容器内的潘多拉——恶意代码

CNCF

发布于 2019-12-05 23:41:37

1K0

文章被收录于专栏：CNCFCNCF

众所周知，容器好处多多。

从最基本的层面来讲，容器让你可以将更多的计算工作负载塞入到单单一台服务器上，并且让你可以在一瞬间为新的计算任务提高增加容量。从理论上来说，这意味着你可以购买较少的硬件，自建或租赁较少的数据中心场地，并且雇用较少的人手来管理这些设备。

详细来说，持续部署和测试、跨云平台支持、环境标准化和版本控制、高资源利用率与隔离、容器跨平台性与镜像、易于理解且易用等等都是容器的好处。

就拿跨云平台支持来说，容器带来的最大好处之一就是其适配性，越来越多的云平台都支持容器，用户再也无需担心受到云平台的捆绑，同时也让应用多平台混合部署成为可能。目前支持容器的 IaaS 云平台包括但不限于亚马逊云平台( AWS )、Google 云平台( GCP )、微软云平台( Azure )、Open Stack 等，还包括如 Chef、Puppet、Ansible 等配置管理工具。

那么，容器完全只有好处吗?

一个运行中的容器无法闯入或窥视另一个容器已分配的内存空间。但是，如果允许两个容器彼此对话，其中一个容器被装入了恶意代码，窥视被允许查看的数据当中的加密密钥，那又会怎样?由于共享内存里面存在太多的变数，宝贵数据(比如用户ID、密码和加密密钥)迟早会落到恶意软件的手中。

恶意代码还可能逐渐了解大体情况，知道一个或多个关联的容器在干什么。从理论上来说，这不会发生，因为容器旨在确保每个应用程序相互隔离。但是没有人确信计算机科学家是否想到并杜绝了可能出现某种恶意软件窥视行为的每一种情况。彼此邻近的容器共享处理器、内存和磁盘等资源，这种行为让安全专业人员深为担忧。

当说到安全性的时候，对于容器内容来说意味着什么呢？一段时间以来，应用程序和基础设施都是由现成的组件组成的。很多都来自于开源软件，例如 Linux 操作系统， Apache Web 服务器，红帽 JBoss 企业应用平台， PostgreSQL 和 Node.js 。基于容器的各种软件包版本现在一应俱全，所以你不需要建立自己。但是，与从外部源下载的任何代码一样，您需要知道包的起源、它们是由谁创建，以及它们内部是否存在恶意代码。

恶意代码是一种程序，它通过把代码在不被察觉的情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据和运行具有入侵性或破坏性的程序等目的。按传播方式，恶意代码可以分成五类：病毒，木马，蠕虫，移动代码和复合型病毒.

如今恶意代码类型数量和种类众多，为我们造成很多严重的危害，怎么才能减少这些危害呢？

在过去的三年中， Katacoda 一直在为云原生技术提供在线学习和训练环境。可通过浏览器访问 Docker、Kubernetes 和其他云原生技术的实时环境。但是，有个副作用。那就是用户拥有并可以执行恶意代码，而且他们可以试着从容器内部侵入系统。

在本次大会上， Ben 将分享过去三年里构建 Katacoda 的经验教训以及一些有趣的故事和安全性袭击。大致内容如下：

1、Docker 和 Kubernetes 非常好的安全性

2、Docker 和 Linux 安全问题

3、监视恶意活动

4、当一切都出错时，会发生什么

最后，与会者将学到可行性强的保护系统的不同方法，并为他们以后可能面临的潜在攻击做好准备。怎么样？大牛三年的亲身经验传授，相信对于参会的你来说一定大有裨益，KubeCon 大会上咱们一起成长。

本期则隆重推荐：

Iqbal Farabi ， GO-JEK 系统工程师，印度尼西亚

Iqbal Farabi 是GO-JEK Core 核心基础设施团队的开发者、教师，最近成为了系统工程师。他参与了不同容器中多个云平台的 GO-JEK 基础设施项目。他也是 GO-JEK 社区培训的核心成员，向学校和院校介绍不同的软件工程操作。在加入 GO-JEK 前，他曾经是 Ruby 开发者，专长是建立企业级应用。