Gartner公司建議具有安全意識(shí)的機(jī)構(gòu)轉(zhuǎn)換為基于容器的應(yīng)用程序交付模式���,并表示該技術(shù)比在操作系統(tǒng)上運(yùn)行的應(yīng)用程序要更安全��。
Gartner分析師���,Jeorg Fritsch在它的博客網(wǎng)上表示,“Gartner認(rèn)為在容器內(nèi)部署應(yīng)用程序比在操作系統(tǒng)上部署應(yīng)用程序的安全系數(shù)要高���。情況就是這樣�,即使容器以某種方式遭到攻擊����,“它們也極大地限制了攻擊的危害,因?yàn)閼?yīng)用程序和用戶被隔離在一個(gè)容器內(nèi)���,它們無(wú)法攻擊其它容器或主機(jī)操作系統(tǒng)�?����!?/p>
當(dāng)然����,Gartner承認(rèn)容器遠(yuǎn)未達(dá)到防篡改的程度���。Fristch在他貼出的博文中承認(rèn),容器都背負(fù)著“與生俱來(lái)的安全特性����,這使得它們極易受到內(nèi)核特權(quán)提升攻擊”,這也意味著它們是“高風(fēng)險(xiǎn)保證隔離的最佳工具”���。
就算如此�����,F(xiàn)ristch認(rèn)為����,如果企業(yè)遵循“容器優(yōu)先”方案并且“不管是做CI/CD/DevOps����,在具有最佳實(shí)踐安全性的Docker容器中部署網(wǎng)絡(luò)易受攻擊(internet-exposed)的應(yīng)用程序���?��!彼鼈兙湍軌虺浞掷肔inux容器所帶來(lái)的好處�。
除此之外��,企業(yè)還要知道����,容器本身并不是一個(gè)神奇的安全解決方案。Docker容器必須正確利用它們所帶來(lái)的安全優(yōu)勢(shì)��,即強(qiáng)化Docker所運(yùn)行的主機(jī)���,并充分利用來(lái)自第三方公司的容器安全解決方案����。還有����,管理邏輯安全區(qū)和網(wǎng)絡(luò)隔離,微服務(wù)路由也十分必要�,這樣能夠安全與其它容器交互。最后�����,用戶還要掌握內(nèi)核控制以便確保他們的容器僅擁有訪問(wèn)主機(jī)的內(nèi)核的權(quán)限。
“在Linux操作系統(tǒng)和容器中�,每一個(gè)系統(tǒng)調(diào)用就是一次與內(nèi)核的直接交互,” Fritsch寫(xiě)道���。他指出這個(gè)內(nèi)核是“所有隔離功能所依賴的相同內(nèi)核���。”
