快速推進DevOps流程時的安全問題探討

寫在前面的話

容器和微服務技術的誕生為我們設計和構建安全的基礎設施以及應用程序提供了非常大的幫助。容器環境從中心化到數字化的轉變，正在迅速成為主流。基於雲環境的原生架構以及基於微服務的應用程序對於公司和企業的快速發展至關重要。為了快速實現安全性，企業必須加快自身的容器安全策略以及實施的成熟度。

隨著生產部署速度的加快，不同組件之間的安全問題愈發明顯，這將給企業帶來直接的安全風險。大家都知道，傳統的安全工具及產品無法給容器和微服務提供安全保護，因此大多數部署了容器的公司都會對自身資產的安全性表示擔憂，並且希望安全社區能夠提供專門的解決方案。

除了部署新的容器安全平台之外，各大公司還意識到了他們必須利用雲環境和容器化生態系統固有的安全功能及架構，而類似Kubernetes這樣的容器及微服務技術就給我們構建安全的基礎設施以及應用程序提供了絕佳的機會。

新的挑戰和策略轉移

從本質上來看，容器化環境只要在構建和使用時操作得當，那它們就是更安全的。但想要安全地配置、操作和運行這些系統，就需要豐富的經驗了。通常，一般的安全團隊對容器或Kubernetes這樣的東西是沒有經驗的，因此很多企業還需要根據各自部署容器的方式來重新審視這些團隊的安全形色和責任。

加強Kubernetes的安全性是一個組織想要保護容器化應用程序時所要做的最基本的事情之一。Kubernetes已經成為了絕大多數容器化環境部署方案中的首選，它是否能夠成為一個強大的解決方案，主要原因在於你能夠從多大程度上來使用和控制它。需要注意的是，它提供了非常豐富的配置選項，這也就意味著在操作的過程中會出現錯誤，如果你的設置不正確，那麼你就有可能引入不必要的業務風險。此外，Kubernetes也正在成為網路犯罪分子的攻擊目標，因為它的使用越來越廣泛了。

DevOps跟安全更加貼近

隨著雲服務和雲生態環境的興起，CIO團隊已經從提供和運行雲基礎設施，轉移到了提供服務支持型的應用程序。現在，隨著容器化環境技術的發展，安全團隊也在進行著類似的轉變，這是因為應用程序的安全已經逐步進入了DevOps的領域。考慮到DevOps在構建、測試和部署應用程序方面的專業知識和核心作用，DevOps團隊成員必須負責去保護這些應用程序以及基礎設施。雖然安全團隊仍然需要去制定一些安全策略並設置防護邊界，但DevOps將越來越多地去操作更適用於容器化應用程序的安全工具。

除此之外，DevOps還可以幫助我們在軟體開發生命周期的初期更加安全地構建產品基礎設施，而容器技術的細粒度可以提高系統的彈性和靈活性。在雲本地環境中，控制層和數據層從某種程度上來說時交織在一起的，因此我們可以編寫一個邏輯層來進行連續的、及時的操作。

容器和微服務能夠幫助我們進行實時的修改，例如部署安全更新等等。為了解決一個問題，我們只需要替換掉舊的鏡像，部署新的鏡像，刪除受影響的容器，然後重構一個新的容器，而這些容器將會自動使用新的鏡像。這樣一來，你就可以在不破壞整個應用程序的情況下解決你所遇到的安全問題了。

毫無疑問，DevOps會讓網路犯罪分子們更加頭疼，如果他們成功滲透，通常只能看到一個容器里的東西，而擴大攻擊範圍意味著他們必須多次重複執行攻擊入侵操作。

考慮到容器固有的安全結構，DevOps團隊和安全團隊還可以協同合作來保護基礎設施的安全。此時，安全團隊只需要在共享安全原則和策略上集中儘力以應用到新的開發工具上，而DevOps團隊可以把注意力放在集成本地DevOps工具容器安全平台上。

沒錯，我們需要更聰明一點！再聰明一點！

*

參考來源：

darkreading

，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！