如何确保容器的安全性?

对于许多企业来说,容器化使得释放速度更快,比虚拟机更加有效率。与此同时,容器引入了新的部署模式,因此,企业架构师和安全专家需要重新考虑:采取哪些方式来保证应用程序的安全性。在RSA安全会议上,安全专家评估安全实施容器化策略该考虑哪些方面。

安全厂商Bromium的首席技术官Simon Crosby称,传统安全工具仅仅能在云中工作。目前,企业正在关注于容器的另一个抽象层。

Juniper Networks的安全副总裁和首席技术官Chris Hoff说,使用网络和端点安全,保证了企业的区域安全性。同时,也出现了其它问题,比如说,亚马逊程序员的工作量加大。添加一个完好的带有审计控件、关键控件和文档的安全基础设施,需要超过几个小时的时间,来推出应用程序以及更新。真正的挑战是转换,云、DevOps以及目前的容器化意味着除了安全团队,还需要其它团队的配合。对大型企业来说,这是特别困难的。

容器厂商关注于安全

当企业试图更快地实现更新,这种动态创建了一个新的摩擦层。现在来说,速度是关键, Docker的SVP Product Scott Johnston说,他能预见到,金融服务行业容器化的速度在飞快增长,他们采用更好的交易算法,从而更有效地满足客户的需求。云计算和移动公司也迅速走向微服务架构,从而支持更快的交付速度。

安全性是需要考虑的最重要的因素,能够防止欺诈和网络攻击。“我们意识到我们不能抛开安全,”Johnston说,“在安全方面,Docker一直以来都投入了大量的资金,为了使运维团队更加便捷,包括应用程序开发者运行时间的策略,为了使得应用程序更加安全。”

Docker正在加大投资,来改善关闭Linux内核的功能,或者允许运维团队能够管理安全策略,不需要开发人员的帮助。同时,在基础设施方面,投入了相当大的资金,来创建一条信任链,能够显示源代码从哪里来,是谁编制的,以及QA是谁产生的。Johnston提到,“这是发展团队和运营团队双方共同的责任”。

微软还宣布:取得的另一个突破是,容器基础设施可以在Azure以及私有云中工作。微软Azure首席技术官Mark Russinovich说,目前,正在研究新的安全模型,来保证各种各样的私人的、公共的以及混合云场景下容器的安全性。Drawbridge是微软的一个研究项目,用来创建容器,采用很强的隔离边界,从而来主导不受信任的代码。此外,当操作系统被破坏时,Havenprototype有助于保护VM或容器。

从网络到应用安全的转变

当提供的应用程序运行数月或数周,基于网络的安全是很重要的。但是,Docker的Johnston说,随着微服务的发展,事情变得更加动态。第一批微服务供应在一个单独的服务器,但是,随着部署这些集合的组织跨多个服务器和数据中心,变得越来越复杂。

软件定义网络(SDN)功能,包括防火墙和路由器,已经被开发,用来支持少数的虚拟机。但是,目前为止,成千上万的容器仅存在毫秒。Johnston说,“昨天的安全模型仅仅适用于昨天的容器”。这种新方法需要考虑:如何提供防火墙和应用程序负载平衡器。

对组织来说,这可能是一个艰难的转变,建立一个安全模型来保证网络安全性。Juniper的Hoff发现,那些甚至不知道如何拼写VM的人,如果让他们来提供关于如何隔离这种更敏捷基础设施的建议,是非常困难的。尽管这是合规的,但这真的不是关于安全和政策讨论。

微软的Russinovich说,过去,IT运作团队会选择使用什么样的网络和基础设施安全工具。现在,由DevOps来选择这些工具,并确保这些工具是可用的。传统模式是:IT负责网络安全,但是,这个模型是很不一样的。

教安全团队来编代码

总的来说,容器化不仅仅是一个技术的转变。还需要反思的过程和工具。例如,ING银行采用DevOps,他们要求每个团队成员都应该是一个程序员,新应用的周期时间从几个月减少到几天。安全团队将不得不学习如何编程。

Docker的Johnston提到,云计算和虚拟化实现技术已经存在了十年,而容器化仅仅才开始了一年。可能还需要一个十年,容器化的安全实践才能完全迎头赶上。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2015-07-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

虚拟化降低成本 要打一个问号?

随着虚拟化应用的广泛深入,很多用户试图运用虚拟化降低自身成本,但是虚拟化究竟能否降低成本,还要打一个大问号? 其实,虚拟化将减少服务器数量,但不是成本,它涉及到...

3629
来自专栏灯塔大数据

塔秘 | 云计算的安全比以往任何时候都显得重要

导读 云计算市场近几年的迅猛发展,使得越来越多的企业对云计算的认可度不断提高,这是得益于云计算确实给企业云业务所带来了便捷与高效等利好。与此同时,资本市场对于云...

3747
来自专栏Crossin的编程教室

新手程序员应该知道的7件事

资深软件开发人员分享的一些关于专业化编程的经验和教训,这些经验教训都是经过多年历练总结得出的。 如果你刚进入专业的软件开发世界,那么得益于在计算机科学和编程方面...

3117
来自专栏JAVA高级架构

一个架构师谈什么是架构以及怎么成为一个架构师

802
来自专栏人称T客

云计算可以退休了 看2016年9大企业技术趋势

企业技术在向前不断发展着,今年我们做出了9大重点企业技术趋势预测,其中大部分技术都包裹在云中。而这9大趋势分别是什么,又为什么会是这样呢? InfoWorld的...

2875
来自专栏携程技术中心

直播报名 | 携程三端通用框架中的CRN-WEB框架,6月28日晚8点

1273
来自专栏企鹅号快讯

云计算带给网络管理的八大改变

那些对云计算毫无兴趣的人把云计算看成是《回到未来》式的计算模式的翻版,即开着老爷车回到70年代那个“分时系统”全盛时期,远程租用过剩的计算资源。那时候,客户可以...

2699
来自专栏DevOps时代的专栏

首发!DevOps@BOC — 器用之道,如琢如磨

我来自中国银行软件中心的一个开发部门,中国银行软件中心从 2013年开始试点敏捷软件开发以及相关CI、CD等实践,而我们内部真正的提 DevOps 比这个要更晚...

1663
来自专栏云计算D1net

OpenStack第十四个版本及14项重要事实

就在上周,OpenStack社区公布了该项目的第十四个版本,即Newton。伴随着一系列新功能、修复与提升,Newton大多个层面迎来了升级。为了庆祝第十四个版...

4045
来自专栏带你撸出一手好代码

写在开发iOS应用之后

最近这段时间在做iOS开发。 我以前做过很多不同类型的软件, 可就是没有做过iOS的, 这其中的原因在于,开发iOS程序必须使用mac电脑, 而我对水果家的电脑...

3169

扫码关注云+社区

领取腾讯云代金券