器就是一付修復安全的萬靈丹。正如文章標題所暗示的,要獲取Docker所能提供的安全效益,正確的做法是必須的。而正確的做法意味 著要根據(jù)Docker指引強化其所處的主機安全,以及考慮使用諸如Aqua安全、CloudPassage、Twistlock和Weave的第三方 Docker安全產(chǎn)品。要掌握邏輯安全分區(qū)和網(wǎng)絡隔離的用法,這一點是必須的。用戶還應該透切地理解微服務路線選擇(Microservices routing),如此打造出的應用程序在容器交互時就能安全地進行。
除此之外,用戶還應該了解內(nèi)核控件,以確保容器能獲得訪問主機內(nèi)核的正確級別。
Fritsch在文章里表示,“在Linux操作系統(tǒng)和Linux容器里,任何一個系統(tǒng)調(diào)用都是直接和內(nèi)核互動。”他稱此內(nèi)核“是所有分離特性所依靠的同一個內(nèi)核。系統(tǒng)調(diào)用是一個承受攻擊的重要區(qū)域,這地方不能出錯誤。”
而就總體而言,文章建議各種機構(gòu)認真地考慮往容器遷移。不要只停留在DevOps那群人的層次上。
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。