[[222233]]

應(yīng)用這些策略來(lái)保護(hù)容器解決方案的各個(gè)層面和容器生命周期的各個(gè)階段的安全。

容器提供了打包應(yīng)用程序的一種簡(jiǎn)單方法，它實(shí)現(xiàn)了從開(kāi)發(fā)到測(cè)試到投入生產(chǎn)系統(tǒng)的無(wú)縫傳遞。它也有助于確?？绮煌h(huán)境的連貫性，包括物理服務(wù)器、虛擬機(jī)、以及公有云或私有云。這些好處使得一些組織為了更方便地部署和管理為他們提升業(yè)務(wù)價(jià)值的應(yīng)用程序，而快速地采用了容器技術(shù)。

企業(yè)需要高度安全，在容器中運(yùn)行核心服務(wù)的任何人都會(huì)問(wèn)，“容器安全嗎？”以及“我們能信任運(yùn)行在容器中的應(yīng)用程序嗎？”

對(duì)容器進(jìn)行安全保護(hù)就像是對(duì)運(yùn)行中的進(jìn)程進(jìn)行安全保護(hù)一樣。在你部署和運(yùn)行你的容器之前，你需要去考慮整個(gè)解決方案各個(gè)層面的安全。你也需要去考慮貫穿了應(yīng)用程序和容器整個(gè)生命周期的安全。

請(qǐng)嘗試從這十個(gè)關(guān)鍵的因素去確保容器解決方案棧不同層面、以及容器生命周期的不同階段的安全。

1. 容器宿主機(jī)操作系統(tǒng)和多租戶環(huán)境

由于容器將應(yīng)用程序和它的依賴作為一個(gè)單元來(lái)處理，使得開(kāi)發(fā)者構(gòu)建和升級(jí)應(yīng)用程序變得更加容易，并且，容器可以啟用多租戶技術(shù)將許多應(yīng)用程序和服務(wù)部署到一臺(tái)共享主機(jī)上。在一臺(tái)單獨(dú)的主機(jī)上以容器方式部署多個(gè)應(yīng)用程序、按需啟動(dòng)和關(guān)閉單個(gè)容器都是很容易的。為完全實(shí)現(xiàn)這種打包和部署技術(shù)的優(yōu)勢(shì)，運(yùn)營(yíng)團(tuán)隊(duì)需要運(yùn)行容器的合適環(huán)境。運(yùn)營(yíng)者需要一個(gè)安全的操作系統(tǒng)，它能夠在邊界上保護(hù)容器安全、從容器中保護(hù)主機(jī)內(nèi)核，以及保護(hù)容器彼此之間的安全。

容器是隔離而資源受限的 Linux 進(jìn)程，允許你在一個(gè)共享的宿主機(jī)內(nèi)核上運(yùn)行沙盒化的應(yīng)用程序。保護(hù)容器的方法與保護(hù)你的 Linux 中運(yùn)行的任何進(jìn)程的方法是一樣的。降低權(quán)限是非常重要的，也是保護(hù)容器安全的最佳實(shí)踐。最好使用盡可能小的權(quán)限去創(chuàng)建容器。容器應(yīng)該以一個(gè)普通用戶的權(quán)限來(lái)運(yùn)行，而不是 root 權(quán)限的用戶。在 Linux 中可以使用多個(gè)層面的安全加固手段，Linux 命名空間、安全強(qiáng)化 Linux（SELinux）、cgroups 、capabilities（LCTT 譯注：Linux 內(nèi)核的一個(gè)安全特性，它打破了傳統(tǒng)的普通用戶與 root 用戶的概念，在進(jìn)程級(jí)提供更好的安全控制）、以及安全計(jì)算模式（ seccomp ），這五種 Linux 的安全特性可以用于保護(hù)容器的安全。

2. 容器內(nèi)容（使用可信來(lái)源）

在談到安全時(shí)，首先要考慮你的容器里面有什么？例如 ，有些時(shí)候，應(yīng)用程序和基礎(chǔ)設(shè)施是由很多可用組件所構(gòu)成的。它們中的一些是開(kāi)源的軟件包，比如，Linux 操作系統(tǒng)、Apache Web 服務(wù)器、Red Hat JBoss 企業(yè)應(yīng)用平臺(tái)、PostgreSQL，以及 Node.js。這些軟件包的容器化版本已經(jīng)可以使用了，因此，你沒(méi)有必要自己去構(gòu)建它們。但是，對(duì)于你從一些外部來(lái)源下載的任何代碼，你需要知道這些軟件包的原始來(lái)源，是誰(shuí)構(gòu)建的它，以及這些包里面是否包含惡意代碼。

