軟件容器無疑正處于上升期的，開發(fā)人員在構(gòu)建更高效且能迅速帶到市場的原生云應(yīng)用程序時，更會看重容器所提供的靈活性。同時由于容器所帶來的資源利用率的提高，也有益于提高生產(chǎn)力，降低成本。有些人認為，容器的安全性低于部署虛擬機(VM)，但在適當(dāng)?shù)膶崿F(xiàn)中，容器可以提供更安全的環(huán)境。網(wǎng)絡(luò)安全是一個復(fù)雜的問題，但業(yè)內(nèi)人士都在致力于開發(fā)所需的工具和流程來解決這個問題。

此外，容器和VM不是非此即彼的命題。如果你愿意，也可以將容器部署到虛擬機上，或使用像英特爾Clear容器或開源Hyper這樣的技術(shù)去實現(xiàn)一個兩全其美的方案：同時具備VM的隔離性與容器的靈活性。

容器和分布式系統(tǒng)帶來了一個進展，使得靈活性與速度超過了傳統(tǒng)流程。而越遲應(yīng)用的企業(yè)，競爭力則會越弱。一旦你決定遷移到容器部署，還要確保采取了適當(dāng)?shù)霓k法步驟去保護你的基礎(chǔ)設(shè)施。

這里有5個最佳的辦法，可保護你的分布式系統(tǒng)：

1、使用一個輕量級的Linux操作系統(tǒng)

一個輕量級的操作系統(tǒng)，除了其他的收益外，也降低了表面的易受攻擊性。這也使得應(yīng)用更新容易得多，因為操作系統(tǒng)更新與應(yīng)用程序不掛鉤，而且更新后重新啟動會花費更少的時間。

2、保持所有圖像是最新的

保持所有圖像是最新的，確保它們被打補丁，以防止最新的漏洞利用。實現(xiàn)這一目標的最好方法是使用一個集中的存儲庫來幫助進行版本控制。通過使用版本號標記每個容器，更新會更容易管理。容器本身也持有自己的依賴性，需要維護。

3、自動安全更新

自動更新能確保補丁很快應(yīng)用于基礎(chǔ)設(shè)施，將發(fā)布補丁與應(yīng)用于生產(chǎn)之間的時間間隔最小化。解耦的容器可以相互獨立更新，并且可以遷移到另一個主機，如果主機操作系統(tǒng)需要更新的話。無需為基礎(chǔ)設(shè)施安全更新會影響你堆棧的其他部分而擔(dān)心。

4、掃描容器圖像排 除潛在缺陷

有很多工具可以幫助你做到這一點。這些工具會對比容器的已知漏洞列表，且會對你進行提醒，無論它們是探測到了一些可能會影響你容器啟動的舊漏洞還是發(fā)現(xiàn)了一個會影響你容器運行的新漏洞。

5、不要在容器中運行無關(guān)的面向網(wǎng)絡(luò)的服務(wù)

不在容器中運行Secure Shell(SSH)被認為是最好的做法——對容器訪問而言，編排API通常會有更好的訪問控制。一個好的經(jīng)驗法則是，如果你不希望個人容器執(zhí)行日常維護任務(wù)，就不要允許任何登錄訪問。相對于VM來說，設(shè)計一個生命更短的容器也是一個好辦法，它可以確保每個生命周期都能夠獲得最新的安全性能。

容器領(lǐng)域的安全會繼續(xù)發(fā)展。通過上文中概述的5個最佳辦法，我希望能有助于消除容器不安全的言論，幫助企業(yè)更好地利用容器所帶來的生產(chǎn)力，同時盡可能保證安全。

標簽： 軟件容器 云應(yīng)用 安全性 網(wǎng)絡(luò)安全 英特爾 分布式系統(tǒng) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。