Gartner公司建議具有安全意識(shí)的機(jī)構(gòu)轉(zhuǎn)換為基于容器的應(yīng)用程序交付模式,并表示該技術(shù)比在操作系統(tǒng)上運(yùn)行的應(yīng)用程序要更安全。

Gartner分析師,Jeorg Fritsch在它的博客網(wǎng)上表示,“Gartner認(rèn)為在容器內(nèi)部署應(yīng)用程序比在操作系統(tǒng)上部署應(yīng)用程序的安全系數(shù)要高。情況就是這樣,即使容器以某種方式遭到攻擊,“它們也極大地限制了攻擊的危害,因?yàn)閼?yīng)用程序和用戶被隔離在一個(gè)容器內(nèi),它們無(wú)法攻擊其它容器或主機(jī)操作系統(tǒng)?!?/p>

當(dāng)然,Gartner承認(rèn)容器遠(yuǎn)未達(dá)到防篡改的程度。Fristch在他貼出的博文中承認(rèn),容器都背負(fù)著“與生俱來(lái)的安全特性,這使得它們極易受到內(nèi)核特權(quán)提升攻擊”,這也意味著它們是“高風(fēng)險(xiǎn)保證隔離的最佳工具”。

就算如此,F(xiàn)ristch認(rèn)為,如果企業(yè)遵循“容器優(yōu)先”方案并且“不管是做CI/CD/DevOps,在具有最佳實(shí)踐安全性的Docker容器中部署網(wǎng)絡(luò)易受攻擊(internet-exposed)的應(yīng)用程序?!彼鼈兙湍軌虺浞掷肔inux容器所帶來(lái)的好處。

除此之外,企業(yè)還要知道,容器本身并不是一個(gè)神奇的安全解決方案。Docker容器必須正確利用它們所帶來(lái)的安全優(yōu)勢(shì),即強(qiáng)化Docker所運(yùn)行的主機(jī),并充分利用來(lái)自第三方公司的容器安全解決方案。還有,管理邏輯安全區(qū)和網(wǎng)絡(luò)隔離,微服務(wù)路由也十分必要,這樣能夠安全與其它容器交互。最后,用戶還要掌握內(nèi)核控制以便確保他們的容器僅擁有訪問(wèn)主機(jī)的內(nèi)核的權(quán)限。

“在Linux操作系統(tǒng)和容器中,每一個(gè)系統(tǒng)調(diào)用就是一次與內(nèi)核的直接交互,” Fritsch寫(xiě)道。他指出這個(gè)內(nèi)核是“所有隔離功能所依賴的相同內(nèi)核。”

分享到

崔歡歡

相關(guān)推薦