关于容器安全的六大误解

关于容器安全的六大误解。 现在很多企业仍褒有传统虚拟化技术比容器技术更为安全的想法。曾经在全球化学公司 500 强 Albemarle 公司任职首席信息安全官，目前在 Twistlock 任职 CTO 的 John Morello 表示，他撰写此文来揭开有关容器技术安全方面的很多错误认知，并且让读者将目光聚焦在企业真正应该关心的问题之上。

越狱听起来很吓人，但是现实中却很少发生。多数攻击是专门攻击应用的，如果已经入侵应用，又何需越狱呢？其实企业需要关心的问题是：明确黑客发起攻击的具体时间，以及系统是否已遭到攻击。

没有一家企业真的因为多租户问题而困扰。其实，只要将应用拆分为多个微服务，并且将其部署在虚拟机里，问题即刻化解。

容器应用经常在几秒内就会切换所在主机，甚至在有效负荷（payload）加密传输的状况下，防火墙都可以说是毫无用武之地的。容器安全性最终还是仰赖于对应用的感知力以及开发者的安全意识。

端点安全虽然很适合保护笔记本电脑、PC 以及移动装置，但是端点安全并不是为保护微服务而生。事实上，他们在针对微服务攻击时显得毫无用处。端点安全无法介入 Docker runtime 以及容器编排。

漏洞管理并非如表面上简单，源镜像（Source images）不一定永远都会随着项目更新。即使你使用了最新的镜像基础层，镜像中可能还有几百个组件并没有包含在你的基础层包管理器之中。由于环境变化频繁，传统的补丁管理方法基本没有什么效果。

为了解决这个问题你可以：

1）在持续集成（CI）的流程中找到漏洞

2）一开始就使用 quality gates 来阻止那些不安全或者不兼容的镜像进行部署

容器行为可以监控。有以下几个方法：

1）容器是声明式的：容器 manifest 详细描述了容器的行为，可以用来转换成一份安全配置文件。

2）容器是可被预测的：开发者常会把几个知名的软件组件组合成容器微服务来执行，容器部署比虚拟机部署更有规则可循。

3）容器是不可变的：容器只有在更新程式时才改变，一旦发现容器运作行为有变化，不是配置发生了变化，就是遭受了攻击。