擁抱容器的同時,毋忘提高安全性的三條途徑
譯文【51CTO 快譯】在企業(yè)IT領域,顛覆性技術正非常迅速地被應用于商業(yè)。然而,如果企業(yè)文化和流程沒有與時俱進、跟上技術的步伐,哪怕最出色的企業(yè)應用軟件,它的效果也必然會大打折扣。比如,受其影響較為顯著的一個IT領域就是網(wǎng)絡安全。但是軟件容器的崛起為企業(yè)提供了做好應用程序安全或者至少大大提高應用程序安全的機會。而軟件容器也正在成為最具顛覆性的企業(yè)技術之一。
Docker和CoreOS RKT等軟件容器正迅速被采用于應用軟件開發(fā)、開發(fā)運維(DevOps)和Web應用程序等環(huán)境。那是因為它們會給企業(yè)帶來明顯的好處:部署快,具有靈活性和可擴展性,而且可以經(jīng)濟高效地利用計算資源。
然而,這些軟件容器的應用在為企業(yè)IT帶來好處的同時,也帶來了新的安全挑戰(zhàn)――即在共享內(nèi)核上運行,隔離用戶和進程方面存在難題,它們增加的一層阻礙了用戶了解主機上的活動,另外管理容器部署的絕對規(guī)模令人望而生畏。
雖然面臨這些挑戰(zhàn),但依然有幾個原因表明,容器確實為企業(yè)IT提供了大好機會,并且能夠大大提高企業(yè)的安全性:
1.讓容器安全成為聚匯點,開發(fā)運維和安全可以圍繞它聯(lián)合起來:開發(fā)運維是一股潮流,旨在通過自動化、溝通和協(xié)作,改善和協(xié)調(diào)應用程序開發(fā)團隊與運維團隊之間的關系。Securosis在2015年10月發(fā)布了Adrian Lane撰寫的一份題為《把安全融入開發(fā)運維》的報告,該報告特別指出:“開發(fā)運維同時代表了一場文化變革……很難表述讓運維、開發(fā)和質(zhì)量保證等團隊肩并肩合作的影響……在你親自領略、認識到許多問題因清晰地溝通和共同的目的而得到緩解之前,你可能覺得這是個‘模糊’的好處......”
企業(yè)安全團隊面臨與開發(fā)團隊和運營團隊相同的企業(yè)文化障礙,可能會因類似開發(fā)運維的文化重組而受益匪淺。將安全添加到開發(fā)運維即“開發(fā)安全運維”(DevSecOps)絕不是新想法,如今早已深入人心。
讓開發(fā)運維成為做好容器安全的一個關鍵因素是,開發(fā)運維促進了提高企業(yè)網(wǎng)絡安全性所需的文化轉(zhuǎn)變。也許開發(fā)運維一開始并沒有考慮到安全,但是安全團隊在充分利用開發(fā)運維,調(diào)整自己與開發(fā)團隊和運維團隊的關系,然后重新確立與其他IT小組的這種關系。如果我們決定讓容器安全成為開發(fā)運維和安全聯(lián)合起來的聚匯點,它就創(chuàng)造了讓關鍵的安全流程實現(xiàn)自動化的機會,為隨后的文化變革提供了一個成功的案例。
2.由于沒完沒了的重大安全泄密事件,安全現(xiàn)在成為高層主管關注的問題:開發(fā)運維并不是影響企業(yè)網(wǎng)絡安全唯一的文化層面的變革推動者。如果說科技界從沒完沒了的重大安全泄密事件中學到了什么教訓,那就是,把安全融入到IT不僅僅是一個口號――它對業(yè)務不無好處。相比之前的提供商,容器平臺提供商非常關注安全,但是容器市場仍處于早期階段。由于高盛和紐約銀行等組織公開聲明,它們對容器“寄予厚望”,安全不再是事后補充上去的想法。這就引出了最關鍵的因素……
3.在容器成為主流應用之前,要明確并滿足容器安全要求:由于安全團隊是容器采用審查流程的一部分,容器在成為主流技術之前,我們需要列出安全方面要考慮的因素。然而,大多數(shù)安全專業(yè)人員根本不知道容器是什么,更不用說部署容器對安全會有什么樣的影響。除了獨特的安全問題外,網(wǎng)絡安全簡史告訴我們,只要引入一種新技術,濫用它的漏洞永遠不會落后。
盡管Docker及其他容器平臺廠商很關注安全,但是它們無法控制或預測客戶會如何使用容器。一眨眼的工夫,許多公司就會仿效高盛和紐約銀行梅隆。任何在評估基于容器策略的組織都要確保安全已及早考慮進來。
現(xiàn)在,我們?nèi)员劝踩珕栴}領先幾步,但是安全團隊需要做好本職工作。他們需要盡快熟悉容器技術,并且結(jié)合它們使用容器來構(gòu)建的企業(yè)應用程序這個環(huán)境來考慮容器安全問題。
這是個艱巨的任務,但是及早融入容器安全,讓容器有望成為一流的應用程序安全典范。
如果企業(yè)充分抓住這個機會,將安全集成到構(gòu)建和管理基于容器的應用程序的架構(gòu)當中,這為搞好安全提供了難得的機會。
原文標題:3 ways to improve security as you embrace containers 作者:Dror Davidoff
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
