对于许多企业来说,容器化使得释放速度更快,比虚拟机更加有效率。与此同时,容器引入了新的部署模式,因此,企业架构师和安全专家需要重新考虑:采取哪些方式来保证应用程序的安全性。在RSA安全会议上,安全专家评估安全实施容器化策略该考虑哪些方面。
安全厂商Bromium的首席技术官Simon Crosby称,传统安全工具仅仅能在云中工作。目前,企业正在关注于容器的另一个抽象层。
Juniper Networks的安全副总裁和首席技术官Chris Hoff说,使用网络和端点安全,保证了企业的区域安全性。同时,也出现了其它问题,比如说,亚马逊程序员的工作量加大。添加一个完好的带有审计控件、关键控件和文档的安全基础设施,需要超过几个小时的时间,来推出应用程序以及更新。真正的挑战是转换,云、DevOps以及目前的容器化意味着除了安全团队,还需要其它团队的配合。对大型企业来说,这是特别困难的。
容器厂商关注于安全
当企业试图更快地实现更新,这种动态创建了一个新的摩擦层。现在来说,速度是关键, Docker的SVP Product Scott Johnston说,他能预见到,金融服务行业容器化的速度在飞快增长,他们采用更好的交易算法,从而更有效地满足客户的需求。云计算和移动公司也迅速走向微服务架构,从而支持更快的交付速度。
安全性是需要考虑的最重要的因素,能够防止欺诈和网络攻击。“我们意识到我们不能抛开安全,”Johnston说,“在安全方面,Docker一直以来都投入了大量的资金,为了使运维团队更加便捷,包括应用程序开发者运行时间的策略,为了使得应用程序更加安全。”
Docker正在加大投资,来改善关闭Linux内核的功能,或者允许运维团队能够管理安全策略,不需要开发人员的帮助。同时,在基础设施方面,投入了相当大的资金,来创建一条信任链,能够显示源代码从哪里来,是谁编制的,以及QA是谁产生的。Johnston提到,“这是发展团队和运营团队双方共同的责任”。
微软还宣布:取得的另一个突破是,容器基础设施可以在Azure以及私有云中工作。微软Azure首席技术官Mark Russinovich说,目前,正在研究新的安全模型,来保证各种各样的私人的、公共的以及混合云场景下容器的安全性。Drawbridge是微软的一个研究项目,用来创建容器,采用很强的隔离边界,从而来主导不受信任的代码。此外,当操作系统被破坏时,Havenprototype有助于保护VM或容器。
从网络到应用安全的转变
当提供的应用程序运行数月或数周,基于网络的安全是很重要的。但是,Docker的Johnston说,随着微服务的发展,事情变得更加动态。第一批微服务供应在一个单独的服务器,但是,随着部署这些集合的组织跨多个服务器和数据中心,变得越来越复杂。
软件定义网络(SDN)功能,包括防火墙和路由器,已经被开发,用来支持少数的虚拟机。但是,目前为止,成千上万的容器仅存在毫秒。Johnston说,“昨天的安全模型仅仅适用于昨天的容器”。这种新方法需要考虑:如何提供防火墙和应用程序负载平衡器。
对组织来说,这可能是一个艰难的转变,建立一个安全模型来保证网络安全性。Juniper的Hoff发现,那些甚至不知道如何拼写VM的人,如果让他们来提供关于如何隔离这种更敏捷基础设施的建议,是非常困难的。尽管这是合规的,但这真的不是关于安全和政策讨论。
微软的Russinovich说,过去,IT运作团队会选择使用什么样的网络和基础设施安全工具。现在,由DevOps来选择这些工具,并确保这些工具是可用的。传统模式是:IT负责网络安全,但是,这个模型是很不一样的。
教安全团队来编代码
总的来说,容器化不仅仅是一个技术的转变。还需要反思的过程和工具。例如,ING银行采用DevOps,他们要求每个团队成员都应该是一个程序员,新应用的周期时间从几个月减少到几天。安全团队将不得不学习如何编程。
Docker的Johnston提到,云计算和虚拟化实现技术已经存在了十年,而容器化仅仅才开始了一年。可能还需要一个十年,容器化的安全实践才能完全迎头赶上。