導致安全問題的5大容器錯誤

許多公司關注容器技術的潛力以及如何最好地利用這項技術，然而我們還需要大量關於容器的試驗。

開發人員正在自己的沙盒中工作，在筆記本電腦上裝好，然後將其投入生產。 但是，問題在於如果容器在沒有安全措施的情況下完成，那麼你可能並沒有得到有正確控制權的敏捷性。

因此，即使容器工具越來越多，未知內容仍可能集中在容器中。RedHat的安全策略師Kristen Newcomer表示，在將容器投入生產之前，你需要問：管理這個有什麼正確的流程？如何確保它與其他應用程序一樣受到控制和管理？

Newcomer認為，你需要系統化容器的使用，以便可以通過適當的控制來實現所需要的靈活性。應該由安全部門與業務夥伴合作來提高安全性和靈活性。

容器允許你在不同環境中打包和部署一切。但是，公司必須確保已經為安全建立了堅實的基礎，如果他們認為戰略和工作負載放在容器平台上有意義。

5個必須避免的錯誤

獨立工作是重要的技能，但你的容器也必須能夠與別人一起「玩耍」。這裡有五個被Newcomer稱為最該避免的關於容器的錯誤，特別是在自己的沙盒中「玩」的時候。

——強大的安全性並不總是優先考慮的。保證容器的安全意味著保證其部署平台的安全。容器是一個很好的打包過程，可以在各種場合進行部署。但由於它在部署的平台上運行，因此需要保護這一過程。一些操作系統已經做了更多的工作來提高直接與容器一起工作的能力。

——只關注容器內部。開發人員往往專註於確保容器內部的內容，而不是容器本身。工具有助於確定容器內部的內容，但除此之外，還要評估在操作系統上部署容器時的攻擊向量，以及在操作系統上運行的安全措施和保護。

——把容器作為特權運行。一直以來，安全性方面長期以來的最佳做法是，除非必需，否則不把進程作為特權運行。將最小許可權的流程和策略置於適當位置，因為沒有任何理由以應用程序和容器作為根目錄運行。

——未能將容器集成到連續的安全環路中。這包括鏡像證實、修補、安全掃描和基於策略的監控。開發人員喜歡控制部署環境，但運營和安全性會對這種對部署環境的控制感到擔憂。構建安全工具，檢查集成到EI進程中的已知漏洞。然後儘可能自動化來檢查鏡像是否有新發現的漏洞。

——忽視企業安全需求與容器安全目標的一致性。數字業務要求能夠快速更新。他們需要敏捷和快速反應，並增加了能夠應對新發現的漏洞的功能。容器使用軟體定義的網路（SDN）。SDN提供統一的集群網路來使應該互相通話的容器可以進行通信，同時也將不應該進行通信的容器隔離開來。

編譯：Jonathan Zhang

作者：Kacy Zurkus

來源：http://www.csoonline.com/article/3215134/application-development/top-5-container-mistakes-that-cause-security-problems.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！