联手新至强,齐力助云途——京东云

计世网

企业使用容器技术时应该注意什么?
作者: Maria Korolov 编译:范范 | 来源: csoonline
阅读量  3026
容器技术和微服务的精细度、部署速度和数据流量让容器广泛被采用,而保护容器环境的安全需要新的方案。

 


  容器技术能够实现跨计算环境部署和软件运行,通过控制库、二进制文件和配置文件等应用运行环境,平台和基础设施被抽象化,从而让应用可以在任何地方运行。作为基础服务,除了提供本地数据中心和混合云,所有主流云提供商也都提供容器技术。

  通过容器技术,开发者能够创建“微服务”,这些微服务实质上应用的是小型的、可重复使用的组件。由于能够重复使用,所以微服务能够节省开发者的时间,而且,它们能够跨同平台部署。

  容器技术的“封装”特性,使其具有小型化、快捷和易于设置的优点。据迈克菲公司近期对全球1500名IT专业人员进行的调查显示,在员工数量超过500人的公司中,约80%的公司目前正在使用容器技术。容器技术如此受欢迎,还因为它能为公司节省大量的时间成本和资金。

  得益于这些优点,容器技术被广泛采用就一点也不奇怪了。企业在享受容器技术和微服务的精细度、部署速度和数据流量便利时,还应该格外关注容器安全策略的制定与方案的实施。

  安全地管理容器技术

  容器技术通常需要将应用拆解为更小的服务,这会导致数据流量增加和访问控制规则复杂化。云安全厂商StackRox的联合创始人兼首席技术官Ali Golshan认为,容器安全工具的生态环境与虚拟机和云的早期阶段很像。为了使用它们进行工作,公司需要创建专用工具和基础设施,同时,要实现这些还需要许多资源。

  传统的软件开发流程为创建、测试和部署,而在容器时代,这一流程将被迅速抛弃。实际上,开发者常常会从公共仓库中找出一个随时可用的镜像,然后将它们放到云端。

  Eastwind Networks公司首席安全与战略官Robert Huber称:“我们对容器技术,在信任度上存在着模糊地带,它可能被批准,也可能不被批准。”他指出,容器镜像是一套方便的且已经准备就绪的代码,公司应当持续检测正在使用的容器是否有最新版本,代码是否已经被修补以及是否更新至最新。

  Kudelski Security公司的方案架构主管Bo Lane指出,安全意识需要在早期就植入到开发流程中,并尽可能地实现自动化。例如,如果开发者从外部源下载了镜像,那么,在容器技术启用前就需要扫描漏洞、未修补的代码和其他潜在问题。

  云安全厂商Skyhigh Networks联合创始人Sekhar Sarukkai以其公司为例进行了说明,他称:“我们正在部署最新的架构堆栈,我们也有微服务。实际上,我们可以一天多次在生产环境中部署。根据惯例,需要进行安全测试或渗透测试,而这些测试是不能在DevOps环境中实施的。”

  他指出,企业必须要找到让许多功能实现自动化的办法。这意味着,要有能力识别出已经部署的所有容器,并确保它们的组件都是安全的,然后通过应用控制和应用白名单将它们部署在一个安全的环境中,最后对它们进行持续监控。

  更严格地落实安全措施

  虽然配置管理和补丁管理非常困难,并且很容易被攻击者利用,但是这些是可以解决的问题。将应用拆散为相互联通的小型服务所带来的复杂性则是一项更为艰巨的挑战。

  传统的完整应用只会有一个服务和几个端口。但是在微服务中,会有许多服务,并且常常会有许多端口,这意味着,需要保护许多入口的安全。

  这些重担将会落到确保单个服务的安全上,单个服务的安全将变得极为小心谨慎,如最低权限、严密的访问控制、隔离和审核等等。Eggplant公司首席技术官Antony Edwards称:“这些措施自上世纪七十年代就已经有了,如今我们需要严格落实它们。”

  那些运行自己的容器环境的公司,无论是公有云还是私有云,他们都完全掌控着这些安全设置。

  本文作者Maria Korolov,其在过去二十年中长期关注新兴技术和新兴市场。
 

责任编辑:刘沙

关于英特尔®至强®

如果您想了解:如何高效打造差异化的云服务数据中心,可以在这里订阅英特尔为云服务提供商定制的精选资源。

立即行动

关于云主机

云主机是京东云提供的一种管理便捷、安全可靠的云计算服务单元。您无需为硬件的购买和维护投入精力,可随时创建和释放多台云主机,快速部署应用,并且可根据业务需要扩展计算能力,按需付费,节约成本,帮助您更高效稳定的开展业务。

了解更多

关于英特尔®至强®

如果您想了解:如何高效打造差异化的云服务数据中心,可以在这里订阅英特尔为云服务提供商定制的精选资源。

立即行动