日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

容器能將應(yīng)用從底層基礎(chǔ)設(shè)施中抽象出來(lái)，令開(kāi)發(fā)人員能夠?qū)?yīng)用打包成可在不同服務(wù)器上運(yùn)行的較小模塊，令應(yīng)用的部署、維護(hù)和升級(jí)都更加簡(jiǎn)單易行。

創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司是一家服務(wù)多年做網(wǎng)站建設(shè)策劃設(shè)計(jì)制作的公司,為廣大用戶(hù)提供了網(wǎng)站設(shè)計(jì)、網(wǎng)站制作，成都網(wǎng)站設(shè)計(jì)，廣告投放平臺(tái)，成都做網(wǎng)站選創(chuàng)新互聯(lián)公司，貼合企業(yè)需求，高性?xún)r(jià)比，滿(mǎn)足客戶(hù)不同層次的需求一站式服務(wù)歡迎致電。

但容器化應(yīng)用的安全方法與保護(hù)傳統(tǒng)應(yīng)用環(huán)境的方法略有不同，因?yàn)槿萜骰瘧?yīng)用的安全漏洞更難以發(fā)現(xiàn)，它們所依托的系統(tǒng)鏡像往往是未經(jīng)過(guò)驗(yàn)證的，且容器領(lǐng)域的標(biāo)準(zhǔn)化仍在發(fā)展過(guò)程中。更重要的是，容器的啟用和棄用都很方便快捷，從安全角度看略有點(diǎn)轉(zhuǎn)瞬即逝的特點(diǎn)。

Red Hat 高級(jí)首席產(chǎn)品經(jīng)理科斯騰·紐卡曼( Kirsten Newcomer )認(rèn)為：“即便容器技術(shù)對(duì)部署它們的公司企業(yè)而言是個(gè)新概念，但其背后的理念應(yīng)該是為人熟知的。”

在部署容器之前和應(yīng)用容器的整個(gè)生命周期里，公司企業(yè)都應(yīng)考慮該應(yīng)用棧的安全?！半m然容器繼承了Linux的很多安全特性，在該應(yīng)用模式上仍有一些具體的問(wèn)題需要考慮?！?/p>

以下就是公司企業(yè)在部署容器時(shí)需要檢查的8個(gè)方面內(nèi)容：

1. 秘密管理

正如其他應(yīng)用環(huán)境中你需要安全地管理口令、API密鑰和令牌等秘密，容器環(huán)境中也需要相應(yīng)的秘密管理控制措施。

很多容器化應(yīng)用要訪問(wèn)敏感信息，比如用戶(hù)名和口令，所以你的容器平臺(tái)得支持敏感信息安全功能，比如默認(rèn)加密各種秘密、在容器啟動(dòng)時(shí)自動(dòng)找回并注入秘密、防止容器訪問(wèn)其他容器的秘密等。

2. 鏡像源

你得信任承載你容器應(yīng)用的基礎(chǔ)鏡像。這意味著你需要知道這些鏡像的來(lái)源，構(gòu)建鏡像所用的源代碼，鏡像的構(gòu)建方式和地點(diǎn)，鏡像運(yùn)行的軟件，以及鏡像是否含有什么安全問(wèn)題。

容器鏡像是生產(chǎn)環(huán)境中應(yīng)用程序的基礎(chǔ)。公司企業(yè)需要做的最重要的事，就是確保自己的基礎(chǔ)容器鏡像是經(jīng)過(guò)驗(yàn)證的、可信的、受支持的。

在確定鏡像可信前一定要注意鏡像代碼中是否存在什么安全漏洞。容器鏡像往往是從非信任源下載的，或者不是經(jīng)過(guò)企業(yè)策劃收錄的，鏡像完整性需受到管理和檢查。

3. 容器工作流可見(jiàn)性

容器和容器編配工具令安全團(tuán)隊(duì)難以跟蹤應(yīng)用通信流，可能導(dǎo)致應(yīng)用意外暴露在風(fēng)險(xiǎn)之中。

所以，企業(yè)使用的工具集應(yīng)能驅(qū)動(dòng)對(duì)容器內(nèi)和容器間過(guò)程的可見(jiàn)性。該可見(jiàn)性是確保企業(yè)了解容器過(guò)程工作流的關(guān)鍵。

