Gartner公司建議具有安全意識的機構(gòu)轉(zhuǎn)換為基于容器的應(yīng)用程序交付模式,并表示該技術(shù)比在操作系統(tǒng)上運行的應(yīng)用程序要更安全。
Gartner分析師,Jeorg Fritsch在它的博客網(wǎng)上表示,“Gartner認(rèn)為在容器內(nèi)部署應(yīng)用程序比在操作系統(tǒng)上部署應(yīng)用程序的安全系數(shù)要高。情況就是這樣,即使容器以某種方式遭到攻擊,“它們也極大地限制了攻擊的危害,因為應(yīng)用程序和用戶被隔離在一個容器內(nèi),它們無法攻擊其它容器或主機操作系統(tǒng)?!?/p>
當(dāng)然,Gartner承認(rèn)容器遠未達到防篡改的程度。Fristch在他貼出的博文中承認(rèn),容器都背負(fù)著“與生俱來的安全特性,這使得它們極易受到內(nèi)核特權(quán)提升攻擊”,這也意味著它們是“高風(fēng)險保證隔離的最佳工具”。
就算如此,F(xiàn)ristch認(rèn)為,如果企業(yè)遵循“容器優(yōu)先”方案并且“不管是做CI/CD/DevOps,在具有最佳實踐安全性的Docker容器中部署網(wǎng)絡(luò)易受攻擊(internet-exposed)的應(yīng)用程序?!彼鼈兙湍軌虺浞掷肔inux容器所帶來的好處。
除此之外,企業(yè)還要知道,容器本身并不是一個神奇的安全解決方案。Docker容器必須正確利用它們所帶來的安全優(yōu)勢,即強化Docker所運行的主機,并充分利用來自第三方公司的容器安全解決方案。還有,管理邏輯安全區(qū)和網(wǎng)絡(luò)隔離,微服務(wù)路由也十分必要,這樣能夠安全與其它容器交互。最后,用戶還要掌握內(nèi)核控制以便確保他們的容器僅擁有訪問主機的內(nèi)核的權(quán)限。
“在Linux操作系統(tǒng)和容器中,每一個系統(tǒng)調(diào)用就是一次與內(nèi)核的直接交互,” Fritsch寫道。他指出這個內(nèi)核是“所有隔離功能所依賴的相同內(nèi)核?!?/p>