安全產(chǎn)業(yè)陷入了一個很不好的習(xí)慣中，我們大多數(shù)的精力和營銷資金，都投放到了對最新冒頭的威脅和相應(yīng)檢測新技術(shù)的關(guān)注上了。只需要瀏覽下新聞頭條，或者花15分鐘在安全大會的展廳里晃一圈，就能發(fā)現(xiàn)這種趨勢。然而，在我們緊盯壞蛋們正在做什么的時候，卻忽略了我們自己的基礎(chǔ)設(shè)施建設(shè)方向。

[[170617]]

沒錯，檢測新的針對性攻擊確實是安全從業(yè)人員的首要優(yōu)先事項，但找尋安全業(yè)務(wù)開展方式的技術(shù)發(fā)展，關(guān)注同行在基礎(chǔ)設(shè)施、數(shù)據(jù)中心或云上所做的工作，同樣非常重要。

例如，當(dāng)安全被虛擬化，隨之而來的幾大好處，包括速率和規(guī)模的提升，以及虛擬化數(shù)據(jù)中心和云環(huán)境下安全基礎(chǔ)設(shè)施管理費(fèi)用和成本的下降。毫無疑問轉(zhuǎn)向虛擬化安全對很多公司而言是一件好事，這些公司如今都能夠更有效率更快地擴(kuò)展和定制安全策略。

但我們下一步該怎么做，才能確保持續(xù)創(chuàng)新，并保持安全功能時刻站在時代前沿呢?

最有前途的新方法之一，就是將安全功能放到容器中。正如容器為需要在計算環(huán)境中進(jìn)行遷移的應(yīng)用提供了大量好處一樣，將容器應(yīng)用到網(wǎng)絡(luò)安全的保護(hù)上也是好處多多。容器只用到1個操作系統(tǒng)，用容器托管安全操作，所需空間和電力都比在多個操作系統(tǒng)上運(yùn)行安全操作要省得多，會對成本和可擴(kuò)展性產(chǎn)生很大影響，同時還能提供保障網(wǎng)絡(luò)安全的有效方法。

容器化安全功能的好處很多，最明顯的就是成本節(jié)省。因為所有操作都只需要1個容器就能運(yùn)行，所以可以大幅減少在多個操作系統(tǒng)上的開銷。從性能的角度看，服務(wù)速度也可以得到大幅提升，還附帶可擴(kuò)展性的暴漲。容器幾乎可以瞬間啟動，而普通虛擬機(jī)一般要花去數(shù)分鐘才啟得起來。

我們剛在服務(wù)器上開始使用虛擬機(jī)時，曾普遍認(rèn)為這塊兒沒有安全需求。但隨著容器向數(shù)據(jù)中心和云端的進(jìn)軍，很多公司很快意識到，必須在打造虛擬化環(huán)境時加上安全了。

然而，與所有新的安全形式一樣，容器化安全也有其局限性。比如說，與傳統(tǒng)防火墻不同，你不需要路由和交換功能，尤其是在環(huán)境遷移到更多微服務(wù)創(chuàng)建和使用的情況下。因此，你必須小心評估使用容器的決定，并且在最開始就以安全的方式使用它。如果你正考慮采用容器化安全的方法，有幾個問題是必須捫心自問一下的：

1. 你已經(jīng)在使用Docker了嗎?如果你公司的其他基礎(chǔ)設(shè)施正在使用容器，將這一實踐擴(kuò)展到安全上是非常符合邏輯的。一旦容器就位，它們的可擴(kuò)展性會讓往已有功能中增加新的功能變得非常容易，且額外開銷和對性能的影響最小化。

2. 你想要支持哪種環(huán)境?如果你需要一個密實的安全環(huán)境，容器可能是你的最佳解決方案。如果你已經(jīng)用虛擬機(jī)建起了虛擬化環(huán)境，一個虛擬防火墻或許是更好的選擇。

3. 你公司的長期戰(zhàn)略性經(jīng)營方向是什么?你的公司更偏重開發(fā)運(yùn)維資源的投入么?你的公司利用的是現(xiàn)有技術(shù)么?還是說你公司的戰(zhàn)略方向是自行打造具有競爭力的獨特技術(shù)?如果你的公司認(rèn)為技術(shù)是戰(zhàn)略性區(qū)分因素，并更偏重投資開發(fā)運(yùn)維資源和打造自有技術(shù)，那么容器會很自然地成為你數(shù)據(jù)中心投資的下一步?？梢詮木邆湮磥砟芊纸獬晌踩?wù)的完全容器防火墻開始，以便既能支持當(dāng)前應(yīng)用，又能支持將來的微服務(wù)。

雖然使用容器保護(hù)公司安全是個相對新潮的方法，但其卻能給公司帶來成本減省和可擴(kuò)展性的大幅提升?？紤]在安全上引入容器，你將會成為這一創(chuàng)新性方法的早期采用人，在同行競爭和與網(wǎng)絡(luò)犯罪分子的斗爭中都領(lǐng)先一步。