摘要:隔离使用容器,内核被设计为在主机上的容器之间提供隔离。对于而言,如果应用程序受到威胁,这将降低攻击向量对系统其他部分的影响。月日,北京海航万豪酒店,容器技术大会即将举行。
每当一项新的软件技术出现,InfoSec团队都会有点焦虑。理由是他们的工作是评估和降低风险——而新软件引入了一些未知变量,这些变量等同于企业的额外风险。对新的、不断演进的和复杂的技术做出判断是一项艰难的工作,这些团队克服重重疑虑接受未知的新技术值得赞赏。
这篇文章旨在呼吁世界范围内的InfoSec人士对容器的出现持乐观态度。有些人认为容器=不安全,其实,容器在安全性方面反而具有先天的优势:
不变性在一个典型的生产环境中,你的服务器上有一系列的管理状态,包括系统镜像、配置管理(CM)和部署工具。 系统的最终状态是非常动态的(特别是对于CM工具),库和包往往基于各种runtime变量。以下是一些可能会出现问题的例子:
你在你的主机上运行的 openssl 版本可能会因你使用的操作系统而异,你的 rhel 6 主机可能有一个版本,而使用不同补丁版本的Ubuntu主机则有不同的版本。即使是这些细微的差异也可以产生明显的影响,并导致近期的OpenSSL漏洞(如Heartbleed)。
如果你没有不同的操作系统,那么如果你在一个特定的主机上运行的CM工具遇到了一个bug,并且在它能够确保包版本(假设你已经定义了显式版本!)之前,会发生什么?现在的情况是,一个过时的软件包在被注意到之前将会一直存在在系统中。在小环境下, 在CM成功运行中, 你可能有一个良好的脉冲, 但在有着数以千计的主机的复杂的大环境中,因为你不了解或者无法解决这些问题,将会有一些主机, 你无法保证它们的一致性。在此环境中,这种缺少确定性的状态会导致对库存和 CVE扫描技术的需求。
这就是容器提供的额外优势。由于容器镜像的不可变性,我可以在部署之前了解runtime的状态。这为我提供了一个点来检查和理解runtime状态。在构建过程中对已知的CVE和其他漏洞进行一次扫描,并在部署之前捕获风险,这比不断地对系统中部署的每个运行库进行清点要容易得多。
隔离使用容器,Linux 内核被设计为在主机上的容器之间提供隔离。它允许每个进程与其相邻的进程具有不同的runtime。对于InfoSec而言,如果应用程序受到威胁,这将降低攻击向量对系统其他部分的影响。虽然这种划分不严密,但目前还没有一个真正安全的机制。
开发人员和应用团队易于上手最后,还有一个原因应该能吸引InfoSec,因为开发人员和应用团队共享的优势,比起仅使用安全性的工具,你可以更容易获得上述所有优点。没有一个安全组织能够在真空中运作,即使是最安全的组织也需要平衡控制和生产率。但是,当你的解决方案同时满足这两个要求时,采用容器并证明所需资源的阻力非常小。尽管这听起来似乎是一个不应该存在的悖论,但在某种程度上可以提高灵活性和容器的安全性。
结论我希望这篇文章中的观点,能鼓励你进一步探索和了解一下容器技术能如何提高组织机构IT系统的安全性,若你的团队能(哪怕只是在内部)讨论一下是否可将容器技术用于生产环境,那就更好不过了。一如既往地,Rancher团队将助你开启你的容器之旅——加入官方微信交流群与我们联系,在Rancher Blog上查看更多技术文章;如果你准备好与我们展开更详细的讨论,还可以在官网上预约一次demo。
9月27日,北京海航万豪酒店,容器技术大会Container Day 2017即将举行。
CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐!
11家已容器落地企业,15位真·云计算大咖,13场纯·技术演讲,结合实战场景,聚焦落地经验。免费参会+超高规格,详细议程及注册链接请戳
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/11279.html
摘要:隔离使用容器,内核被设计为在主机上的容器之间提供隔离。对于而言,如果应用程序受到威胁,这将降低攻击向量对系统其他部分的影响。月日,北京海航万豪酒店,容器技术大会即将举行。 每当一项新的软件技术出现,InfoSec团队都会有点焦虑。理由是他们的工作是评估和降低风险——而新软件引入了一些未知变量,这些变量等同于企业的额外风险。对新的、不断演进的和复杂的技术做出判断是一项艰难的工作,这些团队...
摘要:全球云计算厂商躬身入局,开启现代化应用之旅事实上,包括亚马逊云科技华为云在内的全球云计算厂商已在这一领域进行了多年实践。过去年,亚马逊云科技一直在持续不断地突破很多现代化应用技术。年,亚马逊云科技发布第一个消息队列的服务,至今已有年历史。 2006年,是云计算滚滚浪潮的开端,这场IT技术变革始于亚马逊AWS的成立,它让公有云成为整个云行业的标杆,也形成了...
摘要:具体技术细节的补充中国人寿两朵云的最底层的容器调度与管理都是使用了平台。决定采纳容器拥抱,对整个中国人寿而言都是一次重大的变革。对中国人寿这样的传统金融企业而言,上一个并不容易。 6月28日,Rancher Labs在北京举办了Container Day 2018容器技术大会。在大会上,Rancher Labs CEO及联合创始人梁胜博士、中国人寿研发中心开发五部副总经理王川、技术处高...
摘要:目前,亚太地区的组织机构每周会遭受起攻击。实施必要的程序以防止和战胜勒索软件攻击对任何企业而言都至关重要,中小企业尤为如此。鉴于市场对更完善的勒索软件实践简化的业务流程以及业务敏捷性的需求不断增长,中小企业及其人员越来越青睐。在仅仅一年多的时间里,新冠疫情给所有公司的经营方式都带来了以往数年才能发生的改变。据麦肯锡报道,各企业已提前三到四年开始部署客户和供应链互动以及内部运营的数字化进程。但...
由于容器虚拟化技术可以充分利用硬件资源,对于开发团队就像梦想照进了现实。尽管容器化没有推翻虚拟机在企业应用开发和部署上的地位,但是Docker等工具在实现开发、测试和部署大规模现代软件的速度和敏捷性方面大展身手。Docker容器具有诸多优点:无需复杂的hypervisor、可移植性、资源隔离性、轻量级、开放标准、完美适应微服务架构。众多的应用通过容器隔离起来,相互独立地运行在同一台宿主机上,哪家公...
阅读 847·2021-10-27 14:15
阅读 2611·2021-10-25 09:45
阅读 1788·2021-09-02 09:45
阅读 3175·2019-08-30 15:55
阅读 1678·2019-08-29 16:05
阅读 3029·2019-08-28 18:13
阅读 3015·2019-08-26 13:58
阅读 333·2019-08-26 12:01
