江苏龙网

  1. 首页 > 资讯 > 科技 > >

「容器」青藤云安全:容器安全的10层防护

容器之所以具有广泛的吸引力 , 是因为容器可以让用户轻松地将应用程序及其所有依赖项打包到一个镜像中 , 无需更改即可从开发阶段进入测试和生产阶段 。 使用容器 , 可以更容易地确保在不同环境 , 例如物理服务器、虚拟机(VM)以及私有或公共云之间保持一致性 , 这有助于团队更快、更方便地开发和管理应用程序 。
但是所有将容器作为基础设施服务的人员 , 可能都有这样的疑虑:“容器安全吗?”、“我们可以信任容器中的应用程序吗?” 笔者认为确保容器安全就像保护任何正在运行的进程一样 。 在部署和运行容器之前 , 需要考虑容器方案各层技术栈的安全性 。 下文将系统地介绍容器解决方案不同层的10大安全问题 , 它们基本跨越了整个容器生命周期不同阶段 , 也是容器安全方案的10个关键安全要素 。
1.容器主机操作系统与多租户
容器可以让开发人员用一个单元构建、推广应用程序及其依赖项 。 容器还可以通过在共享主机上启用多租户应用程序部署 , 最大程度地利用服务器 。 因此 , 容器使用者可以在单个主机上部署多个应用程序 , 根据需要启动和关闭各个容器 。 与传统的虚拟化不同 , 容器方案不需要hypervisor , 更不需要在每个VM上单独部署操作系统 。 容器虚拟化的是应用程序进程 , 而不是硬件 , 所有容器共用一个主机操作系统 。
「容器」青藤云安全:容器安全的10层防护
图片

为了充分保护、利用这种封装和部署技术 , 安全团队需要确保容器运行在受保护的操作系统中 , 确保主机内核免受容器逃逸的侵害 , 并确保容器各自之间的安全 。
以Linux系统为例 , 容器本质上是具有隔离和资源限制的Linux?进程 , 是一个可以在共享主机内核上运行的沙箱应用程序 。 保护容器安全的方法应与保护Linux上任何正在运行的进程的方法相同 。 不使用特权这一点很重要 , 而且仍然是一个最佳保护方案 。 因此 , 在创建容器时授予最小权限 。 容器应以用户身份而不是root用户身份运行 , 并且要充分利用Linux中可用的多个安全级别 , 包括Linux命名空间、安全性增强Linux(SELinux)、Cgroup、capabilities机制和安全计算模式(seccomp)等是可用于保护Linux上运行的进程的五种安全性功能 。
?Linux命名空间:提供了容器隔离的基础 。 命名空间中的进程完全拥有自己的全局资源实例 。 命名空间提供了一种抽象概念 , 让容器中的应用就像在独立的操作系统上运行一般 。
?SELinux:提供了附加的安全层 , 让容器彼此之间相互隔离 , 并且与主机隔离 。 SELinux允许管理员对每个用户、应用程序、进程和文件强制执行强制访问控制(MAC) 。 SELinux就像一堵砖墙 , 如果有人设法破坏了命名空间 , SELinux会成为阻挡继续前进一堵墙 。
?Cgroup(控制组):限制、说明和隔离一组进程的资源使用情况(例如 , CPU、内存、磁盘I/O、网络) 。 使用Cgroups确保容器不会被同一主机上的另一个容器影响 。
?Capabilities机制:可用于锁定容器中的root权限 。 Capabilities模块是可以独立启用或禁用的独特特权单元 。 利用Capabilities模块 , 可以执行诸如发送原始IP数据包或绑定到1024以下的端口等操作 。
?安全计算模式(seccomp):可以使用它来限制容器内可用的操作 。
2.容器内容(使用可信源)
说到安全性 , 容器内部的内容至关重要 。 一段时间以来 , 应用程序和基础架构都是由现成的组件组成的 。 其中许多都是开源软件包 , 例如Linux操作系统、Apache Web Server、Red HatJBoss?企业应用程序平台、PostgreSQL和Node.js 。 这些软件包的容器化版本现在也可以随时使用 , 无需自己构建 。 但是 , 就像从外部来源下载的任何代码一样 , 使用者需要知道这些软件包的原始来源、构建者以及它们内部是否存在任何恶意代码 。 使用之前 , 必须确认以下问题答案:


推荐阅读


上一篇:『企业』百胜智库业务共创会,与伊美源一起共建数智未来

下一篇:【iPad】iPad断货?转转平台数码行情:二手iPad和平板同样热销