亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

市場(chǎng)調(diào)研公司Allied Market Research估測(cè)，到2025年，容器應(yīng)用市場(chǎng)的價(jià)值將從2016年的6.98億美元增長(zhǎng)到82億美元。31.8%的復(fù)合年均增長(zhǎng)率，很大程度上反映出應(yīng)用容器技術(shù)正在飛速普及，公司企業(yè)也在加大云端遷移的步伐。

然而，應(yīng)用容器的前景并非全然樂(lè)觀。事實(shí)上，Allied Market Research發(fā)現(xiàn)，安全風(fēng)險(xiǎn)在一定程度上阻礙了應(yīng)用容器市場(chǎng)的增長(zhǎng)。而且，這樣的風(fēng)險(xiǎn)還不會(huì)馬上消失。因此，公司企業(yè)若想將容器技術(shù)納入自身生產(chǎn)運(yùn)營(yíng)環(huán)境，就需要了解這些安全風(fēng)險(xiǎn)。

本文將特別圍繞容器安全的五種風(fēng)險(xiǎn)展開討論：?jiǎn)⒂梦⒎?wù)、依賴不安全基礎(chǔ)鏡像、容器可見(jiàn)性不完整、容器通信不受限、容器配置不安全。

啟用微服務(wù)

CIO解釋稱，容器是由整個(gè)運(yùn)行時(shí)環(huán)境（包括二進(jìn)制文件、庫(kù)和其他組件）構(gòu)成的一類技術(shù)，從設(shè)計(jì)上就將各操作系統(tǒng)發(fā)行版的差異消弭于無(wú)形，因而開發(fā)運(yùn)維團(tuán)隊(duì)可以很方便地利用容器分配資源和共享代碼。

與容器一樣，微服務(wù)也相當(dāng)有用。但微服務(wù)主要是對(duì)開發(fā)人員有利。微服務(wù)為什么有利于開發(fā)？私有云服務(wù)提供商Gravitational將之歸結(jié)為：微服務(wù)遵循的軟件設(shè)計(jì)方法就是奔著完成小型任務(wù)去的。因而，開發(fā)團(tuán)隊(duì)能夠利用微服務(wù)輕松部署代碼，既不用中斷其他團(tuán)隊(duì)成員的工作，也不用擴(kuò)展他們的服務(wù)。

雖然各自獨(dú)立，但容器和微服務(wù)是緊密相關(guān)的。容器有助于啟用微服務(wù)，因?yàn)槭褂萌萜骺梢愿p松地將任務(wù)分解為較小的元素，并與其他團(tuán)隊(duì)成員共享。問(wèn)題在于，微服務(wù)給公司企業(yè)帶來(lái)了安全風(fēng)險(xiǎn)。微服務(wù)使用獨(dú)立API相互通信，從而引入了可供惡意黑客入侵公司企業(yè)的其他渠道。微服務(wù)還引入了一些日志，安全人員可能會(huì)通過(guò)這些日志來(lái)篩選安全事件指征。但如果這些服務(wù)跨多臺(tái)主機(jī)運(yùn)行，則安全團(tuán)隊(duì)幾乎無(wú)法手動(dòng)管理這些日志。

依賴基礎(chǔ)鏡像

公司企業(yè)還需擔(dān)心容器鏡像的安全。容器鏡像是包含可執(zhí)行代碼的靜態(tài)文件，利用這些可執(zhí)行代碼，在公司企業(yè)的IT基礎(chǔ)設(shè)施上作為獨(dú)立的進(jìn)程運(yùn)行。

如果不甚清楚鏡像來(lái)源，容器鏡像的這種本質(zhì)就會(huì)使這些資源變身安全風(fēng)險(xiǎn)。正如Kubernetes在其網(wǎng)站上指出的那樣，從不熟悉的源提取容器鏡像，無(wú)異于在計(jì)算機(jī)上運(yùn)行未知軟件。這種情形下，誰(shuí)都不知道容器鏡像能干出點(diǎn)兒什么來(lái)。隱藏惡意軟件秘密盜取敏感信息？給惡意黑客分配網(wǎng)絡(luò)訪問(wèn)權(quán)？都有可能。除此之外，已知安全漏洞也有可能令容器鏡像元?dú)獯髠喝绻麤](méi)打補(bǔ)丁，這些漏洞可能為惡意黑客提供入侵容器環(huán)境所需的一切。

容器可見(jiàn)性

容器本就不是為了長(zhǎng)期使用而設(shè)計(jì)的。公司企業(yè)使用容器，是想能夠根據(jù)自身不斷發(fā)展的需求旋上或旋下容器。采用容器技術(shù)，公司企業(yè)可以快速適應(yīng)新興業(yè)務(wù)需求，方便快捷地發(fā)布符合客戶喜好的軟件。

但這種動(dòng)態(tài)性有其固有的風(fēng)險(xiǎn)，因?yàn)檫@樣一來(lái)，公司企業(yè)就難以全面監(jiān)測(cè)其整個(gè)容器環(huán)境了。不清楚自身環(huán)境中都有些什么，也就無(wú)法弄清該怎樣恰當(dāng)保護(hù)這些系統(tǒng)的安全。不僅如此，這種動(dòng)態(tài)性也給合規(guī)造成了麻煩，因?yàn)閭鹘y(tǒng)靜態(tài)IT資產(chǎn)的防火墻規(guī)則不適用于動(dòng)態(tài)的容器環(huán)境。

容器通信

容器不是彼此隔離的。在網(wǎng)站的另一部分上，Kubernetes解釋稱，默認(rèn)情況下不限制pod容器之間的通信流。這種配置使pod容器可以相互接收和發(fā)送流量。與之相對(duì)的，攻擊者也能入侵一個(gè)pod，然后濫用此配置獲取其他pod的權(quán)限。

容器配置

通信并不是公司企業(yè)在容器方面需要關(guān)注的唯一設(shè)置。還有配置問(wèn)題。默認(rèn)情況下，容器是可以獲取新權(quán)限的。這些權(quán)限使得攻擊者有可能濫用一個(gè)容器來(lái)染指容器環(huán)境的其他部分。

如何應(yīng)對(duì)這些風(fēng)險(xiǎn)

如果實(shí)現(xiàn)容器安全最佳實(shí)踐來(lái)解決上述風(fēng)險(xiǎn)。值得考慮的一些建議包括：

• 僅使用受信基礎(chǔ)鏡像來(lái)構(gòu)建容器：公司企業(yè)需知道從何處獲取容器，以及其中包含什么內(nèi)容。
• 防止容器獲取新權(quán)限：安全團(tuán)隊(duì)需專門設(shè)置此項(xiàng)控制，防止惡意黑客發(fā)起提權(quán)攻擊。鏡像中的setuid和setgid權(quán)限也應(yīng)考慮刪除。
• 采用鏡像掃描策略：公司企業(yè)需經(jīng)常掃描其各個(gè)鏡像。作為掃描過(guò)程的一部分，應(yīng)拒絕最近未經(jīng)掃描的鏡像進(jìn)入構(gòu)建階段，或者重新掃描后再進(jìn)入構(gòu)建階段。為簡(jiǎn)化操作，公司企業(yè)應(yīng)將鏡像掃描納入治理策略中。