對很多企業(yè)來說，容器化相對VM而言，可以幫助企業(yè)更快更高效地發(fā)布穩(wěn)定的軟件。同時，容器引入了一種全新的部署模型，要求企業(yè)架構(gòu)師和安全專家重新思考保護(hù)應(yīng)用程序的方式。在RAS安全大會上，安全專家評估了安全實現(xiàn)容器化策略所需考慮的方面。

傳統(tǒng)安全工具在云環(huán)境上幾乎都不工作，終端安全供應(yīng)商Bromium的CTOSimon Crosby說，?，F(xiàn)在企業(yè)在討論的是圍繞容器的另外的抽象層。

企業(yè)可以按區(qū)域?qū)崿F(xiàn)安全管理，使用網(wǎng)絡(luò)和端點安全技術(shù)，Juniper Networks的安全VP和CTO，Chris Hoff說。但是市場越來越復(fù)雜，因為程序員越來越想像Amazon那樣工作。添加健壯的安全基礎(chǔ)架構(gòu)所需的流程，比如審計控制，核心控制和文檔工作，比起推送應(yīng)用程序和更新而言需要更多的時間。真正的挑戰(zhàn)在于云，DevOps和如今的容器化帶來的變革對于安全團(tuán)隊而言意味著更少的隔離。這在大型企業(yè)里尤其困難。

容器供應(yīng)商關(guān)注安全

企業(yè)嘗試更快得到更新，這樣的動態(tài)性帶來了新的問題。速度現(xiàn)在至關(guān)重要，Docker的產(chǎn)品SVP，Scott Johnston說。他正想將容器化技術(shù)應(yīng)用到財務(wù)服務(wù)領(lǐng)域，來幫助利用更好的交易算法幫助加快速度，更高效地解決客戶需求。云和移動廠商也正在快速引入微服務(wù)架構(gòu)來支持快速交付。

安全性是最重要的，防止欺詐和網(wǎng)絡(luò)攻擊。“我們意識到不可能不考慮安全性，”Johnston說。“幾乎Docker的每個版本都會添加安全方面的功能，幫助運(yùn)維團(tuán)隊更容易地在運(yùn)行時設(shè)定政策，幫助應(yīng)用開發(fā)人員開發(fā)出更安全的產(chǎn)品。”

Docker正在加大投資，改進(jìn)關(guān)閉Linux內(nèi)核功能的能力，允許運(yùn)維團(tuán)隊管理獨立于開發(fā)團(tuán)隊的安全政策。同時也在基礎(chǔ)架構(gòu)上投資巨大，創(chuàng)建互信鏈，顯示源代碼來源，誰編譯了代碼，誰完成了QA。“安全責(zé)任在開發(fā)和運(yùn)維兩邊，”Johnston說。

Microsoft也已經(jīng)宣布進(jìn)軍容器基礎(chǔ)架構(gòu)市場，可以在Azure和私有云上使用。同時正在研究新的安全模型，從而在私有、公開和混合云場景下保護(hù)容器，Microsoft的Azure CTO，Mark russinovich說。Drawbridge是Microsft的研究項目，創(chuàng)建擁有安全隔離范圍的容器來接管不信任的代碼。另外，他們的Haven原型在操作系統(tǒng)妥協(xié)時，幫助保護(hù)VM或者容器。

從網(wǎng)絡(luò)到應(yīng)用安全

當(dāng)應(yīng)用程序被部署并運(yùn)行數(shù)月或者數(shù)周時，應(yīng)該使用基于網(wǎng)絡(luò)的安全。但是當(dāng)轉(zhuǎn)向微服務(wù)架構(gòu)之后，事情變得更加動態(tài)，Docker的Johnston說。第一批微服務(wù)在單個服務(wù)器上部署，但是當(dāng)這些服務(wù)跨多個服務(wù)器和數(shù)據(jù)中心部署時事情就更加復(fù)雜了。

軟件定義的網(wǎng)絡(luò)(Software defined network，SDN)的功能，包括防火墻和路由器，被開發(fā)用來支持少量的VM。但是現(xiàn)在，微秒級內(nèi)成千上萬的容器就可能被創(chuàng)建。“我們不是嘗試將以前的安全模型應(yīng)用到容器上，”Johnston說。需要從應(yīng)用的角度考慮如何部署防火墻和負(fù)載均衡器。

對于企業(yè)而言，圍繞保護(hù)網(wǎng)絡(luò)而構(gòu)建安全模型是難度較大的轉(zhuǎn)型。Juniper的Hoff觀察到，對于可能都不了解VM的人，很難說服他們使用容器這一更為敏捷的基礎(chǔ)架構(gòu)。這不僅僅是安全和政策的考量。

以前，IT運(yùn)維團(tuán)隊會選擇所使用的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)安全工具?，F(xiàn)在則是DevOps選擇這些工具，并且確保這些工具可用，Microsoft的Russinovich說。傳統(tǒng)模型里，IT負(fù)責(zé)網(wǎng)絡(luò)安全，但是現(xiàn)在的模型與之十分不同。

教會安全團(tuán)隊寫代碼

今天的最后，容器化不僅僅是技術(shù)的升級。它還要求重新思考流程和工具。比如，當(dāng)ING銀行引入DevOps時，他們要求每個團(tuán)隊成員必須能編程，這將新應(yīng)用的開發(fā)周期從幾個月降低到幾天。安全團(tuán)隊也需要學(xué)會如何寫代碼。

云和虛擬化技術(shù)已經(jīng)存在了十幾年，但是容器化僅僅剛開始一年，Docker的Johnston說。在容器安全最佳實踐成熟之前可能也會需要另一個十幾年。