对于许多企业来说,容器化使得释放速度更快,比虚拟机更加有效率。与此同时,容器引入了新的部署模式,因此,企业架构师和安全专家需要重新考虑:采取哪些方式来保证应用程序的安全性。在RSA安全会议上,安全专家评估安全实施容器化策略该考虑哪些方面。
安全厂商Bromium的首席技术官Simon Crosby称,传统安全工具仅仅能在云中工作。目前,企业正在关注于容器的另一个抽象层。
Juniper Networks的安全副总裁和首席技术官Chris Hoff说,使用网络和端点安全,保证了企业的区域安全性。同时,也出现了其它问题,比如说,亚马逊程序员的工作量加大。添加一个完好的带有审计控件、关键控件和文档的安全基础设施,需要超过几个小时的时间,来推出应用程序以及更新。真正的挑战是转换,云、DevOps以及目前的容器化意味着除了安全团队,还需要其它团队的配合。对大型企业来说,这是特别困难的。
容器厂商关注于安全
当企业试图更快地实现更新,这种动态创建了一个新的摩擦层。现在来说,速度是关键, Docker的SVP Product Scott Johnston说,他能预见到,金融服务行业容器化的速度在飞快增长,他们采用更好的交易算法,从而更有效地满足客户的需求。云计算和移动公司也迅速走向微服务架构,从而支持更快的交付速度。
安全性是需要考虑的最重要的因素,能够防止欺诈和网络攻击。“我们意识到我们不能抛开安全,”Johnston说,“在安全方面,Docker一直以来都投入了大量的资金,为了使运维团队更加便捷,包括应用程序开发者运行时间的策略,为了使得应用程序更加安全。”
Docker正在加大投资,来改善关闭Linux内核的功能,或者允许运维团队能够管理安全策略,不需要开发人员的帮助。同时,在基础设施方面,投入了相当大的资金,来创建一条信任链,能够显示源代码从哪里来,是谁编制的,以及QA是谁产生的。Johnston提到,“这是发展团队和运营团队双方共同的责任”。
微软还宣布:取得的另一个突破是,容器基础设施可以在Azure以及私有云中工作。微软Azure首席技术官Mark Russinovich说,目前,正在研究新的安全模型,来保证各种各样的私人的、公共的以及混合云场景下容器的安全性。Drawbridge是微软的一个研究项目,用来创建容器,采用很强的隔离边界,从而来主导不受信任的代码。此外,当操作系统被破坏时,Havenprototype有助于保护VM或容器。
从网络到应用安全的转变
当提供的应用程序运行数月或数周,基于网络的安全是很重要的。但是,Docker的Johnston说,随着微服务的发展,事情变得更加动态。第一批微服务供应在一个单独的服务器,但是,随着部署这些集合的组织跨多个服务器和数据中心,变得越来越复杂。
软件定义网络(SDN)功能,包括防火墙和路由器,已经被开发,用来支持少数的虚拟机。但是,目前为止,成千上万的容器仅存在毫秒。Johnston说,“昨天的安全模型仅仅适用于昨天的容器”。这种新方法需要考虑:如何提供防火墙和应用程序负载平衡器。
对组织来说,这可能是一个艰难的转变,建立一个安全模型来保证网络安全性。Juniper的Hoff发现,那些甚至不知道如何拼写VM的人,如果让他们来提供关于如何隔离这种更敏捷基础设施的建议,是非常困难的。尽管这是合规的,但这真的不是关于安全和政策讨论。
微软的Russinovich说,过去,IT运作团队会选择使用什么样的网络和基础设施安全工具。现在,由DevOps来选择这些工具,并确保这些工具是可用的。传统模式是:IT负责网络安全,但是,这个模型是很不一样的。
教安全团队来编代码
总的来说,容器化不仅仅是一个技术的转变。还需要反思的过程和工具。例如,ING银行采用DevOps,他们要求每个团队成员都应该是一个程序员,新应用的周期时间从几个月减少到几天。安全团队将不得不学习如何编程。
Docker的Johnston提到,云计算和虚拟化实现技术已经存在了十年,而容器化仅仅才开始了一年。可能还需要一个十年,容器化的安全实践才能完全迎头赶上。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Microsoft Azure安全中心之旅
随着公有云平台的成熟,全新的安全工具和服务随之涌现。比如,Microsoft Azure安全中心——Azure平台内的一个服务,帮助用户预防、检测并且回应所有云资源的安全威胁。
-
预防对云应用的勒索软件威胁:备份、安全工具来帮忙
赎金费用——已从IT界中很少见的小概率事件发展成为企业用户面临不断增长的巨大威胁。勒索软件只使用攻击者拥有的密钥进行文件加密,这使得受害企业无法破解之。
-
影子IT对抗赛:云安全工具仅是成功的一半
如果你觉得你所在的企业没有影子IT问题,那么你就是在否定现实。即时你觉得你知道整个的范围,你也没法单独用云安全工具来控制。