安全產(chǎn)業(yè)陷入了一個很不好的習慣中，我們大多數(shù)的精力和營銷資金，都投放到了對最新冒頭的威脅和相應檢測新技術的關注上了。只需要瀏覽下新聞頭條，或者花15分鐘在安全大會的展廳里晃一圈，就能發(fā)現(xiàn)這種趨勢。然而，在我們緊盯壞蛋們正在做什么的時候，卻忽略了我們自己的基礎設施建設方向。

[[170617]]

沒錯，檢測新的針對性攻擊確實是安全從業(yè)人員的首要優(yōu)先事項，但找尋安全業(yè)務開展方式的技術發(fā)展，關注同行在基礎設施、數(shù)據(jù)中心或云上所做的工作，同樣非常重要。

例如，當安全被虛擬化，隨之而來的幾大好處，包括速率和規(guī)模的提升，以及虛擬化數(shù)據(jù)中心和云環(huán)境下安全基礎設施管理費用和成本的下降。毫無疑問轉向虛擬化安全對很多公司而言是一件好事，這些公司如今都能夠更有效率更快地擴展和定制安全策略。

但我們下一步該怎么做，才能確保持續(xù)創(chuàng)新，并保持安全功能時刻站在時代前沿呢?

最有前途的新方法之一，就是將安全功能放到容器中。正如容器為需要在計算環(huán)境中進行遷移的應用提供了大量好處一樣，將容器應用到網(wǎng)絡安全的保護上也是好處多多。容器只用到1個操作系統(tǒng)，用容器托管安全操作，所需空間和電力都比在多個操作系統(tǒng)上運行安全操作要省得多，會對成本和可擴展性產(chǎn)生很大影響，同時還能提供保障網(wǎng)絡安全的有效方法。

容器化安全功能的好處很多，最明顯的就是成本節(jié)省。因為所有操作都只需要1個容器就能運行，所以可以大幅減少在多個操作系統(tǒng)上的開銷。從性能的角度看，服務速度也可以得到大幅提升，還附帶可擴展性的暴漲。容器幾乎可以瞬間啟動，而普通虛擬機一般要花去數(shù)分鐘才啟得起來。

我們剛在服務器上開始使用虛擬機時，曾普遍認為這塊兒沒有安全需求。但隨著容器向數(shù)據(jù)中心和云端的進軍，很多公司很快意識到，必須在打造虛擬化環(huán)境時加上安全了。

然而，與所有新的安全形式一樣，容器化安全也有其局限性。比如說，與傳統(tǒng)防火墻不同，你不需要路由和交換功能，尤其是在環(huán)境遷移到更多微服務創(chuàng)建和使用的情況下。因此，你必須小心評估使用容器的決定，并且在最開始就以安全的方式使用它。如果你正考慮采用容器化安全的方法，有幾個問題是必須捫心自問一下的：

1. 你已經(jīng)在使用Docker了嗎?如果你公司的其他基礎設施正在使用容器，將這一實踐擴展到安全上是非常符合邏輯的。一旦容器就位，它們的可擴展性會讓往已有功能中增加新的功能變得非常容易，且額外開銷和對性能的影響最小化。

2. 你想要支持哪種環(huán)境?如果你需要一個密實的安全環(huán)境，容器可能是你的最佳解決方案。如果你已經(jīng)用虛擬機建起了虛擬化環(huán)境，一個虛擬防火墻或許是更好的選擇。

3. 你公司的長期戰(zhàn)略性經(jīng)營方向是什么?你的公司更偏重開發(fā)運維資源的投入么?你的公司利用的是現(xiàn)有技術么?還是說你公司的戰(zhàn)略方向是自行打造具有競爭力的獨特技術?如果你的公司認為技術是戰(zhàn)略性區(qū)分因素，并更偏重投資開發(fā)運維資源和打造自有技術，那么容器會很自然地成為你數(shù)據(jù)中心投資的下一步?？梢詮木邆湮磥砟芊纸獬晌踩盏耐耆萜鞣阑饓﹂_始，以便既能支持當前應用，又能支持將來的微服務。

雖然使用容器保護公司安全是個相對新潮的方法，但其卻能給公司帶來成本減省和可擴展性的大幅提升。考慮在安全上引入容器，你將會成為這一創(chuàng)新性方法的早期采用人，在同行競爭和與網(wǎng)絡犯罪分子的斗爭中都領先一步。