Gartner高德纳称,如果阁下的应用程序要接入互联网而又需要具备安全性,那就用容器技术吧。
根据分析公司Gartner高德纳的研究结果,容器比在传统操作系统里运行的应用程序更安全,因此那些不想被黑客攻击的架构需要认真考虑往云里迁移。
分析师jeorg Fritsch在一篇名为“如何确保Docker容器安全”的文章里表示,“Gartner高德纳认为部署在容器里的应用程序比部署在传统操作系统里的应用程序更安全”,原因是即便某个容器受到攻击,“但由于每个应用程序和用户是各处在自己的容器里,是被隔离的,黑客并不会同时攻陷其他容器或主机操作系统”。
这也并不是说容器是完美的:文章也承认这种容器拥有的“……内在安全属性令它们容易受到内核特权升级攻击”,因此并不是“高风险隔离保险的好工具” 。
但文章仍然主张坊间各机构“力求从Linux容器的安全性受益,采用‘容器优先'的方法”及“将互联网应用部署在Docker容器里,不管是否用了CI/CD/DevOps都要遵循最佳安全实践” 。
但这也不是说容器就是一付修复安全的万灵丹。正如文章标题所暗示的,要获取Docker所能提供的安全效益,正确的做法是必须的。而正确的做法意味着要根据Docker指引强化其所处的主机安全,以及考虑使用诸如Aqua安全、CloudPassage、Twistlock和Weave的第三方Docker安全产品。要掌握逻辑安全分区和网络隔离的用法,这一点是必须的。用户还应该透切地理解微服务路线选择(Microservices routing),如此打造出的应用程序在容器交互时就能安全地进行。
除此之外,用户还应该了解内核控件,以确保容器能获得访问主机内核的正确级别。
Fritsch在文章里表示,“在Linux操作系统和Linux容器里,任何一个系统调用都是直接和内核互动。”他称此内核“是所有分离特性所依靠的同一个内核。系统调用是一个承受攻击的重要区域,这地方不能出错误。”
而就总体而言,文章建议各种机构认真地考虑往容器迁移。不要只停留在DevOps那群人的层次上。