Docker、Kubernetes和OpenShift之類(lèi)容器編配平臺(tái)也應(yīng)具備容器工作流可見(jiàn)性，這可以帶來(lái)過(guò)程依賴(lài)性映射、策略創(chuàng)建及實(shí)施上的種種好處。

4. 標(biāo)準(zhǔn)化配置和部署

帶安全漏洞的容器配置可能將IT環(huán)境暴露在更高的風(fēng)險(xiǎn)之中，具有數(shù)據(jù)泄露和敏感信息遺失的隱患。希望部署容器的企業(yè)需標(biāo)準(zhǔn)化配置和部署過(guò)程。

在這方面，企業(yè)應(yīng)引入合規(guī)即代碼(compliance-as-code)方法來(lái)檢查Docker主機(jī)部署是否遵從了互聯(lián)網(wǎng)安全中心(CIS)提供的各項(xiàng)標(biāo)準(zhǔn)。

另外，企業(yè)敏捷開(kāi)發(fā)運(yùn)維(DevOps)中也應(yīng)集成進(jìn)工具和API供開(kāi)發(fā)人員和DevOps團(tuán)隊(duì)使用。企業(yè)應(yīng)開(kāi)始保護(hù)容器收集元數(shù)據(jù)和特定于容器部署的日志，了解Kubernetes之類(lèi)的新編配環(huán)境。

5. 發(fā)現(xiàn)與監(jiān)測(cè)

想要保護(hù)容器環(huán)境，就得能夠發(fā)現(xiàn)和跟蹤企業(yè)范圍內(nèi)的容器使用情況。企業(yè)得具備檢測(cè)諸如資源瓶頸和漏洞等潛在問(wèn)題的安全控制措施。

有效漏洞管理、合規(guī)操作和容器原生入侵檢測(cè)/預(yù)防也是企業(yè)需要的。

6. 特定于容器的主機(jī)操作系統(tǒng)

NIST說(shuō)，如果你想要減小自身容器環(huán)境的攻擊界面，就不要使用通用操作系統(tǒng)。特定于容器的操作系統(tǒng)摒除了無(wú)關(guān)功能和服務(wù)，是專(zhuān)門(mén)設(shè)計(jì)來(lái)在容器中使用的簡(jiǎn)化版操作系統(tǒng)，留給攻擊者利用來(lái)入侵的機(jī)會(huì)最少。

7. 容器風(fēng)險(xiǎn)優(yōu)先級(jí)劃分

有效安全的關(guān)鍵在于劃分關(guān)鍵容器風(fēng)險(xiǎn)優(yōu)先級(jí)。來(lái)自漏洞掃描、秘密管理、編配設(shè)置、服務(wù)配置、用戶(hù)權(quán)限和注冊(cè)表元數(shù)據(jù)的各項(xiàng)數(shù)據(jù)，可以提供與容器環(huán)境威脅相關(guān)的大量信息和上下文。應(yīng)使用這些數(shù)據(jù)標(biāo)定企業(yè)環(huán)境中的最大威脅暴露面，讓開(kāi)發(fā)人員可以在創(chuàng)建容器應(yīng)用時(shí)有所注意。

8. 容器分組

不同威脅狀況的容器都放到同一個(gè)主機(jī)操作系統(tǒng)內(nèi)核上運(yùn)行，就是在提升所有應(yīng)用面臨的風(fēng)險(xiǎn)。NIST建議，將按相同目的、同級(jí)別敏感度和相似威脅狀況來(lái)分組。以這種方式分隔容器能實(shí)現(xiàn)深度防御，防止成功入侵了一組容器攻擊者擴(kuò)大他的戰(zhàn)果。

【本文是專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

本文名稱(chēng)：容器化應(yīng)用環(huán)境安全：需要進(jìn)行這8條安全檢查
當(dāng)前地址：http://www.5511xx.com/article/dhdspss.html