前美国财星500大企业安全专家澄清Container技术的6大安全问题

 不少企业仍抱持传统VM技术比容器更安全的想法,而容器安全厂商Twistlock技术长John Morello表示,他不时听到有关容器技术安全议题的错误认知,「它们像都市传说般存在,不停地被覆诵。」

在容器技术于2013年掀起风波时,当时虽无法和传统虚拟化技术抗衡,但是经过4年发展,Container技术也已经逐渐成熟,逐渐踏入正式环境。提供基础架构监控服务的Datadog,就以1万家导入公有云、私有云技术的企业用户为母体,展开一场Docker导入率普查。结果显示,在2016年5月,Docker使用率已经突破一成,上升至10.7%。

此外,原本容器调度技术多方争鸣的局面,随Google将Kubernetes项目释出,并且将其贡献给云端原生计算基金会(CNCF),不仅逼的红帽、CoreOS得要放弃自家原有的容器调度工具,各大公有云服务也纷纷要支持。

但是对比Container,不少企业仍抱持传统VM技术更为安全的想法。过去任职排名财星500大的化学厂商Albemarle, 现在为容器安全厂商Twistlock技术长John Morello表示,他不时听到有关容器技术安全议题的错误认知,「它们像都市传说般存在,不停地被覆诵。」

 第一迷思:容器也能越狱(Jailbreaks)。

他认为,越狱听起来很吓人,但是现实中却很少发生,「多数攻击是锁定攻击应用程序,若已入侵应用程序,何必还需越狱呢?」John Morello表示,对企业真正重要的问题在于,了解黑客发起攻击的时间点,以及系统是否已遭攻击。

 第二迷思:Container得解决多租户问题,才可以用于正式环境。

他解释:「没有一家企业真的需要因此而困扰。」只要将应用程序拆分为多个微服务,并且部署在VM中即可解决。

 第三迷思:靠应用程序防火墙,就可以保护容器应用。

他表示,因为容器应用经常在几秒内就会切换所在主机,甚至连数据流量(payload)都采加密传输的状况下,「应用程序防火墙可说是无用武之地。」容器安全性高度仰赖开发者的安全意识,得开发出够安全的微服务架构才行。

 第四迷思:端点防护可以保护微服务。

John Morello表示,端点虽然很适合保护笔记本电脑、PC以及行动装置,「但是端点防护并不是为保护微服务而生」,它也无法介入Docker runtime以及容器调度的运作。

 第五迷思:在Dockerfiles的FROM指令加上latest参数就能取得最新版本。

他解释,容器漏洞管理并不如表面上简单,「原始映像档不一定永远都会随着项目更新」,取得最新版映像档Base Layer,并不代表会将映像档中每一层都同步更新。

 第六迷思:无法分析容器中的恶意行为。

John Morello表示,容器行为可以监控。有几个方法如,容器manifest档详细描述了容器的行为,可以用来转换出安全特征文件。再者,容器组成会有一定的合理性,例如开发者常会把几个知名应用系统组成一包容器微服务来执行,容器部署比VM部署更可有基本规则可参考。另外,容器只有在更新程序时才改变,一旦发现Container运作行为变了,「不是组态设定改变,就是遭受攻击。」