什么是“安全容器”，它在移動(dòng)安全方面扮演著什么角色?

從根本上說，安全容器是一個(gè)應(yīng)用設(shè)計(jì)框架，目的在于提高運(yùn)行在移動(dòng)設(shè)備上應(yīng)用程序的安全性。讓我們來看看移動(dòng)應(yīng)用的一些具體問題，然后再看看安全容器有怎樣的幫助，以及他們的局限。

從安全角度，移動(dòng)應(yīng)用存在一些有趣的特性。傳統(tǒng)的web應(yīng)用程序的大部分處理都是發(fā)生在應(yīng)用自身的web服務(wù)器中，而且在應(yīng)用用戶工作站中只存儲(chǔ)了一點(diǎn)點(diǎn)信息。然而，移動(dòng)應(yīng)用 的一個(gè)重大部分是信息處理和存儲(chǔ)都發(fā)生在用戶控制的設(shè)備上。這就導(dǎo)致了如下的問題：

如果惡意應(yīng)用用戶試顛覆應(yīng)用怎么辦?
如果設(shè)備上的惡意應(yīng)用試圖訪問沒有被授權(quán)的數(shù)據(jù)怎么辦?
如果設(shè)備掉到惡意陣營怎么辦?

移動(dòng)設(shè)備操作系統(tǒng)，如蘋果的iOS和谷歌的Android，提供了技術(shù)保護(hù)，努力幫助解決這些問題。例如，在應(yīng)用下載到iOS設(shè)備上之前，應(yīng)用商店之前安裝的應(yīng)用程序就是加密了的。另外，Android和iOS都提供了文件系統(tǒng)加密功能。這和消防安全措施很好，只除了繞過了出現(xiàn)在多個(gè)場合中操作系統(tǒng)提供的設(shè)施這一話題。

安全容器是什么?

所謂的安全容器是開發(fā)用于提供額外的安全層的。通常的安全容器是一個(gè)框架，構(gòu)建應(yīng)用時(shí)使用。這些應(yīng)用要么提供要用的安全替代功能，而不是移動(dòng)操作系統(tǒng)提供的功能，要么是在這些操作系統(tǒng)提供的之上的額外安全功能。不同的容器有不同的功能，但這些容器都有共同的選項(xiàng)，就是交替“non-sniffable”移動(dòng)鍵盤、應(yīng)用代碼的反調(diào)試/反逆向工程、以及改進(jìn)的加密功能。

提供這些功能的一個(gè)目標(biāo)是，讓應(yīng)用開發(fā)人員設(shè)計(jì)并構(gòu)建應(yīng)用程序，使用這些功能進(jìn)不會(huì)感到不舒服。例如，把敏捷數(shù)據(jù)存儲(chǔ)在擁有安全容器的設(shè)備上會(huì)使用一個(gè)開發(fā)人員感到舒服，但是只使用移動(dòng)操作系統(tǒng)提供的功能來存儲(chǔ)的話，他們就會(huì)感到不安。

這看起來似乎有價(jià)值，但是應(yīng)用開發(fā)人員要確實(shí)了解容器能夠提供什么，以及當(dāng)受到一個(gè)堅(jiān)決的、知識(shí)淵博的攻擊者時(shí)，這些安全措施又是如何退化的，這很重要，而且風(fēng)險(xiǎn)經(jīng)理也要時(shí)刻注意他們。

安全容器局限是什么?

在一天的結(jié)束時(shí)，大部分安全容器對于設(shè)備硬件都沒有做任何的更改，從根本上說，他們只是運(yùn)行在移動(dòng)操作系統(tǒng)之上的應(yīng)用，并且必須要遵循也其它運(yùn)行在設(shè)備的的應(yīng)用的一樣原則。因此，他們所遭受的攻擊也會(huì)與其它的應(yīng)用遭受的一樣。他們可能提供了反調(diào)試和代碼模糊功能，來對抗移動(dòng)操作系統(tǒng)系統(tǒng)所提供的功能，但是攻擊者可能會(huì)繞過那些保護(hù)措施，就如同他們攻擊操作系統(tǒng)的本地功能一樣。

安全容器的好處是什么?

容器可以提供的一個(gè)好處是，提供了比本地操作系統(tǒng)更清楚的支持保護(hù)措施細(xì)節(jié)。作為一個(gè)攻擊者，如果我能在移動(dòng)操作系統(tǒng)中找到弱點(diǎn)或漏洞，那么這一發(fā)現(xiàn)對于運(yùn)行在平臺(tái)上的所有應(yīng)用都有價(jià)值。如果我在具體的容器中找到這一弱點(diǎn)或漏洞，那么它可以再一次地用來對抗部署在這一容器中的應(yīng)用。這可能會(huì)使攻擊點(diǎn)專注于操作系統(tǒng)平臺(tái)，而不是任何具體的容器廠商。

因此，想要提升他們應(yīng)用安全性的移動(dòng)應(yīng)用開發(fā)者可以考慮一下安全容器，從而可以看到各種容器提供的移動(dòng)好處，但也是了解容器主要提供的保護(hù)措施也很重要，并適應(yīng)這些保護(hù)措施實(shí)施的方式，他們不會(huì)像本地操作系統(tǒng)功能那樣被輕易繞過。這正是第三方測試應(yīng)用的價(jià)值所在。