江苏龙网

  1. 首页 > 资讯 > 科技 > >

「容器」青藤云安全:容器安全的10层防护( 三 )


通常 , 应用程序很少是用一个容器交付的 。 即使是简单的应用程序 , 也通常具有前端、后端和数据库 。 在容器中部署基于微服务的现代应用程序意味着部署多个容器(有时在同一主机上 , 有时分布在多个主机或节点上) 。 在大规模管理容器部署时 , 需要考虑:
?应该将哪些容器部署到哪些主机上 。
?哪个主机的容量更大 。
?哪些容器需要相互访问 。 他们如何发现彼此?
?如何控制对共享资源(例如网络和存储)的访问和管理 。
?如何监视容器的运行状况 。
?如何自动扩展应用程序容量以满足需求 。
?如何在满足安全性要求的同时启用开发人员自助服务 。
API是大规模自动化容器管理的关键 。 API用于验证和配置Pod、服务和复制控制器的数据;对传入的请求执行项目验证;并调用在其它主要系统组件上触发器 。
API访问控制(身份验证和授权)对于保护容器平台至关重要 。 开发人员和管理员获得OAuth访问令牌 , 对API进行身份验证 。 管理员可以使用您选择的身份提供程序配置OAuth进行身份验证 , 包括LDAP目录 。
7.网络隔离
在容器中部署基于微服务的应用程序通常意味着在多个节点上部署多个容器 。 考虑到网络防御 , 需要采用一种方法 , 将一个集群内的应用程序彼此隔离开来 。
典型的公有云容器服务(例如Google容器引擎(GKE)、Azure容器服务或Amazon Web Services(AWS)容器服务)是都是单租户服务 。 为了实现容器多租户的安全 , 需要建立一个集群 , 并进行流量划分 , 隔离该集群中的不同用户、团队、应用程序和环境 。
通过使用网络命名空间 , 每个容器集合(称为“POD”)获得自己的IP和端口绑定范围 , 从而在节点上将pod网络彼此隔离 。 默认情况下 , 不同命名空间的Pod无法向其它项目的Pod和服务发送数据包或接收数据包 , 因此可以使用这些功能来隔离集群中的开发、测试和生产环境 。
但是 , IP地址和端口的激增使网络更加复杂 。 建议采用一些工具 , 来降低工作的复杂性 。 优先使用通过软件定义网络(SDN)来提供统一集群网络的容器平台 , 确保集群内容器之间的通信 。 还可以选择使用路由器或防火墙方法控制流量 , 这样就可以使用IP白名单来控制 , 例如数据库访问等功能 。
8.存储
容器对于无状态和有状态的应用程序都是有用的 。 保护的存储安全是确保有状态服务安全的关键要素 。
持久卷(PV)可以通过资源提供商支持的任何方式安装在主机上 。 提供商提供的功能可能不尽相同 , 并且每个PV的访问模式都将设置为该特定卷支持的特定模式 。 例如 , NFS可以支持多个读/写客户端 , 但是特定的NFS PV可能以只读方式在服务器上导出 。 每个PV都有自己的一组访问模式 , 描述了特定PV的功能 , 如ReadWriteOnce、ReadOnlyMany和ReadWriteMany 。
对于共享存储(NFS、Ceph、Gluster等) , 关键就在于让共享存储PV将其组ID(gid)标记为PV资源的注释 。 当Pod要求PV时 , 将带注释的gid添加到Pod的补充组中 , 并让该Pod可以访问共享存储的内容 。
对于块存储(EBS、GCE永久磁盘、iSCSI等) , 容器平台可以使用SELinux功能来保护非特权Pod的已安装卷的根权限 , 这样 , 已安装的卷就归该容器所有并且仅对与他相关的容器可见 。
9.API 管理、终端安全和单点登录(SSO)
保护应用程序安全包括管理应用程序以及API身份验证和授权 。 Web SSO功能是现代应用程序的一个关键部分 。 搭建容器平台时 , 要搭建客户端适配器 , 确保能够与Node.js等应用程序、基于LDAP的目录服务、以及社交服务商(例如谷歌、Facebook、twitter)集成 。
API是由微服务组成的应用程序的关键所在 。 这些应用程序具有多个独立的API服务 , 从而导致服务端点激增 , 这需要采用一些工具来进行治理 。 所有 API 平台都应该提供各种 API 认证和安全的标准选项 , 它们可以单独使用或组合使用 , 发布证书和控制访问 。 这些选项包括标准的 API 密钥、应用ID、密钥对和 OAuth 2.0 。


推荐阅读


上一篇:『企业』百胜智库业务共创会,与伊美源一起共建数智未来

下一篇:【iPad】iPad断货?转转平台数码行情:二手iPad和平板同样热销