对很多企业来说,容器化相对VM而言,可以帮助企业更快更高效地发布稳定的软件。同时,容器引入了一种全新的部署模型,要求企业架构师和安全专家重新思考保护应用程序的方式。在RAS安全大会上,安全专家评估了安全实现容器化策略所需考虑的方面。
传统安全工具在云环境上几乎都不工作,终端安全供应商Bromium的CTOSimon Crosby说,。现在企业在讨论的是围绕容器的另外的抽象层。
企业可以按区域实现安全管理,使用网络和端点安全技术,Juniper Networks的安全VP和CTO,Chris Hoff说。但是市场越来越复杂,因为程序员越来越想像Amazon那样工作。添加健壮的安全基础架构所需的流程,比如审计控制,核心控制和文档工作,比起推送应用程序和更新而言需要更多的时间。真正的挑战在于云,DevOps和如今的容器化带来的变革对于安全团队而言意味着更少的隔离。这在大型企业里尤其困难。
容器供应商关注安全
企业尝试更快得到更新,这样的动态性带来了新的问题。速度现在至关重要,Docker的产品SVP,Scott Johnston说。他正想将容器化技术应用到财务服务领域,来帮助利用更好的交易算法帮助加快速度,更高效地解决客户需求。云和移动厂商也正在快速引入微服务架构来支持快速交付。
安全性是最重要的,防止欺诈和网络攻击。“我们意识到不可能不考虑安全性,”Johnston说。“几乎Docker的每个版本都会添加安全方面的功能,帮助运维团队更容易地在运行时设定政策,帮助应用开发人员开发出更安全的产品。”
Docker正在加大投资,改进关闭Linux内核功能的能力,允许运维团队管理独立于开发团队的安全政策。同时也在基础架构上投资巨大,创建互信链,显示源代码来源,谁编译了代码,谁完成了QA。“安全责任在开发和运维两边,”Johnston说。
Microsoft也已经宣布进军容器基础架构市场,可以在Azure和私有云上使用。同时正在研究新的安全模型,从而在私有、公开和混合云场景下保护容器,Microsoft的Azure CTO,Mark russinovich说。Drawbridge是Microsft的研究项目,创建拥有安全隔离范围的容器来接管不信任的代码。另外,他们的Haven原型在操作系统妥协时,帮助保护VM或者容器。
从网络到应用安全
当应用程序被部署并运行数月或者数周时,应该使用基于网络的安全。但是当转向微服务架构之后,事情变得更加动态,Docker的Johnston说。第一批微服务在单个服务器上部署,但是当这些服务跨多个服务器和数据中心部署时事情就更加复杂了。
软件定义的网络(Software defined network,SDN)的功能,包括防火墙和路由器,被开发用来支持少量的VM。但是现在,微秒级内成千上万的容器就可能被创建。“我们不是尝试将以前的安全模型应用到容器上,”Johnston说。需要从应用的角度考虑如何部署防火墙和负载均衡器。
对于企业而言,围绕保护网络而构建安全模型是难度较大的转型。Juniper的Hoff观察到,对于可能都不了解VM的人,很难说服他们使用容器这一更为敏捷的基础架构。这不仅仅是安全和政策的考量。
以前,IT运维团队会选择所使用的网络和基础架构安全工具。现在则是DevOps选择这些工具,并且确保这些工具可用,Microsoft的Russinovich说。传统模型里,IT负责网络安全,但是现在的模型与之十分不同。
教会安全团队写代码
今天的最后,容器化不仅仅是技术的升级。它还要求重新思考流程和工具。比如,当ING银行引入DevOps时,他们要求每个团队成员必须能编程,这将新应用的开发周期从几个月降低到几天。安全团队也需要学会如何写代码。
云和虚拟化技术已经存在了十几年,但是容器化仅仅刚开始一年,Docker的Johnston说。在容器安全最佳实践成熟之前可能也会需要另一个十几年。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
云计算支持数据微服务—也适用于内部部署系统
云架构即将进入数据中心,这应该不会太令人吃惊。即使它们困在企业内部,随着数据微服务的发展,现在的企业架构师也会 […]
-
数字化转型:如何更好地利用API和微服务
API,即应用程序编程接口,它提供给应用程序、开发人员访问其它应用的能力,而又无需访问源码,无需理解内部工作机制细节;简单地说,API就是实现应用与应用连接的一种隐形的桥梁。
-
获Kubernetes社区技术委员会席位:技术实力是华为最大的筹码
2017年,可谓是Kubernetes技术元年:开发者开始认识它,技术服务商开始研究它。我们看到,Kubernetes一经出世,就受到了各大巨头及初创公司的青睐,如微软、VMWare、红帽、CoreOS、Mesos等。
-
企业数字化转型:容器需纳入到发展路线图
容器技术能够帮助企业尝试实现数字化转型,但是这样做也不是无懈可击的。专家Christopher Tozzi在这里与我们分享了需要询问的正确问题。