3. 容器注冊(cè)（安全訪問(wèn)容器鏡像）

你的團(tuán)隊(duì)的容器構(gòu)建于下載的公共容器鏡像，因此，訪問(wèn)和升級(jí)這些下載的容器鏡像以及內(nèi)部構(gòu)建鏡像，與管理和下載其它類型的二進(jìn)制文件的方式是相同的，這一點(diǎn)至關(guān)重要。許多私有的注冊(cè)庫(kù)支持容器鏡像的存儲(chǔ)。選擇一個(gè)私有的注冊(cè)庫(kù)，可以幫你將存儲(chǔ)在它的注冊(cè)中的容器鏡像實(shí)現(xiàn)策略自動(dòng)化。

4. 安全性與構(gòu)建過(guò)程

在一個(gè)容器化環(huán)境中，軟件構(gòu)建過(guò)程是軟件生命周期的一個(gè)階段，它將所需的運(yùn)行時(shí)庫(kù)和應(yīng)用程序代碼集成到一起。管理這個(gè)構(gòu)建過(guò)程對(duì)于保護(hù)軟件棧安全來(lái)說(shuō)是很關(guān)鍵的。遵守“一次構(gòu)建，到處部署”的原則，可以確保構(gòu)建過(guò)程的結(jié)果正是生產(chǎn)系統(tǒng)中需要的。保持容器的恒定不變也很重要 — 換句話說(shuō)就是，不要對(duì)正在運(yùn)行的容器打補(bǔ)丁，而是，重新構(gòu)建和部署它們。

不論是因?yàn)槟闾幱谝粋€(gè)高強(qiáng)度監(jiān)管的行業(yè)中，還是只希望簡(jiǎn)單地優(yōu)化你的團(tuán)隊(duì)的成果，設(shè)計(jì)你的容器鏡像管理以及構(gòu)建過(guò)程，可以使用容器層的優(yōu)勢(shì)來(lái)實(shí)現(xiàn)控制分離，因此，你應(yīng)該去這么做：

• 運(yùn)營(yíng)團(tuán)隊(duì)管理基礎(chǔ)鏡像
• 架構(gòu)師管理中間件、運(yùn)行時(shí)、數(shù)據(jù)庫(kù)，以及其它解決方案
• 開(kāi)發(fā)者專注于應(yīng)用程序?qū)用?，并且只?xiě)代碼

最后，標(biāo)記好你的定制構(gòu)建容器，這樣可以確保在構(gòu)建和部署時(shí)不會(huì)搞混亂。

5. 控制好在同一個(gè)集群內(nèi)部署應(yīng)用

如果是在構(gòu)建過(guò)程中出現(xiàn)的任何問(wèn)題，或者在鏡像被部署之后發(fā)現(xiàn)的任何漏洞，那么，請(qǐng)?jiān)诨诓呗缘?、自?dòng)化工具上添加另外的安全層。

我們來(lái)看一下，一個(gè)應(yīng)用程序的構(gòu)建使用了三個(gè)容器鏡像層：內(nèi)核、中間件，以及應(yīng)用程序。如果在內(nèi)核鏡像中發(fā)現(xiàn)了問(wèn)題，那么只能重新構(gòu)建鏡像。一旦構(gòu)建完成，鏡像就會(huì)被發(fā)布到容器平臺(tái)注冊(cè)庫(kù)中。這個(gè)平臺(tái)可以自動(dòng)檢測(cè)到發(fā)生變化的鏡像。對(duì)于基于這個(gè)鏡像的其它構(gòu)建將被觸發(fā)一個(gè)預(yù)定義的動(dòng)作，平臺(tái)將自己重新構(gòu)建應(yīng)用鏡像，合并該修復(fù)的庫(kù)。

一旦構(gòu)建完成，鏡像將被發(fā)布到容器平臺(tái)的內(nèi)部注冊(cè)庫(kù)中。在它的內(nèi)部注冊(cè)庫(kù)中，會(huì)立即檢測(cè)到鏡像發(fā)生變化，應(yīng)用程序在這里將會(huì)被觸發(fā)一個(gè)預(yù)定義的動(dòng)作，自動(dòng)部署更新鏡像，確保運(yùn)行在生產(chǎn)系統(tǒng)中的代碼總是使用更新后的最新的鏡像。所有的這些功能協(xié)同工作，將安全功能集成到你的持續(xù)集成和持續(xù)部署（CI/CD）過(guò)程和管道中。

