【51CTO 快譯】在企業(yè)IT領(lǐng)域，顛覆性技術(shù)正非常迅速地被應(yīng)用于商業(yè)。然而，如果企業(yè)文化和流程沒有與時俱進、跟上技術(shù)的步伐，哪怕最出色的企業(yè)應(yīng)用軟件，它的效果也必然會大打折扣。比如，受其影響較為顯著的一個IT領(lǐng)域就是網(wǎng)絡(luò)安全。但是軟件容器的崛起為企業(yè)提供了做好應(yīng)用程序安全或者至少大大提高應(yīng)用程序安全的機會。而軟件容器也正在成為最具顛覆性的企業(yè)技術(shù)之一。

Docker和CoreOS RKT等軟件容器正迅速被采用于應(yīng)用軟件開發(fā)、開發(fā)運維(DevOps)和Web應(yīng)用程序等環(huán)境。那是因為它們會給企業(yè)帶來明顯的好處：部署快，具有靈活性和可擴展性，而且可以經(jīng)濟高效地利用計算資源。

然而，這些軟件容器的應(yīng)用在為企業(yè)IT帶來好處的同時，也帶來了新的安全挑戰(zhàn)――即在共享內(nèi)核上運行，隔離用戶和進程方面存在難題，它們增加的一層阻礙了用戶了解主機上的活動，另外管理容器部署的絕對規(guī)模令人望而生畏。

雖然面臨這些挑戰(zhàn)，但依然有幾個原因表明，容器確實為企業(yè)IT提供了大好機會，并且能夠大大提高企業(yè)的安全性：

1.讓容器安全成為聚匯點，開發(fā)運維和安全可以圍繞它聯(lián)合起來：開發(fā)運維是一股潮流，旨在通過自動化、溝通和協(xié)作，改善和協(xié)調(diào)應(yīng)用程序開發(fā)團隊與運維團隊之間的關(guān)系。Securosis在2015年10月發(fā)布了Adrian Lane撰寫的一份題為《把安全融入開發(fā)運維》的報告，該報告特別指出：“開發(fā)運維同時代表了一場文化變革……很難表述讓運維、開發(fā)和質(zhì)量保證等團隊肩并肩合作的影響……在你親自領(lǐng)略、認識到許多問題因清晰地溝通和共同的目的而得到緩解之前，你可能覺得這是個‘模糊’的好處......”

企業(yè)安全團隊面臨與開發(fā)團隊和運營團隊相同的企業(yè)文化障礙，可能會因類似開發(fā)運維的文化重組而受益匪淺。將安全添加到開發(fā)運維即“開發(fā)安全運維”(DevSecOps)絕不是新想法，如今早已深入人心。

讓開發(fā)運維成為做好容器安全的一個關(guān)鍵因素是，開發(fā)運維促進了提高企業(yè)網(wǎng)絡(luò)安全性所需的文化轉(zhuǎn)變。也許開發(fā)運維一開始并沒有考慮到安全，但是安全團隊在充分利用開發(fā)運維，調(diào)整自己與開發(fā)團隊和運維團隊的關(guān)系，然后重新確立與其他IT小組的這種關(guān)系。如果我們決定讓容器安全成為開發(fā)運維和安全聯(lián)合起來的聚匯點，它就創(chuàng)造了讓關(guān)鍵的安全流程實現(xiàn)自動化的機會，為隨后的文化變革提供了一個成功的案例。

2.由于沒完沒了的重大安全泄密事件，安全現(xiàn)在成為高層主管關(guān)注的問題：開發(fā)運維并不是影響企業(yè)網(wǎng)絡(luò)安全唯一的文化層面的變革推動者。如果說科技界從沒完沒了的重大安全泄密事件中學(xué)到了什么教訓(xùn)，那就是，把安全融入到IT不僅僅是一個口號――它對業(yè)務(wù)不無好處。相比之前的提供商，容器平臺提供商非常關(guān)注安全，但是容器市場仍處于早期階段。由于高盛和紐約銀行等組織公開聲明，它們對容器“寄予厚望”，安全不再是事后補充上去的想法。這就引出了最關(guān)鍵的因素……

3.在容器成為主流應(yīng)用之前，要明確并滿足容器安全要求：由于安全團隊是容器采用審查流程的一部分，容器在成為主流技術(shù)之前，我們需要列出安全方面要考慮的因素。然而，大多數(shù)安全專業(yè)人員根本不知道容器是什么，更不用說部署容器對安全會有什么樣的影響。除了獨特的安全問題外，網(wǎng)絡(luò)安全簡史告訴我們，只要引入一種新技術(shù)，濫用它的漏洞永遠不會落后。

盡管Docker及其他容器平臺廠商很關(guān)注安全，但是它們無法控制或預(yù)測客戶會如何使用容器。一眨眼的工夫，許多公司就會仿效高盛和紐約銀行梅隆。任何在評估基于容器策略的組織都要確保安全已及早考慮進來。

現(xiàn)在，我們?nèi)员劝踩珕栴}領(lǐng)先幾步，但是安全團隊需要做好本職工作。他們需要盡快熟悉容器技術(shù)，并且結(jié)合它們使用容器來構(gòu)建的企業(yè)應(yīng)用程序這個環(huán)境來考慮容器安全問題。

這是個艱巨的任務(wù)，但是及早融入容器安全，讓容器有望成為一流的應(yīng)用程序安全典范。

如果企業(yè)充分抓住這個機會，將安全集成到構(gòu)建和管理基于容器的應(yīng)用程序的架構(gòu)當(dāng)中，這為搞好安全提供了難得的機會。

原文標題：3 ways to improve security as you embrace containers 作者：Dror Davidoff

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】