容器提供了一种快速、简单的方法来打包应用程序及其所有依赖项,并且在测试和开发中很流行。
根据最近的集装箱数据管理公司总部集群发起的一项调查显示,企业的73%目前正在使用的开发和测试的容器,但只有39%的人在生产环境中使用它们。
但是,这种情况正在改变,65%的人说他们计划在生产中使用的容器在未来12个月,并引用安全作为他们最大的担心。据调查,仅有60%表示,安全是主要或中度障碍收养。
容器可以在虚拟机中运行,也可以在传统服务器上运行。这个想法有点类似于虚拟机本身,不同的是,虽然虚拟机包含操作系统的完整副本,但容器不包含,这使它们加载起来更快、更容易。
缺点是容器之间的隔离程度不如虚拟机。此外,因为容器是打包和分发应用程序的一种简单方法,所以许多人都在这样做——但并不是web上所有可用的容器都是可信的,而且并不是所有容器中包含的库和组件都是有补丁且最新的。
根据Red Hat最近的一项调查,67%的组织计划在未来两年内开始在生产环境中使用容器,但是60%的组织表示他们担心安全问题。
隔离,但不是孤立的足够
尽管容器没有完全相互隔离的虚拟机,它们不仅仅是自己运行的应用程序更安全。
“当应用程序在Docker容器中运行时,它确实更安全,”at的安全主管Nathan McCauley说搬运工人,目前占主导地位的集装箱市场。
根据Cluster HQ的调查,92%的组织正在使用或考虑使用Docker容器,其次是LXC(32%)和Rocket(21%)。
麦考利说,自从这项技术首次推出以来,Docker容器就有了内置的安全功能,比如能够限制应用程序在容器内的活动。例如,公司可以设置只读容器。
容器也默认使用命名空间,他说,这防止应用程序能够看到在同一台机器上的其他容器。
“你不能攻击别的东西,因为你甚至不知道它的存在,”他说。“你甚至可以得到一个把手在机器上的另一个进程,因为你甚至不知道它的存在。”
然而,容器隔离不走的不够远,西蒙·克罗斯比,联合创始人兼首席技术官安全厂商称Bromium。
“集装箱不作提供弹性,多租户隔离的一个承诺,”他说。“这是可能的恶意代码从容器逃脱攻击的操作系统或机器上的其他容器。”
如果一家公司不希望得到最大效率了其容器,但是,它可以运行只有一个每个虚拟机容器。
这是纳舒厄的情况下NH基Pneuron,它采用集装箱将其业务应用程序构建块分配给客户。
“我们希望将虚拟机中的资源分配给一个特定的容器来使用,而不是让两个容器争夺一组共享的资源,”该公司的CTO汤姆·方丹(Tom Fountain)说。“我们认为在行政层面上更简单。”
另外,这使得应用程序安全性的第二层,他说。
“配置特定虚拟机的能力将提供绝缘和一个安全层,”他说。“然后,当我们部署在虚拟机内再有就是安全的一个层来把容器周围,然后我们自己的容器内,我们有额外的安全层为好。”
但典型的使用情况是在一台机器内的多个集装箱,根据周三容器安全厂商发布转销IT专业人士的调查。
只有15%的组织为每个虚拟机运行一个容器。大多数受访者(62%)表示,他们的公司在一台虚拟机上运行多个容器,28%的公司在裸金属上运行容器。
和隔离问题仍然没有想通了,约什Bressers,在安全产品经理红色的帽子。
〔也可CSO:对于容器,安全性是问题1]
“每个容器共享相同的内核,”他说。“因此,如果有人可以利用一个安全漏洞来获得内核中,他们可以进入所有运行的内核的其他容器。但是,我相信我们会在某个时候解决这个问题。”
Bressers建议,当企业考虑容器的安全,他们采用同样的原则,因为他们将适用于裸,非集装箱应用程序 - 他们不将适用于虚拟机的原理。
“有些人认为容器更安全的比他们,”他说。
弱势图片
麦考利说,码头工人也在努力解决与容器另一个安全问题 - 那不可信的内容。
据目前处于内测阶段的容器技术公司BanyanOps称,在官方仓库中,超过30%的容器存在高度优先级的安全漏洞,比如Shellshock和Heartbleed。
在官方数据库之外,这一数字跃升至40%左右。
今年创建和分发在官方源的图像中,有74%有高或中等优先级漏洞。