6. 容器編配：保護(hù)容器平臺(tái)安全

當(dāng)然了，應(yīng)用程序很少會(huì)以單一容器分發(fā)。甚至，簡(jiǎn)單的應(yīng)用程序一般情況下都會(huì)有一個(gè)前端、一個(gè)后端、以及一個(gè)數(shù)據(jù)庫(kù)。而在容器中以微服務(wù)模式部署的應(yīng)用程序，意味著應(yīng)用程序?qū)⒉渴鹪诙鄠€(gè)容器中，有時(shí)它們?cè)谕慌_(tái)宿主機(jī)上，有時(shí)它們是分布在多個(gè)宿主機(jī)或者節(jié)點(diǎn)上，如下面的圖所示：

在大規(guī)模的容器部署時(shí)，你應(yīng)該考慮：

• 哪個(gè)容器應(yīng)該被部署在哪個(gè)宿主機(jī)上？
• 那個(gè)宿主機(jī)應(yīng)該有什么樣的性能？
• 哪個(gè)容器需要訪問(wèn)其它容器？它們之間如何發(fā)現(xiàn)彼此？
• 你如何控制和管理對(duì)共享資源的訪問(wèn)，像網(wǎng)絡(luò)和存儲(chǔ)？
• 如何監(jiān)視容器健康狀況？
• 如何去自動(dòng)擴(kuò)展性能以滿足應(yīng)用程序的需要？
• 如何在滿足安全需求的同時(shí)啟用開(kāi)發(fā)者的自助服務(wù)？

考慮到開(kāi)發(fā)者和運(yùn)營(yíng)者的能力，提供基于角色的訪問(wèn)控制是容器平臺(tái)的關(guān)鍵要素。例如，編配管理服務(wù)器是中心訪問(wèn)點(diǎn)，應(yīng)該接受最高級(jí)別的安全檢查。API 是規(guī)模化的自動(dòng)容器平臺(tái)管理的關(guān)鍵，可以用于為 pod、服務(wù)，以及復(fù)制控制器驗(yàn)證和配置數(shù)據(jù)；在入站請(qǐng)求上執(zhí)行項(xiàng)目驗(yàn)證；以及調(diào)用其它主要系統(tǒng)組件上的觸發(fā)器。

7. 網(wǎng)絡(luò)隔離

在容器中部署現(xiàn)代微服務(wù)應(yīng)用，經(jīng)常意味著跨多個(gè)節(jié)點(diǎn)在多個(gè)容器上部署。考慮到網(wǎng)絡(luò)防御，你需要一種在一個(gè)集群中的應(yīng)用之間的相互隔離的方法。一個(gè)典型的公有云容器服務(wù)，像 Google 容器引擎（GKE）、Azure 容器服務(wù)，或者 Amazon Web 服務(wù)（AWS）容器服務(wù)，是單租戶服務(wù)。他們讓你在你初始化建立的虛擬機(jī)集群上運(yùn)行你的容器。對(duì)于多租戶容器的安全，你需要容器平臺(tái)為你啟用一個(gè)單一集群，并且分割流量以隔離不同的用戶、團(tuán)隊(duì)、應(yīng)用、以及在這個(gè)集群中的環(huán)境。

使用網(wǎng)絡(luò)命名空間，容器內(nèi)的每個(gè)集合（即大家熟知的 “pod”）都會(huì)得到它自己的 IP 和綁定的端口范圍，以此來(lái)從一個(gè)節(jié)點(diǎn)上隔離每個(gè) pod 網(wǎng)絡(luò)。除使用下面所述的方式之外，默認(rèn)情況下，來(lái)自不同命名空間（項(xiàng)目）的 pod 并不能發(fā)送或者接收其它 pod 上的包和不同項(xiàng)目的服務(wù)。你可以使用這些特性在同一個(gè)集群內(nèi)隔離開(kāi)發(fā)者環(huán)境、測(cè)試環(huán)境，以及生產(chǎn)環(huán)境。但是，這樣會(huì)導(dǎo)致 IP 地址和端口數(shù)量的激增，使得網(wǎng)絡(luò)管理更加復(fù)雜。另外，容器是被設(shè)計(jì)為反復(fù)使用的，你應(yīng)該在處理這種復(fù)雜性的工具上進(jìn)行投入。在容器平臺(tái)上比較受歡迎的工具是使用 軟件定義網(wǎng)絡(luò) (SDN) 提供一個(gè)定義的網(wǎng)絡(luò)集群，它允許跨不同集群的容器進(jìn)行通訊。

8. 存儲(chǔ)

容器即可被用于無(wú)狀態(tài)應(yīng)用，也可被用于有狀態(tài)應(yīng)用。保護(hù)外加的存儲(chǔ)是保護(hù)有狀態(tài)服務(wù)的一個(gè)關(guān)鍵要素。容器平臺(tái)對(duì)多種受歡迎的存儲(chǔ)提供了插件，包括網(wǎng)絡(luò)文件系統(tǒng)（NFS）、AWS 彈性塊存儲(chǔ)（EBS）、GCE 持久磁盤(pán)、GlusterFS、iSCSI、 RADOS（Ceph）、Cinder 等等。

