對很多企業(yè)來說,容器化相對VM而言,可以幫助企業(yè)更快更高效地發(fā)布穩(wěn)定的軟件。同時,容器引入了一種全新的部署模型,要求企業(yè)架構(gòu)師和安全專家重新思考保護(hù)應(yīng)用程序的方式。在RAS安全大會上,安全專家評估了安全實現(xiàn)容器化策略所需考慮的方面。
傳統(tǒng)安全工具在云環(huán)境上幾乎都不工作,終端安全供應(yīng)商Bromium的CTOSimon Crosby說,?,F(xiàn)在企業(yè)在討論的是圍繞容器的另外的抽象層。
企業(yè)可以按區(qū)域?qū)崿F(xiàn)安全管理,使用網(wǎng)絡(luò)和端點安全技術(shù),Juniper Networks的安全VP和CTO,Chris Hoff說。但是市場越來越復(fù)雜,因為程序員越來越想像Amazon那樣工作。添加健壯的安全基礎(chǔ)架構(gòu)所需的流程,比如審計控制,核心控制和文檔工作,比起推送應(yīng)用程序和更新而言需要更多的時間。真正的挑戰(zhàn)在于云,DevOps和如今的容器化帶來的變革對于安全團隊而言意味著更少的隔離。這在大型企業(yè)里尤其困難。
容器供應(yīng)商關(guān)注安全
企業(yè)嘗試更快得到更新,這樣的動態(tài)性帶來了新的問題。速度現(xiàn)在至關(guān)重要,Docker的產(chǎn)品SVP,Scott Johnston說。他正想將容器化技術(shù)應(yīng)用到財務(wù)服務(wù)領(lǐng)域,來幫助利用更好的交易算法幫助加快速度,更高效地解決客戶需求。云和移動廠商也正在快速引入微服務(wù)架構(gòu)來支持快速交付。
安全性是最重要的,防止欺詐和網(wǎng)絡(luò)攻擊。“我們意識到不可能不考慮安全性,”Johnston說。“幾乎Docker的每個版本都會添加安全方面的功能,幫助運維團隊更容易地在運行時設(shè)定政策,幫助應(yīng)用開發(fā)人員開發(fā)出更安全的產(chǎn)品。”
Docker正在加大投資,改進(jìn)關(guān)閉Linux內(nèi)核功能的能力,允許運維團隊管理獨立于開發(fā)團隊的安全政策。同時也在基礎(chǔ)架構(gòu)上投資巨大,創(chuàng)建互信鏈,顯示源代碼來源,誰編譯了代碼,誰完成了QA。“安全責(zé)任在開發(fā)和運維兩邊,”Johnston說。
Microsoft也已經(jīng)宣布進(jìn)軍容器基礎(chǔ)架構(gòu)市場,可以在Azure和私有云上使用。同時正在研究新的安全模型,從而在私有、公開和混合云場景下保護(hù)容器,Microsoft的Azure CTO,Mark russinovich說。Drawbridge是Microsft的研究項目,創(chuàng)建擁有安全隔離范圍的容器來接管不信任的代碼。另外,他們的Haven原型在操作系統(tǒng)妥協(xié)時,幫助保護(hù)VM或者容器。
從網(wǎng)絡(luò)到應(yīng)用安全
當(dāng)應(yīng)用程序被部署并運行數(shù)月或者數(shù)周時,應(yīng)該使用基于網(wǎng)絡(luò)的安全。但是當(dāng)轉(zhuǎn)向微服務(wù)架構(gòu)之后,事情變得更加動態(tài),Docker的Johnston說。第一批微服務(wù)在單個服務(wù)器上部署,但是當(dāng)這些服務(wù)跨多個服務(wù)器和數(shù)據(jù)中心部署時事情就更加復(fù)雜了。
軟件定義的網(wǎng)絡(luò)(Software defined network,SDN)的功能,包括防火墻和路由器,被開發(fā)用來支持少量的VM。但是現(xiàn)在,微秒級內(nèi)成千上萬的容器就可能被創(chuàng)建。“我們不是嘗試將以前的安全模型應(yīng)用到容器上,”Johnston說。需要從應(yīng)用的角度考慮如何部署防火墻和負(fù)載均衡器。
對于企業(yè)而言,圍繞保護(hù)網(wǎng)絡(luò)而構(gòu)建安全模型是難度較大的轉(zhuǎn)型。Juniper的Hoff觀察到,對于可能都不了解VM的人,很難說服他們使用容器這一更為敏捷的基礎(chǔ)架構(gòu)。這不僅僅是安全和政策的考量。
以前,IT運維團隊會選擇所使用的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)安全工具?,F(xiàn)在則是DevOps選擇這些工具,并且確保這些工具可用,Microsoft的Russinovich說。傳統(tǒng)模型里,IT負(fù)責(zé)網(wǎng)絡(luò)安全,但是現(xiàn)在的模型與之十分不同。
教會安全團隊寫代碼
今天的最后,容器化不僅僅是技術(shù)的升級。它還要求重新思考流程和工具。比如,當(dāng)ING銀行引入DevOps時,他們要求每個團隊成員必須能編程,這將新應(yīng)用的開發(fā)周期從幾個月降低到幾天。安全團隊也需要學(xué)會如何寫代碼。
云和虛擬化技術(shù)已經(jīng)存在了十幾年,但是容器化僅僅剛開始一年,Docker的Johnston說。在容器安全最佳實踐成熟之前可能也會需要另一個十幾年。