什么是“安全容器”，它在移動安全方面扮演著什么角色?

從根本上說，安全容器是一個應(yīng)用設(shè)計框架，目的在于提高運(yùn)行在移動設(shè)備上應(yīng)用程序的安全性。讓我們來看看移動應(yīng)用的一些具體問題，然后再看看安全容器有怎樣的幫助，以及他們的局限。

從安全角度，移動應(yīng)用存在一些有趣的特性。傳統(tǒng)的web應(yīng)用程序的大部分處理都是發(fā)生在應(yīng)用自身的web服務(wù)器中，而且在應(yīng)用用戶工作站中只存儲了一點點信息。然而，移動應(yīng)用 的一個重大部分是信息處理和存儲都發(fā)生在用戶控制的設(shè)備上。這就導(dǎo)致了如下的問題：

如果惡意應(yīng)用用戶試顛覆應(yīng)用怎么辦?
如果設(shè)備上的惡意應(yīng)用試圖訪問沒有被授權(quán)的數(shù)據(jù)怎么辦?
如果設(shè)備掉到惡意陣營怎么辦?

移動設(shè)備操作系統(tǒng)，如蘋果的iOS和谷歌的Android，提供了技術(shù)保護(hù)，努力幫助解決這些問題。例如，在應(yīng)用下載到iOS設(shè)備上之前，應(yīng)用商店之前安裝的應(yīng)用程序就是加密了的。另外，Android和iOS都提供了文件系統(tǒng)加密功能。這和消防安全措施很好，只除了繞過了出現(xiàn)在多個場合中操作系統(tǒng)提供的設(shè)施這一話題。

安全容器是什么?

所謂的安全容器是開發(fā)用于提供額外的安全層的。通常的安全容器是一個框架，構(gòu)建應(yīng)用時使用。這些應(yīng)用要么提供要用的安全替代功能，而不是移動操作系統(tǒng)提供的功能，要么是在這些操作系統(tǒng)提供的之上的額外安全功能。不同的容器有不同的功能，但這些容器都有共同的選項，就是交替“non-sniffable”移動鍵盤、應(yīng)用代碼的反調(diào)試/反逆向工程、以及改進(jìn)的加密功能。

提供這些功能的一個目標(biāo)是，讓應(yīng)用開發(fā)人員設(shè)計并構(gòu)建應(yīng)用程序，使用這些功能進(jìn)不會感到不舒服。例如，把敏捷數(shù)據(jù)存儲在擁有安全容器的設(shè)備上會使用一個開發(fā)人員感到舒服，但是只使用移動操作系統(tǒng)提供的功能來存儲的話，他們就會感到不安。

這看起來似乎有價值，但是應(yīng)用開發(fā)人員要確實了解容器能夠提供什么，以及當(dāng)受到一個堅決的、知識淵博的攻擊者時，這些安全措施又是如何退化的，這很重要，而且風(fēng)險經(jīng)理也要時刻注意他們。

安全容器局限是什么?

在一天的結(jié)束時，大部分安全容器對于設(shè)備硬件都沒有做任何的更改，從根本上說，他們只是運(yùn)行在移動操作系統(tǒng)之上的應(yīng)用，并且必須要遵循也其它運(yùn)行在設(shè)備的的應(yīng)用的一樣原則。因此，他們所遭受的攻擊也會與其它的應(yīng)用遭受的一樣。他們可能提供了反調(diào)試和代碼模糊功能，來對抗移動操作系統(tǒng)系統(tǒng)所提供的功能，但是攻擊者可能會繞過那些保護(hù)措施，就如同他們攻擊操作系統(tǒng)的本地功能一樣。

安全容器的好處是什么?

容器可以提供的一個好處是，提供了比本地操作系統(tǒng)更清楚的支持保護(hù)措施細(xì)節(jié)。作為一個攻擊者，如果我能在移動操作系統(tǒng)中找到弱點或漏洞，那么這一發(fā)現(xiàn)對于運(yùn)行在平臺上的所有應(yīng)用都有價值。如果我在具體的容器中找到這一弱點或漏洞，那么它可以再一次地用來對抗部署在這一容器中的應(yīng)用。這可能會使攻擊點專注于操作系統(tǒng)平臺，而不是任何具體的容器廠商。

因此，想要提升他們應(yīng)用安全性的移動應(yīng)用開發(fā)者可以考慮一下安全容器，從而可以看到各種容器提供的移動好處，但也是了解容器主要提供的保護(hù)措施也很重要，并適應(yīng)這些保護(hù)措施實施的方式，他們不會像本地操作系統(tǒng)功能那樣被輕易繞過。這正是第三方測試應(yīng)用的價值所在。