写点什么

什么是容器安全

发布于: 2 小时前

当下 DevOps 在国内也流行了一段时间了,越来越多的软件开发转向了这种开发模式,而使用容器方案现在看是 DevOps 的必由之路。反过来容器的流行也在刺激着 DevOps 和微服务的更快发展。

但当大家谈及容器安全的时候,情况有点混乱了:有人说镜像扫描,有人专注于编排工具安全,有人专注于代码扫描,还有…,最后还有说 DevOps 团队安全培训也非常重要。最后的最后,很多团队就草草从某些方面选了个方案,然后报告领导“我们团队有安全方面的方案了”,让自己的软件服务大概率上直接去裸奔了。


这篇文章就带看客从门外先窥探一下什么是容器安全?先看看业界的定义:容器安全是流程、工具和其他相关资源的整体应用,目的是为任何基于容器的系统或工作负载提供强大的信息安全。一看就很笼统,再看一眼还是很笼统,然后呃一了声,就没有然后了,还没入门就放弃了。我这里争取在短时间带您更生动形象地整体了解一下什么是容器安全。


从飞行安全说开去


大家应该都乘坐过飞机了,我们就拿飞行安全来做个类比,这样就非常容易理解了。都是干过技术的,列举一下会比较对比,也比较清楚:

飞行安全第一个重要方面是飞机本身安全性要好呀,比如那种很小很小的飞机安全性上稍差一些,还有那个很大但设计有缺陷容易掉下来的那个。毕竟我们是坐在里面以每小时数百英里的速度在地球上空巡航。飞机本身出问题时,我们在里面也做不了啥呀。对比容器安全,飞机本身安全可以类比主机安全和镜像安全,像不像您写的代码跑在系统里,系统挂了,您的代码…。


第二方面呢,飞行前为了确保航班安全,航空公司会对乘客进行安检。确保乘客没有带危险物品上飞机,同时尽量确保没有已知的坏人或者冒充其他人上飞机。提醒一下漂亮的妹纸,国际旅行尽量不要穿紧身皮裤或者热裤一类的衣服,除非您想体验一把单独被带到小屋子里再做一遍更贴身的检查,如果您英文还不够好的话,那就更不要挑战自己。对比容器安全,这里就是数据库,使用的框架等的安全,以及代码扫描。


还有吗?有,飞机上是有飞行安全员,这个低调而且神秘的乘客一般您发现不了他(她)。他们反正是很能打的那种,一招制敌的功夫可以有。飞行前会对整个机舱检查。在飞行过程中,他们都在默默地监视着飞机上发生一切,确保尽早发现风险并消除风险。对比容器安全,这里就是对服务中运行中的所有容器进行实时安全检查。


还有就是整个飞行过程中,飞机上有一整套监控系统在运行。航空公司也在时刻监控中飞机的位置。对比容器安全,这里就是监控系统了,最好还有对数据的智能分析,和报警功能。


对比完后,我们可以对容器安全简要归类为以下几点:

  • 镜像安全/主机安全

  • 代码扫描以及 DevOps 全流程安全

  • 容器运行时安全

  • 监控系统


然后我们该怎么做呢?

容器镜像和主机是我们的飞机:它需要按照所有的安全准则精心构建,并消除任何潜在的问题。毕竟,这些组件最终将运行您的应用程序。如果容器镜像在构建时存在安全问题,则会增加生产环境中发生的严重问题的风险。

和您自己的代码一起工作的组件或者服务,都应该做安全评估,确保使用安全的版本,做到漏洞尽量少。对一些风险比较高的第三方代码,也要像对待穿紧身皮裤的妹子一样,进行更细致的贴身检查。

飞行过程中有安全员,我们容器生产环境也需要实时风险检查的保护机制。

飞行过程中有一整套系统在监控飞机的运行状态,我们容器生产环境也需要一定的运行状态监控。飞机在飞行过程中有异常会报警,我们容器生产环境也需要对异常有报警。

还有一个相似点,飞机被劫持后,驾驶员被迫安装劫匪指示操作的时候,非常像容器生产环境出现严重问题时候,运维人员后面站着一群人盯着他/她操作,压力都是很大的。


各位看客读到这里,您已经一只脚跨入了门槛里,即将入门了。后面是从入门到精通,还是从入门到放弃,就看各位自己的努力了。


【大鱼安全团队出品】- 大鱼安全:国内首个 SaaS 版云原生安全平台 https://www.greatersecurity.com.cn/

发布于: 2 小时前阅读数: 6
用户头像

还未添加个人签名 2021.07.14 加入

还未添加个人简介

评论

发布
暂无评论
什么是容器安全