【51CTO 快譯】在企業(yè)IT領(lǐng)域，顛覆性技術(shù)正非常迅速地被應(yīng)用于商業(yè)。然而，如果企業(yè)文化和流程沒(méi)有與時(shí)俱進(jìn)、跟上技術(shù)的步伐，哪怕最出色的企業(yè)應(yīng)用軟件，它的效果也必然會(huì)大打折扣。比如，受其影響較為顯著的一個(gè)IT領(lǐng)域就是網(wǎng)絡(luò)安全。但是軟件容器的崛起為企業(yè)提供了做好應(yīng)用程序安全或者至少大大提高應(yīng)用程序安全的機(jī)會(huì)。而軟件容器也正在成為最具顛覆性的企業(yè)技術(shù)之一。

Docker和CoreOS RKT等軟件容器正迅速被采用于應(yīng)用軟件開(kāi)發(fā)、開(kāi)發(fā)運(yùn)維(DevOps)和Web應(yīng)用程序等環(huán)境。那是因?yàn)樗鼈儠?huì)給企業(yè)帶來(lái)明顯的好處：部署快，具有靈活性和可擴(kuò)展性，而且可以經(jīng)濟(jì)高效地利用計(jì)算資源。

然而，這些軟件容器的應(yīng)用在為企業(yè)IT帶來(lái)好處的同時(shí)，也帶來(lái)了新的安全挑戰(zhàn)――即在共享內(nèi)核上運(yùn)行，隔離用戶(hù)和進(jìn)程方面存在難題，它們?cè)黾拥囊粚幼璧K了用戶(hù)了解主機(jī)上的活動(dòng)，另外管理容器部署的絕對(duì)規(guī)模令人望而生畏。

雖然面臨這些挑戰(zhàn)，但依然有幾個(gè)原因表明，容器確實(shí)為企業(yè)IT提供了大好機(jī)會(huì)，并且能夠大大提高企業(yè)的安全性：

1.讓容器安全成為聚匯點(diǎn)，開(kāi)發(fā)運(yùn)維和安全可以圍繞它聯(lián)合起來(lái)：開(kāi)發(fā)運(yùn)維是一股潮流，旨在通過(guò)自動(dòng)化、溝通和協(xié)作，改善和協(xié)調(diào)應(yīng)用程序開(kāi)發(fā)團(tuán)隊(duì)與運(yùn)維團(tuán)隊(duì)之間的關(guān)系。Securosis在2015年10月發(fā)布了Adrian Lane撰寫(xiě)的一份題為《把安全融入開(kāi)發(fā)運(yùn)維》的報(bào)告，該報(bào)告特別指出：“開(kāi)發(fā)運(yùn)維同時(shí)代表了一場(chǎng)文化變革……很難表述讓運(yùn)維、開(kāi)發(fā)和質(zhì)量保證等團(tuán)隊(duì)肩并肩合作的影響……在你親自領(lǐng)略、認(rèn)識(shí)到許多問(wèn)題因清晰地溝通和共同的目的而得到緩解之前，你可能覺(jué)得這是個(gè)‘模糊’的好處......”

企業(yè)安全團(tuán)隊(duì)面臨與開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)相同的企業(yè)文化障礙，可能會(huì)因類(lèi)似開(kāi)發(fā)運(yùn)維的文化重組而受益匪淺。將安全添加到開(kāi)發(fā)運(yùn)維即“開(kāi)發(fā)安全運(yùn)維”(DevSecOps)絕不是新想法，如今早已深入人心。

讓開(kāi)發(fā)運(yùn)維成為做好容器安全的一個(gè)關(guān)鍵因素是，開(kāi)發(fā)運(yùn)維促進(jìn)了提高企業(yè)網(wǎng)絡(luò)安全性所需的文化轉(zhuǎn)變。也許開(kāi)發(fā)運(yùn)維一開(kāi)始并沒(méi)有考慮到安全，但是安全團(tuán)隊(duì)在充分利用開(kāi)發(fā)運(yùn)維，調(diào)整自己與開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)的關(guān)系，然后重新確立與其他IT小組的這種關(guān)系。如果我們決定讓容器安全成為開(kāi)發(fā)運(yùn)維和安全聯(lián)合起來(lái)的聚匯點(diǎn)，它就創(chuàng)造了讓關(guān)鍵的安全流程實(shí)現(xiàn)自動(dòng)化的機(jī)會(huì)，為隨后的文化變革提供了一個(gè)成功的案例。

2.由于沒(méi)完沒(méi)了的重大安全泄密事件，安全現(xiàn)在成為高層主管關(guān)注的問(wèn)題：開(kāi)發(fā)運(yùn)維并不是影響企業(yè)網(wǎng)絡(luò)安全唯一的文化層面的變革推動(dòng)者。如果說(shuō)科技界從沒(méi)完沒(méi)了的重大安全泄密事件中學(xué)到了什么教訓(xùn)，那就是，把安全融入到IT不僅僅是一個(gè)口號(hào)――它對(duì)業(yè)務(wù)不無(wú)好處。相比之前的提供商，容器平臺(tái)提供商非常關(guān)注安全，但是容器市場(chǎng)仍處于早期階段。由于高盛和紐約銀行等組織公開(kāi)聲明，它們對(duì)容器“寄予厚望”，安全不再是事后補(bǔ)充上去的想法。這就引出了最關(guān)鍵的因素……

3.在容器成為主流應(yīng)用之前，要明確并滿(mǎn)足容器安全要求：由于安全團(tuán)隊(duì)是容器采用審查流程的一部分，容器在成為主流技術(shù)之前，我們需要列出安全方面要考慮的因素。然而，大多數(shù)安全專(zhuān)業(yè)人員根本不知道容器是什么，更不用說(shuō)部署容器對(duì)安全會(huì)有什么樣的影響。除了獨(dú)特的安全問(wèn)題外，網(wǎng)絡(luò)安全簡(jiǎn)史告訴我們，只要引入一種新技術(shù)，濫用它的漏洞永遠(yuǎn)不會(huì)落后。

盡管Docker及其他容器平臺(tái)廠商很關(guān)注安全，但是它們無(wú)法控制或預(yù)測(cè)客戶(hù)會(huì)如何使用容器。一眨眼的工夫，許多公司就會(huì)仿效高盛和紐約銀行梅隆。任何在評(píng)估基于容器策略的組織都要確保安全已及早考慮進(jìn)來(lái)。

現(xiàn)在，我們?nèi)员劝踩珕?wèn)題領(lǐng)先幾步，但是安全團(tuán)隊(duì)需要做好本職工作。他們需要盡快熟悉容器技術(shù)，并且結(jié)合它們使用容器來(lái)構(gòu)建的企業(yè)應(yīng)用程序這個(gè)環(huán)境來(lái)考慮容器安全問(wèn)題。

這是個(gè)艱巨的任務(wù)，但是及早融入容器安全，讓容器有望成為一流的應(yīng)用程序安全典范。

如果企業(yè)充分抓住這個(gè)機(jī)會(huì)，將安全集成到構(gòu)建和管理基于容器的應(yīng)用程序的架構(gòu)當(dāng)中，這為搞好安全提供了難得的機(jī)會(huì)。

原文標(biāo)題：3 ways to improve security as you embrace containers 作者：Dror Davidoff

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】