容器和微服務安全難以保障。機器學習可能是解決問題的辦法。

[[271549]]

利用云原生 (Cloud-Native) 架構，公司企業能以較低的成本減少應用開發時間，提升敏捷性。盡管靈活性和可移植性驅動了云原生架構的廣泛采納，但也帶來了新的挑戰：怎樣規模化管理安全及性能?

云端挑戰

容器和微服務安全難以保障主要是以下幾個原因：

• 邊界分散：一旦傳統邊界被突破，惡意軟件或勒索軟件常會在數據中心和云環境中四處游走，難以檢測。
• DevOps 思維模式下，開發人員不斷構建、推送和拉取各種鏡像，直面無數暴露，比如操作系統漏洞、軟件包漏洞、錯誤配置、秘密信息暴露……
• 容器生存周期短，內容不透明，很容易在用過后遺留下大量數據，極難看清容器化環境的風險及安全態勢。面對幾百萬臺轉瞬即逝的容器，想要梳理其上成千上萬服務中的互聯數據，以便及時了解具體安全狀況或違規情況，好比大海撈針一樣。
• 隨著開發速度的加快，安全被擠到了開發周期末端。開發人員不再從早期開始即植入安全，而寧可在末期補上，最終也就增加了基礎設施中潛在暴露的概率。

預算緊張，加上不斷創新的壓力，讓機器學習和人工智能 IT 運營 (AIOps) 逐漸融入安全提供商路線圖中，因為這是減輕現代架構中安全人員負擔最為現實的解決方案了，至少目前看來是。

為什么機器學習很適合?

容器按需使用，上下線轉換頻繁，安全人員沒有犯錯的余地。攻擊者卻只需成功一次即可收獲滿滿，而不斷發展變化的云原生環境中，入侵來得更加容易，因為安全難以跟進。也就是說，運行時環境如今可因內部人黑客行為、策略錯誤配置、零日威脅和外部攻擊而千瘡百孔。

這種動態環境中，人手短缺的安全團隊是無法人工大規模抵御這些威脅的。安全配置可能需要幾個小時乃至數天才能調整好，如此充裕的時間完全夠黑客充分利用該機會窗口了。

過去幾十年來，我們已經見證了機器學習算法和技術的長足進步。如今，即使是沒有統計學背景的人，也可以獲取機器學習模型并將之應用來解決各種問題。

容器很適合用監督學習模型，原因如下：

1. 容器表面很小

因為容器基本為模塊化任務設計，構造簡單，比較容易定義其內部行為基線，區分正常與不正常的行為。虛擬機則不同，動輒幾百個程序和進程運行，比容器難判斷得多。

2. 容器是聲明性的

不用挨個兒查配置，DevOps 團隊查看守護進程和容器環境就可以了解特定容器運行時可以做些什么了。

3. 容器是不可變的

這種不變性就是防止運行時修改的保護圍欄。比如說，如果某容器突然開始運行 netcat，那就說明可能有人入侵了。

鑒于以上特性，機器學習模型可以從行為中學習，在創建運行時配置時更加準確，精準評估哪些行為應被允許而哪些應加以禁止。通過讓機器來定義準確的配置，自動發現潛在威脅指標，檢測的效率和精度都能得到大幅提升。同時，這還能緩解安全運營中心團隊成員的過勞情況，讓他們不用為不同容器環境挨個兒手動創建特定規則，從而將精力放在響應和修復上，而不是單調機械地人工檢測上。

云原生時代，安全必須跟上不斷變化的技術態勢。團隊應配備云原生安全工具以摒除噪音與干擾，找出所需的準確情報。若不用機器學習，安全團隊會被大量無關緊要的瑣碎細節絆住，錯失真正應該關注的東西。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文