一個(gè)持久卷（PV）可以通過(guò)資源提供者支持的任何方式裝載到一個(gè)主機(jī)上。提供者有不同的性能，而每個(gè) PV 的訪問(wèn)模式被設(shè)置為特定的卷支持的特定模式。例如，NFS 能夠支持多路客戶端同時(shí)讀/寫(xiě)，但是，一個(gè)特定的 NFS 的 PV 可以在服務(wù)器上被發(fā)布為只讀模式。每個(gè) PV 有它自己的一組反應(yīng)特定 PV 性能的訪問(wèn)模式的描述，比如，ReadWriteOnce、ReadOnlyMany、以及 ReadWriteMany。

9. API 管理、終端安全、以及單點(diǎn)登錄（SSO）

保護(hù)你的應(yīng)用安全，包括管理應(yīng)用、以及 API 的認(rèn)證和授權(quán)。

Web SSO 能力是現(xiàn)代應(yīng)用程序的一個(gè)關(guān)鍵部分。在構(gòu)建它們的應(yīng)用時(shí)，容器平臺(tái)帶來(lái)了開(kāi)發(fā)者可以使用的多種容器化服務(wù)。

API 是微服務(wù)構(gòu)成的應(yīng)用程序的關(guān)鍵所在。這些應(yīng)用程序有多個(gè)獨(dú)立的 API 服務(wù)，這導(dǎo)致了終端服務(wù)數(shù)量的激增，它就需要額外的管理工具。推薦使用 API 管理工具。所有的 API 平臺(tái)應(yīng)該提供多種 API 認(rèn)證和安全所需要的標(biāo)準(zhǔn)選項(xiàng)，這些選項(xiàng)既可以單獨(dú)使用，也可以組合使用，以用于發(fā)布證書(shū)或者控制訪問(wèn)。

這些選項(xiàng)包括標(biāo)準(zhǔn)的 API key、應(yīng)用 ID 和密鑰對(duì)，以及 OAuth 2.0。

10. 在一個(gè)聯(lián)合集群中的角色和訪問(wèn)管理

在 2016 年 7 月份，Kubernetes 1.3 引入了 Kubernetes 聯(lián)合集群。這是一個(gè)令人興奮的新特性之一，它是在 Kubernetes 上游、當(dāng)前的 Kubernetes 1.6 beta 中引用的。聯(lián)合是用于部署和訪問(wèn)跨多集群運(yùn)行在公有云或企業(yè)數(shù)據(jù)中心的應(yīng)用程序服務(wù)的。多個(gè)集群能夠用于去實(shí)現(xiàn)應(yīng)用程序的高可用性，應(yīng)用程序可以跨多個(gè)可用區(qū)域，或者去啟用部署公共管理，或者跨不同的供應(yīng)商進(jìn)行遷移，比如，AWS、Google Cloud、以及 Azure。

當(dāng)管理聯(lián)合集群時(shí)，你必須確保你的編配工具能夠提供你所需要的跨不同部署平臺(tái)的實(shí)例的安全性。一般來(lái)說(shuō)，認(rèn)證和授權(quán)是很關(guān)鍵的 —— 不論你的應(yīng)用程序運(yùn)行在什么地方，將數(shù)據(jù)安全可靠地傳遞給它們，以及管理跨集群的多租戶應(yīng)用程序。Kubernetes 擴(kuò)展了聯(lián)合集群，包括對(duì)聯(lián)合的秘密數(shù)據(jù)、聯(lián)合的命名空間、以及 Ingress objects 的支持。

選擇一個(gè)容器平臺(tái)

當(dāng)然，它并不僅關(guān)乎安全。你需要提供一個(gè)你的開(kāi)發(fā)者團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)有相關(guān)經(jīng)驗(yàn)的容器平臺(tái)。他們需要一個(gè)安全的、企業(yè)級(jí)的基于容器的應(yīng)用平臺(tái)，它能夠同時(shí)滿足開(kāi)發(fā)者和運(yùn)營(yíng)者的需要，而且還能夠提高操作效率和基礎(chǔ)設(shè)施利用率。

想從 Daniel 在 歐盟開(kāi)源峰會(huì) 上的 容器安全的十個(gè)層面 的演講中學(xué)習(xí)更多知識(shí)嗎？這個(gè)峰會(huì)已于 10 月 23 - 26 日在 Prague 舉行。