对很多企业来说，容器化相对VM而言，可以帮助企业更快更高效地发布稳定的软件。同时，容器引入了一种全新的部署模型，要求企业架构师和安全专家重新思考保护应用程序的方式。在RAS安全大会上，安全专家评估了安全实现容器化策略所需考虑的方面。

传统安全工具在云环境上几乎都不工作，终端安全供应商Bromium的CTOSimon Crosby说，。现在企业在讨论的是围绕容器的另外的抽象层。

企业可以按区域实现安全管理，使用网络和端点安全技术，Juniper Networks的安全VP和CTO，Chris Hoff说。但是市场越来越复杂，因为程序员越来越想像Amazon那样工作。添加健壮的安全基础架构所需的流程，比如审计控制，核心控制和文档工作，比起推送应用程序和更新而言需要更多的时间。真正的挑战在于云，DevOps和如今的容器化带来的变革对于安全团队而言意味着更少的隔离。这在大型企业里尤其困难。

容器供应商关注安全

企业尝试更快得到更新，这样的动态性带来了新的问题。速度现在至关重要，Docker的产品SVP，Scott Johnston说。他正想将容器化技术应用到财务服务领域，来帮助利用更好的交易算法帮助加快速度，更高效地解决客户需求。云和移动厂商也正在快速引入微服务架构来支持快速交付。

安全性是最重要的，防止欺诈和网络攻击。“我们意识到不可能不考虑安全性，”Johnston说。“几乎Docker的每个版本都会添加安全方面的功能，帮助运维团队更容易地在运行时设定政策，帮助应用开发人员开发出更安全的产品。”

Docker正在加大投资，改进关闭Linux内核功能的能力，允许运维团队管理独立于开发团队的安全政策。同时也在基础架构上投资巨大，创建互信链，显示源代码来源，谁编译了代码，谁完成了QA。“安全责任在开发和运维两边，”Johnston说。

Microsoft也已经宣布进军容器基础架构市场，可以在Azure和私有云上使用。同时正在研究新的安全模型，从而在私有、公开和混合云场景下保护容器，Microsoft的Azure CTO，Mark russinovich说。Drawbridge是Microsft的研究项目，创建拥有安全隔离范围的容器来接管不信任的代码。另外，他们的Haven原型在操作系统妥协时，帮助保护VM或者容器。

从网络到应用安全

当应用程序被部署并运行数月或者数周时，应该使用基于网络的安全。但是当转向微服务架构之后，事情变得更加动态，Docker的Johnston说。第一批微服务在单个服务器上部署，但是当这些服务跨多个服务器和数据中心部署时事情就更加复杂了。

软件定义的网络（Software defined network，SDN）的功能，包括防火墙和路由器，被开发用来支持少量的VM。但是现在，微秒级内成千上万的容器就可能被创建。“我们不是尝试将以前的安全模型应用到容器上，”Johnston说。需要从应用的角度考虑如何部署防火墙和负载均衡器。

对于企业而言，围绕保护网络而构建安全模型是难度较大的转型。Juniper的Hoff观察到，对于可能都不了解VM的人，很难说服他们使用容器这一更为敏捷的基础架构。这不仅仅是安全和政策的考量。

以前，IT运维团队会选择所使用的网络和基础架构安全工具。现在则是DevOps选择这些工具，并且确保这些工具可用，Microsoft的Russinovich说。传统模型里，IT负责网络安全，但是现在的模型与之十分不同。

教会安全团队写代码

今天的最后，容器化不仅仅是技术的升级。它还要求重新思考流程和工具。比如，当ING银行引入DevOps时，他们要求每个团队成员必须能编程，这将新应用的开发周期从几个月降低到几天。安全团队也需要学会如何写代码。

云和虚拟化技术已经存在了十几年，但是容器化仅仅刚开始一年，Docker的Johnston说。在容器安全最佳实践成熟之前可能也会需要另一个十几年。