容器云如何保護數據安全?
容器化云的概念并不是什么新鮮事物,而且如今已經在市場上切實鋪開、不斷普及。但大家有沒有想過,我們該怎么保護這么多存放著關鍵資產的容器?它們不單承載著業務信息,同時也直接影響到客戶、合作伙伴及員工的安全態勢。
在本文中,我們將共同探索從部署到數據存儲階段的不同容器保護方法,了解如何保護數據、規避可能出現的網絡威脅。此外,我們還將探討一系列關于保護客戶信息和修復安全漏洞的最佳實踐。
安全注意事項
我們首先來看在創建容器化應用程序時,需要關注的幾大主要云容器安全注意事項:
隔離
如果在云端運行虛擬機(VM),那么每個虛擬機只對應一個應用程序。虛擬機之間存在壁壘,共享任一虛擬機、不會對其他虛擬機造成任何影響。
容器與虛擬機有著很多相似特性,但容器更為輕巧,更適合托管那些由高度動態的語言所編寫、在設計上強調在實時系統上部署的應用程序。大家熟悉的Node.js、Ruby on Rails、Python以及PHP都屬于高動態編程語言。
當我們在虛擬機中創建容器時,該容器也處于隔離狀態;如果需要將其部署在其他環境,則應確保它與其他應用程序互不干涉。另外請注意,單服務器部署相對簡單;但如果出于共享目的而將容器部署在多臺服務器上,還需要考慮相應的網絡問題。
當然,在虛擬機中運行多個容器本身也頗具難度,在應用程序體量較大時更是如此。為了隔離開多個容器,必須單獨部署每個容器。換句話說,應用程序可能跟另一個不明來源的應用程序同時運行在同一臺主機之上。
安全部署
那我們該怎么保護這些容器?在思考答案之前,首先要從不同的考量因素入手:
容器保護方面的另一大重點,在于云服務商有沒有切實貫徹安全措施。不少云服務商都有自己的一套產品和工具,所以在著手部署容器前必須先對現有安全方案開展核查。
云服務商也是容器保護中的重要一環。他們可以分析應用程序需要什么,再采取適當的方法加以保護。有些云服務商還會把自己的一部分應用程序部署在云端,借此衡量和驗證自己的云安全措施。
配合來自云服務商的出色安全監控與管理解決方案,可以更輕松地跟蹤容器內的錯誤配置或違規活動。一旦發現問題,優秀的云服務商還能為我們提供可行的補救策略。
當然,容器部署還只是開始,持續監控容器才能觀察其中是否存在安全或者配置問題。
數據存儲
一說起數據移動,大家首先想到的往往是虛擬機或者文件系統。這些當然重要,但還不夠全面。另一大重要考量因素在于容器數據的位置:位于容器自身、還是位于集群(運行中的容器組)。如果不清楚數據存放在哪里,大家的安全保障工作恐怕將無從開展。
數據存儲是保護容器時需要考慮的核心因素之一。
數據往往會被放置在虛擬機與主機系統相互隔離的位置。而在容器中,由于往往同時擁有多個容器實例,所以數據可能位于多個容器當中;而且根據實際選定的數據模型,大家可以把數據安全存儲在主機上或者其他隔離度更高的位置。
當創建新容器時,云服務商可以看到其中到底包含哪種數據類型。因此如果應用程序運行方式不夠安全,那么數據也可能面臨風險。所以在應用程序設計中也應考慮到云服務商的安全思路,確保容器數據安全可靠、不致意外泄露。
定義安全規則
如前文所述,安全規則也是容器部署中最重要的安全因素之一。在安全設計中,必須保證各項安全規則能夠準確反映應用程序需求與當前數據模型。
下面來看部分安全規則示例:
定義窗口存儲的管理規則,特別是明確設定允許哪些容器訪問存儲內容(即容器數據訪問控制列表,簡稱CACL)。沒有容器規則的容器定義,不能算是完整的容器定義。
根據容器與應用程序的實際需求,可以通過進程管理器完成規則定義。您可以將此進程管理器設置為容器擁有者,為其授予數據寫入以及從存儲處讀取數據的權限。
如果還有其他需要定義的安全規則,例如訪問控制列表(ACL)或者基于角色的訪問控制列表(RBACL),也可以使用作為容器所有者的進程管理器實現。以該管理器為載體的訪問規則與身份管理,將為您的容器體系提供堅實的安全支持。
