容器安全平臺2.0的發布，旨在進一步輔助應用容器流量隔離和添加對秘密管理的新支持。

容器技術已提供了多種形式的隔離來保證應用工作負載安全與隔離。Aqua Security 首席技術官兼共同創始人阿米爾·杰爾比稱，額外的隔離是必要的，也就是其公司如今發布的容器安全平臺(CSP)2.0。

Aqua Security 在2016年5月率先發布了CSP，號稱可以掃描容器內的已知和未知安全問題。隨著新的2.0版本發布，Aqua展現的是其稱為“納米隔離”的容器隔離和整體安全提升能力。

納米隔離就是創建區域的能力，有了這個能力，我們就能確保容器的通信范圍限定在區域之內。

區域可被定義為容器到容器的通信，運行在同一臺主機系統或在不同機器上都可以。區域也可擴展至定義非基于容器的服務。比如說，未必需要運行在容器中的外連數據庫應用容器工作負載。

“我們可以自動創建動態區域，確保容器僅能與指定區域內的成員進行通信。”

包括Docker在內的容器技術，已經具備了各種各樣的隔離能力，從Linux上的用戶名字空間控制，到以seccomp實現的策略驅動控制。Seccomp是集成到Linux內核主線的一項技術，提供細粒度的安全控制。用戶名字空間可為Docker上運行的單個應用和進程提供可見性與控制。另外，從聯網角度出發，不同組的容器可用軟件定義聯網(SDN)策略進行隔離。

杰爾比評價道，在理想世界，所有IT工作負載都將通過容器提供，只不過，當前現實情況尚未達到而已。現有容器的安全隔離能力大部分是特定于容器部署的，而非仍屬于應用投送過程一部分的其他非容器元素。

“我們提供必要的安全控制，以確保容器只能連接授權服務。”

從聯網角度，Aqua的CSP運行在容器主機操作系統上，連接網橋或重疊網絡。有了網絡可見性，CSP便能檢查容器的所有進出流量，以便進行決策。策略會基于所觀測到的容器行為自動創建。

我們的方法是零接觸的，用戶無需創建任何東西，不用定義任何策略語言。我們在幕后定義了所有的容器互動，并能呈現給用戶。

容器的潛在安全風險之一，就是特定流氓容器應用可以從隔離環境中“逃逸”，攻擊系統中的其他服務。Aqua的技術不僅僅查找已知漏洞，而是探查映射給定容器的已知良好行為。如果容器做了什么不正常的動作，CSP就會封鎖該動作。

秘密

CSP 2.0 的新功能，還包括了與Hashicorp的開源秘密管理技術Vault的集成。在Linux容器環境中，秘密被定義為出于安全考慮而應保持私密的項，比如口令、安全密鑰和訪問令牌。Vault項目于2015年5月啟動，逐漸成為流行秘密管理工具。

Docker自身也有秘密管理API，最近在1月20號發布的 Docker 1.13 版中有了改善。Aqua的技術目前尚未直接與Docker的原生秘密管理技術集成。

容器安全技術市場有多家廠商在競爭，包括Docker、CoreOS和Twistlock等等。杰爾比相信，自己的公司因其廣闊的視角和納米隔離，而鶴立于其他公司之間。展望未來，Aqua的計劃是，與Kubernetes等容器編配平臺進行更好的集成，擴展CSP。

容器安全最初的關注點，在于漏洞掃描。我們現在關心的，是以自動化的方式保護用戶部署的運行時和工作負載。