Gartner公司建議具有安全意識的機構(gòu)轉(zhuǎn)換為基于容器的應(yīng)用程序交付模式,并表示該技術(shù)比在操作系統(tǒng)上運行的應(yīng)用程序要更安全。
Gartner分析師�����,Jeorg Fritsch在它的博客網(wǎng)上表示�����,“Gartner認(rèn)為在容器內(nèi)部署應(yīng)用程序比在操作系統(tǒng)上部署應(yīng)用程序的安全系數(shù)要高���。情況就是這樣���,即使容器以某種方式遭到攻擊,“它們也極大地限制了攻擊的危害�����,因為應(yīng)用程序和用戶被隔離在一個容器內(nèi)���,它們無法攻擊其它容器或主機操作系統(tǒng)����?!?/p>
當(dāng)然,Gartner承認(rèn)容器遠未達到防篡改的程度��。Fristch在他貼出的博文中承認(rèn)���,容器都背負(fù)著“與生俱來的安全特性�����,這使得它們極易受到內(nèi)核特權(quán)提升攻擊”�����,這也意味著它們是“高風(fēng)險保證隔離的最佳工具”���。
就算如此�����,F(xiàn)ristch認(rèn)為�,如果企業(yè)遵循“容器優(yōu)先”方案并且“不管是做CI/CD/DevOps���,在具有最佳實踐安全性的Docker容器中部署網(wǎng)絡(luò)易受攻擊(internet-exposed)的應(yīng)用程序����?���!彼鼈兙湍軌虺浞掷肔inux容器所帶來的好處�����。
除此之外,企業(yè)還要知道�����,容器本身并不是一個神奇的安全解決方案�����。Docker容器必須正確利用它們所帶來的安全優(yōu)勢���,即強化Docker所運行的主機����,并充分利用來自第三方公司的容器安全解決方案��。還有��,管理邏輯安全區(qū)和網(wǎng)絡(luò)隔離���,微服務(wù)路由也十分必要����,這樣能夠安全與其它容器交互。最后���,用戶還要掌握內(nèi)核控制以便確保他們的容器僅擁有訪問主機的內(nèi)核的權(quán)限�。
“在Linux操作系統(tǒng)和容器中�����,每一個系統(tǒng)調(diào)用就是一次與內(nèi)核的直接交互���,” Fritsch寫道�。他指出這個內(nèi)核是“所有隔離功能所依賴的相同內(nèi)核�����?��!?/p>
