對(duì)于許多企業(yè)來說，容器化使得釋放速度更快，比虛擬機(jī)更加有效率。與此同時(shí)，容器引入了新的部署模式，因此，企業(yè)架構(gòu)師和安全專家需要重新考慮：采取哪些方式來保證應(yīng)用程序的安全性。在RSA安全會(huì)議上，安全專家評(píng)估安全實(shí)施容器化策略該考慮哪些方面。

安全廠商Bromium的首席技術(shù)官Simon Crosby稱，傳統(tǒng)安全工具僅僅能在云中工作。目前，企業(yè)正在關(guān)注于容器的另一個(gè)抽象層。

Juniper Networks的安全副總裁和首席技術(shù)官Chris Hoff說，使用網(wǎng)絡(luò)和端點(diǎn)安全，保證了企業(yè)的區(qū)域安全性。同時(shí)，也出現(xiàn)了其它問題，比如說，亞馬遜程序員的工作量加大。添加一個(gè)完好的帶有審計(jì)控件、關(guān)鍵控件和文檔的安全基礎(chǔ)設(shè)施，需要超過幾個(gè)小時(shí)的時(shí)間，來推出應(yīng)用程序以及更新。真正的挑戰(zhàn)是轉(zhuǎn)換，云、DevOps以及目前的容器化意味著除了安全團(tuán)隊(duì)，還需要其它團(tuán)隊(duì)的配合。對(duì)大型企業(yè)來說，這是特別困難的。

容器廠商關(guān)注于安全

當(dāng)企業(yè)試圖更快地實(shí)現(xiàn)更新，這種動(dòng)態(tài)創(chuàng)建了一個(gè)新的摩擦層�，F(xiàn)在來說，速度是關(guān)鍵， Docker的SVP Product Scott Johnston說，他能預(yù)見到，金融服務(wù)行業(yè)容器化的速度在飛快增長，他們采用更好的交易算法，從而更有效地滿足客戶的需求。云計(jì)算和移動(dòng)公司也迅速走向微服務(wù)架構(gòu)，從而支持更快的交付速度。

安全性是需要考慮的最重要的因素，能夠防止欺詐和網(wǎng)絡(luò)攻擊�！拔覀円庾R(shí)到我們不能拋開安全，”Johnston說，“在安全方面，Docker一直以來都投入了大量的資金，為了使運(yùn)維團(tuán)隊(duì)更加便捷，包括應(yīng)用程序開發(fā)者運(yùn)行時(shí)間的策略，為了使得應(yīng)用程序更加安全�！�

Docker正在加大投資，來改善關(guān)閉Linux內(nèi)核的功能，或者允許運(yùn)維團(tuán)隊(duì)能夠管理安全策略，不需要開發(fā)人員的幫助。同時(shí)，在基礎(chǔ)設(shè)施方面，投入了相當(dāng)大的資金，來創(chuàng)建一條信任鏈，能夠顯示源代碼從哪里來，是誰編制的，以及QA是誰產(chǎn)生的。Johnston提到，“這是發(fā)展團(tuán)隊(duì)和運(yùn)營團(tuán)隊(duì)雙方共同的責(zé)任”。

微軟還宣布：取得的另一個(gè)突破是，容器基礎(chǔ)設(shè)施可以在Azure以及私有云中工作。微軟Azure首席技術(shù)官M(fèi)ark Russinovich說，目前，正在研究新的安全模型，來保證各種各樣的私人的、公共的以及混合云場(chǎng)景下容器的安全性。Drawbridge是微軟的一個(gè)研究項(xiàng)目，用來創(chuàng)建容器，采用很強(qiáng)的隔離邊界，從而來主導(dǎo)不受信任的代碼。此外，當(dāng)操作系統(tǒng)被破壞時(shí)，Havenprototype有助于保護(hù)VM或容器。

從網(wǎng)絡(luò)到應(yīng)用安全的轉(zhuǎn)變

當(dāng)提供的應(yīng)用程序運(yùn)行數(shù)月或數(shù)周，基于網(wǎng)絡(luò)的安全是很重要的。但是，Docker的Johnston說，隨著微服務(wù)的發(fā)展，事情變得更加動(dòng)態(tài)。第一批微服務(wù)供應(yīng)在一個(gè)單獨(dú)的服務(wù)器，但是，隨著部署這些集合的組織跨多個(gè)服務(wù)器和數(shù)據(jù)中心，變得越來越復(fù)雜。

軟件定義網(wǎng)絡(luò)(SDN)功能，包括防火墻和路由器，已經(jīng)被開發(fā)，用來支持少數(shù)的虛擬機(jī)。但是，目前為止，成千上萬的容器僅存在毫秒。Johnston說，“昨天的安全模型僅僅適用于昨天的容器”。這種新方法需要考慮：如何提供防火墻和應(yīng)用程序負(fù)載平衡器。

對(duì)組織來說，這可能是一個(gè)艱難的轉(zhuǎn)變，建立一個(gè)安全模型來保證網(wǎng)絡(luò)安全性。Juniper的Hoff發(fā)現(xiàn)，那些甚至不知道如何拼寫VM的人，如果讓他們來提供關(guān)于如何隔離這種更敏捷基礎(chǔ)設(shè)施的建議，是非常困難的。盡管這是合規(guī)的，但這真的不是關(guān)于安全和政策討論。

微軟的Russinovich說，過去，IT運(yùn)作團(tuán)隊(duì)會(huì)選擇使用什么樣的網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全工具�，F(xiàn)在，由DevOps來選擇這些工具，并確保這些工具是可用的。傳統(tǒng)模式是：IT負(fù)責(zé)網(wǎng)絡(luò)安全，但是，這個(gè)模型是很不一樣的。

教安全團(tuán)隊(duì)來編代碼

總的來說，容器化不僅僅是一個(gè)技術(shù)的轉(zhuǎn)變。還需要反思的過程和工具。例如，ING銀行采用DevOps，他們要求每個(gè)團(tuán)隊(duì)成員都應(yīng)該是一個(gè)程序員，新應(yīng)用的周期時(shí)間從幾個(gè)月減少到幾天。安全團(tuán)隊(duì)將不得不學(xué)習(xí)如何編程。

Docker的Johnston提到，云計(jì)算和虛擬化實(shí)現(xiàn)技術(shù)已經(jīng)存在了十年，而容器化僅僅才開始了一年。可能還需要一個(gè)十年，容器化的安全實(shí)踐才能完全迎頭趕上。

在不久的將來，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來！

標(biāo)簽： linux 安全 大數(shù)據(jù) 代碼 防火墻 服務(wù)器 金融 開發(fā)者 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全性 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。