拥抱容器提高安全性的三种方法然而,如果企业文化和流程跟不上时代和技术的步伐,那么即使是最好的企业应用软件也势必会大打折扣。例如,受其影响显着的一个IT领域是网络安全。但是软件容器的兴起为企业提供了一个获得应用程序安全性的机会,或者至少显着提高它。软件容器正在成为最具颠覆性的企业技术之一。Docker和CoreOSRKT等软件容器正在应用软件开发、开发运营(DevOps)和Web应用程序等环境中迅速采用。这是因为它们为企业提供了明显的好处:部署速度快、灵活且可扩展以及计算资源的经济高效使用。然而,这些软件容器的采用在为企业IT带来好处的同时,也带来了新的安全挑战——即运行在共享内核上,难以隔离用户和进程,它们增加了一个阻碍用户的层。了解主机上发生的事情并管理容器部署的庞大规模可能会让人望而生畏。尽管存在这些挑战,但容器确实为企业IT提供了巨大机会并可以大大提高企业安全性的原因有几个:1.使容器安全成为DevOps和安全性可以围绕的融合点联合起来:DevOps是一种旨在提高通过自动化、通信和协作协调应用程序开发和运营团队之间的关系。Securosis于2015年10月发布了一份由AdrianLane撰写的题为《把安全融入开发运维》的报告,其中明确指出:“DevOps也代表着一种文化变革……很难表达Ops、Development和QualityAssurance等团队的影响肩并肩工作……您可能会认为这是一种“模棱两可”的好处,直到您亲身体验并意识到通过清晰的沟通和共同的目标可以缓解许多问题……“企业安全团队面临着同样的问题作为开发和运营团队的组织文化障碍,并且可以从类似DevOps的文化重组中受益匪浅。为DevOps添加安全性,或“开发安全操作”(DevSecOps),绝不是一个新想法,而且今天已经很成熟了。使DevOps成为良好容器安全的一个关键因素是DevOps促进了提高企业网络安全所需的文化转变。也许DevOps一开始并没有考虑到安全性,但是安全团队正在充分利用DevOps,调整他们与Dev和Ops的关系,然后重新建立与其他IT团队的关系。如果我们决定让容器安全成为DevOps和安全结合的融合点,它就会创造一个自动化关键安全流程的机会,为后续的文化变革提供成功案例。2.由于层出不穷的重大安全漏洞,安全现在成为高层管??理人员关注的问题:DevOps并不是影响企业网络安全的唯一文化变革推动者。如果科技界从层出不穷的重大安全漏洞中吸取了一个教训,那就是在IT中构建安全性不仅仅是一个流行语——它对企业有好处。容器平台提供商比以前的提供商更加关注安全性,但容器市场仍处于早期阶段。安全不再是事后的想法,这要归功于高盛和纽约银行等组织的公开声明,他们对容器“寄予厚望”。这给我们带来了最关键的因素……3.在容器成为主流之前定义并满足容器安全要求:由于安全团队是容器采用审查过程的一部分,我们需要在容器成为主流之前列出安全要求。需要考虑的因素。然而,大多数安全专家都不知道容器是什么,更不用说部署它的安全隐患了。除了独特的安全问题外,网络安全简史告诉我们,一旦引入新技术,滥用它的漏洞就永远存在。尽管Docker和其他容器平台供应商关注安全性,但他们无法控制或预测客户将如何使用容器。眨眼之间,许多公司将效仿高盛和纽约梅隆银行。任何评估基于容器的策略的组织都需要确保尽早考虑安全性。现在,我们仍然领先安全问题几步,但安全团队需要做好他们的工作。他们需要尽快熟悉容器技术,并在他们使用容器构建的企业应用的上下文中考虑容器安全问题。这是一项艰巨的任务,但尽早纳入容器安全性有可能使容器成为一流的应用程序安全范例。如果企业充分利用机会将安全性集成到用于构建和管理基于容器的应用程序的架构中,这将提供一个获得正确安全性的独特机会。原标题:使用容器提高安全性的3种方法作者:DrorDavidoff
