[[140836]]

對(duì)于許多企業(yè)來(lái)說(shuō)，容器化使得釋放速度更快，比虛擬機(jī)更加有效率。與此同時(shí)，容器引入了新的部署模式，因此，企業(yè)架構(gòu)師和安全專家需要重新考慮：采取哪些方式來(lái)保證應(yīng)用程序的安全性。在RSA安全會(huì)議上，安全專家評(píng)估安全實(shí)施容器化策略該考慮哪些方面。

安全廠商Bromium的首席技術(shù)官Simon Crosby稱，傳統(tǒng)安全工具僅僅能在云中工作。目前，企業(yè)正在關(guān)注于容器的另一個(gè)抽象層。

Juniper Networks的安全副總裁和首席技術(shù)官Chris Hoff說(shuō)，使用網(wǎng)絡(luò)和端點(diǎn)安全，保證了企業(yè)的區(qū)域安全性。同時(shí)，也出現(xiàn)了其它問(wèn)題，比如說(shuō)，亞馬遜程序員的工作量加大。添加一個(gè)完好的帶有審計(jì)控件、關(guān)鍵控件和文檔的安全基礎(chǔ)設(shè)施，需要超過(guò)幾個(gè)小時(shí)的時(shí)間，來(lái)推出應(yīng)用程序以及更新。真正的挑戰(zhàn)是轉(zhuǎn)換，云、DevOps以及目前的容器化意味著除了安全團(tuán)隊(duì)，還需要其它團(tuán)隊(duì)的配合。對(duì)大型企業(yè)來(lái)說(shuō)，這是特別困難的。

容器廠商關(guān)注于安全

當(dāng)企業(yè)試圖更快地實(shí)現(xiàn)更新，這種動(dòng)態(tài)創(chuàng)建了一個(gè)新的摩擦層。現(xiàn)在來(lái)說(shuō)，速度是關(guān)鍵， Docker的SVP Product Scott Johnston說(shuō)，他能預(yù)見(jiàn)到，金融服務(wù)行業(yè)容器化的速度在飛快增長(zhǎng)，他們采用更好的交易算法，從而更有效地滿足客戶的需求。云計(jì)算和移動(dòng)公司也迅速走向微服務(wù)架構(gòu)，從而支持更快的交付速度。

安全性是需要考慮的最重要的因素，能夠防止欺詐和網(wǎng)絡(luò)攻擊。“我們意識(shí)到我們不能拋開(kāi)安全，”Johnston說(shuō)，“在安全方面，Docker一直以來(lái)都投入了大量的資金，為了使運(yùn)維團(tuán)隊(duì)更加便捷，包括應(yīng)用程序開(kāi)發(fā)者運(yùn)行時(shí)間的策略，為了使得應(yīng)用程序更加安全。”

Docker正在加大投資，來(lái)改善關(guān)閉Linux內(nèi)核的功能，或者允許運(yùn)維團(tuán)隊(duì)能夠管理安全策略，不需要開(kāi)發(fā)人員的幫助。同時(shí)，在基礎(chǔ)設(shè)施方面，投入了相當(dāng)大的資金，來(lái)創(chuàng)建一條信任鏈，能夠顯示源代碼從哪里來(lái)，是誰(shuí)編制的，以及QA是誰(shuí)產(chǎn)生的。Johnston提到，“這是發(fā)展團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)雙方共同的責(zé)任”。

微軟還宣布：取得的另一個(gè)突破是，容器基礎(chǔ)設(shè)施可以在Azure以及私有云中工作。微軟Azure首席技術(shù)官M(fèi)ark Russinovich說(shuō)，目前，正在研究新的安全模型，來(lái)保證各種各樣的私人的、公共的以及混合云場(chǎng)景下容器的安全性。Drawbridge是微軟的一個(gè)研究項(xiàng)目，用來(lái)創(chuàng)建容器，采用很強(qiáng)的隔離邊界，從而來(lái)主導(dǎo)不受信任的代碼。此外，當(dāng)操作系統(tǒng)被破壞時(shí)，Havenprototype有助于保護(hù)VM或容器。

從網(wǎng)絡(luò)到應(yīng)用安全的轉(zhuǎn)變

當(dāng)提供的應(yīng)用程序運(yùn)行數(shù)月或數(shù)周，基于網(wǎng)絡(luò)的安全是很重要的。但是，Docker的Johnston說(shuō)，隨著微服務(wù)的發(fā)展，事情變得更加動(dòng)態(tài)。第一批微服務(wù)供應(yīng)在一個(gè)單獨(dú)的服務(wù)器，但是，隨著部署這些集合的組織跨多個(gè)服務(wù)器和數(shù)據(jù)中心，變得越來(lái)越復(fù)雜。

軟件定義網(wǎng)絡(luò)(SDN)功能，包括防火墻和路由器，已經(jīng)被開(kāi)發(fā)，用來(lái)支持少數(shù)的虛擬機(jī)。但是，目前為止，成千上萬(wàn)的容器僅存在毫秒。Johnston說(shuō)，“昨天的安全模型僅僅適用于昨天的容器”。這種新方法需要考慮：如何提供防火墻和應(yīng)用程序負(fù)載平衡器。

對(duì)組織來(lái)說(shuō)，這可能是一個(gè)艱難的轉(zhuǎn)變，建立一個(gè)安全模型來(lái)保證網(wǎng)絡(luò)安全性。Juniper的Hoff發(fā)現(xiàn)，那些甚至不知道如何拼寫VM的人，如果讓他們來(lái)提供關(guān)于如何隔離這種更敏捷基礎(chǔ)設(shè)施的建議，是非常困難的。盡管這是合規(guī)的，但這真的不是關(guān)于安全和政策討論。

微軟的Russinovich說(shuō)，過(guò)去，IT運(yùn)作團(tuán)隊(duì)會(huì)選擇使用什么樣的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全工具?，F(xiàn)在，由DevOps來(lái)選擇這些工具，并確保這些工具是可用的。傳統(tǒng)模式是：IT負(fù)責(zé)網(wǎng)絡(luò)安全，但是，這個(gè)模型是很不一樣的。

教安全團(tuán)隊(duì)來(lái)編代碼

總的來(lái)說(shuō)，容器化不僅僅是一個(gè)技術(shù)的轉(zhuǎn)變。還需要反思的過(guò)程和工具。例如，ING銀行采用DevOps，他們要求每個(gè)團(tuán)隊(duì)成員都應(yīng)該是一個(gè)程序員，新應(yīng)用的周期時(shí)間從幾個(gè)月減少到幾天。安全團(tuán)隊(duì)將不得不學(xué)習(xí)如何編程。

Docker的Johnston提到，云計(jì)算和虛擬化實(shí)現(xiàn)技術(shù)已經(jīng)存在了十年，而容器化僅僅才開(kāi)始了一年?？赡苓€需要一個(gè)十年，容器化的安全實(shí)踐才能完全迎頭趕上。

原文鏈接：http://www.searchcloudcomputing.com.cn/showcontent_89853.htm