摘要:隔離使用容器,內核被設計為在主機上的容器之間提供隔離。對于而言,如果應用程序受到威脅,這將降低攻擊向量對系統其他部分的影響。月日,北京海航萬豪酒店,容器技術大會即將舉行。
每當一項新的軟件技術出現,InfoSec團隊都會有點焦慮。理由是他們的工作是評估和降低風險——而新軟件引入了一些未知變量,這些變量等同于企業的額外風險。對新的、不斷演進的和復雜的技術做出判斷是一項艱難的工作,這些團隊克服重重疑慮接受未知的新技術值得贊賞。
這篇文章旨在呼吁世界范圍內的InfoSec人士對容器的出現持樂觀態度。有些人認為容器=不安全,其實,容器在安全性方面反而具有先天的優勢:
不變性在一個典型的生產環境中,你的服務器上有一系列的管理狀態,包括系統鏡像、配置管理(CM)和部署工具。 系統的最終狀態是非常動態的(特別是對于CM工具),庫和包往往基于各種runtime變量。以下是一些可能會出現問題的例子:
你在你的主機上運行的 openssl 版本可能會因你使用的操作系統而異,你的 rhel 6 主機可能有一個版本,而使用不同補丁版本的Ubuntu主機則有不同的版本。即使是這些細微的差異也可以產生明顯的影響,并導致近期的OpenSSL漏洞(如Heartbleed)。
如果你沒有不同的操作系統,那么如果你在一個特定的主機上運行的CM工具遇到了一個bug,并且在它能夠確保包版本(假設你已經定義了顯式版本!)之前,會發生什么?現在的情況是,一個過時的軟件包在被注意到之前將會一直存在在系統中。在小環境下, 在CM成功運行中, 你可能有一個良好的脈沖, 但在有著數以千計的主機的復雜的大環境中,因為你不了解或者無法解決這些問題,將會有一些主機, 你無法保證它們的一致性。在此環境中,這種缺少確定性的狀態會導致對庫存和 CVE掃描技術的需求。
這就是容器提供的額外優勢。由于容器鏡像的不可變性,我可以在部署之前了解runtime的狀態。這為我提供了一個點來檢查和理解runtime狀態。在構建過程中對已知的CVE和其他漏洞進行一次掃描,并在部署之前捕獲風險,這比不斷地對系統中部署的每個運行庫進行清點要容易得多。
隔離使用容器,Linux 內核被設計為在主機上的容器之間提供隔離。它允許每個進程與其相鄰的進程具有不同的runtime。對于InfoSec而言,如果應用程序受到威脅,這將降低攻擊向量對系統其他部分的影響。雖然這種劃分不嚴密,但目前還沒有一個真正安全的機制。
開發人員和應用團隊易于上手最后,還有一個原因應該能吸引InfoSec,因為開發人員和應用團隊共享的優勢,比起僅使用安全性的工具,你可以更容易獲得上述所有優點。沒有一個安全組織能夠在真空中運作,即使是最安全的組織也需要平衡控制和生產率。但是,當你的解決方案同時滿足這兩個要求時,采用容器并證明所需資源的阻力非常小。盡管這聽起來似乎是一個不應該存在的悖論,但在某種程度上可以提高靈活性和容器的安全性。
結論我希望這篇文章中的觀點,能鼓勵你進一步探索和了解一下容器技術能如何提高組織機構IT系統的安全性,若你的團隊能(哪怕只是在內部)討論一下是否可將容器技術用于生產環境,那就更好不過了。一如既往地,Rancher團隊將助你開啟你的容器之旅——加入官方微信交流群與我們聯系,在Rancher Blog上查看更多技術文章;如果你準備好與我們展開更詳細的討論,還可以在官網上預約一次demo。
9月27日,北京海航萬豪酒店,容器技術大會Container Day 2017即將舉行。
CloudStack之父、海航科技技術總監、華為PaaS部門部長、恒豐銀行科技部總經理、阿里云PaaS工程總監、民生保險CIO······均已加入豪華講師套餐!
11家已容器落地企業,15位真·云計算大咖,13場純·技術演講,結合實戰場景,聚焦落地經驗。免費參會+超高規格,詳細議程及注冊鏈接請戳
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11279.html
摘要:隔離使用容器,內核被設計為在主機上的容器之間提供隔離。對于而言,如果應用程序受到威脅,這將降低攻擊向量對系統其他部分的影響。月日,北京海航萬豪酒店,容器技術大會即將舉行。 每當一項新的軟件技術出現,InfoSec團隊都會有點焦慮。理由是他們的工作是評估和降低風險——而新軟件引入了一些未知變量,這些變量等同于企業的額外風險。對新的、不斷演進的和復雜的技術做出判斷是一項艱難的工作,這些團隊...
摘要:全球云計算廠商躬身入局,開啟現代化應用之旅事實上,包括亞馬遜云科技華為云在內的全球云計算廠商已在這一領域進行了多年實踐。過去年,亞馬遜云科技一直在持續不斷地突破很多現代化應用技術。年,亞馬遜云科技發布第一個消息隊列的服務,至今已有年歷史。 2006年,是云計算滾滾浪潮的開端,這場IT技術變革始于亞馬遜AWS的成立,它讓公有云成為整個云行業的標桿,也形成了...
摘要:具體技術細節的補充中國人壽兩朵云的最底層的容器調度與管理都是使用了平臺。決定采納容器擁抱,對整個中國人壽而言都是一次重大的變革。對中國人壽這樣的傳統金融企業而言,上一個并不容易。 6月28日,Rancher Labs在北京舉辦了Container Day 2018容器技術大會。在大會上,Rancher Labs CEO及聯合創始人梁勝博士、中國人壽研發中心開發五部副總經理王川、技術處高...
摘要:目前,亞太地區的組織機構每周會遭受起攻擊。實施必要的程序以防止和戰勝勒索軟件攻擊對任何企業而言都至關重要,中小企業尤為如此。鑒于市場對更完善的勒索軟件實踐簡化的業務流程以及業務敏捷性的需求不斷增長,中小企業及其人員越來越青睞。在僅僅一年多的時間里,新冠疫情給所有公司的經營方式都帶來了以往數年才能發生的改變。據麥肯錫報道,各企業已提前三到四年開始部署客戶和供應鏈互動以及內部運營的數字化進程。但...
由于容器虛擬化技術可以充分利用硬件資源,對于開發團隊就像夢想照進了現實。盡管容器化沒有推翻虛擬機在企業應用開發和部署上的地位,但是Docker等工具在實現開發、測試和部署大規模現代軟件的速度和敏捷性方面大展身手。Docker容器具有諸多優點:無需復雜的hypervisor、可移植性、資源隔離性、輕量級、開放標準、完美適應微服務架構。眾多的應用通過容器隔離起來,相互獨立地運行在同一臺宿主機上,哪家公...
閱讀 1008·2021-10-27 14:15
閱讀 2763·2021-10-25 09:45
閱讀 1923·2021-09-02 09:45
閱讀 3357·2019-08-30 15:55
閱讀 1798·2019-08-29 16:05
閱讀 3189·2019-08-28 18:13
閱讀 3109·2019-08-26 13:58
閱讀 442·2019-08-26 12:01