容器安全新挑戰(zhàn)，內(nèi)網(wǎng)式安全感不復(fù)存在

時間：2022-04-04 11:57:01 | 來源：行業(yè)動態(tài)

時間：2022-04-04 11:57:01 來源：行業(yè)動態(tài)

和二戰(zhàn)的情況類似，如今企業(yè)所處的外部經(jīng)濟環(huán)境震蕩多變，要求大家在業(yè)務(wù)發(fā)展過程中必須靈活且高效應(yīng)對，這就是為什么近幾年來，容器應(yīng)用開始大行其道的重要原因。由于能夠滿足企業(yè)快速響應(yīng)、敏捷開發(fā)的需求，容器已經(jīng)成為企業(yè)應(yīng)用交付的主流形式。

但是，相較于傳統(tǒng)應(yīng)用而言，容器天然在隔離和安全性等方面存在著缺陷，這些缺陷隨著容器一起跑在所謂的企業(yè)內(nèi)網(wǎng)中，如果不能很好地識別并修復(fù)，分分鐘就會成為馬奇諾防線上的缺口，給企業(yè)帶來不可估量的損失。

面對這種情況，靠砌一道墻就擁有的安全感就蕩然無存，換句話說，企業(yè)必須重新審視并調(diào)整自己的安全策略。

首先，來看看容器給企業(yè)帶來了哪些方面的安全挑戰(zhàn)。

我們知道，目前Kubernetes已經(jīng)成為應(yīng)用創(chuàng)新的標(biāo)準(zhǔn)平臺，而DevOps也已經(jīng)成為支持云原生應(yīng)用開發(fā)和運維的主流實踐方法論。在這樣的開發(fā)理念之下，企業(yè)應(yīng)用往往需要同步在本地數(shù)據(jù)中心和云上部署和交互，這意味著，物理安全邊界將會消失，安全隱患變得無處不在，傳統(tǒng)安全策略中通過構(gòu)建一個安全邊界，把非信任域的東西阻擋在墻外的做法自然就不合時宜。

所以，企業(yè)想要推行和使用容器，有幾個問題必須要考慮：

第一，軟件供應(yīng)鏈的安全性。由于容器應(yīng)用中有很多代碼、組件來自于開源社區(qū)或者第三方外包開發(fā)，如果不能對其中的高危漏洞有效識別，或者被別有用心者利用，就等于把有問題的代碼提供給了使用者，使整個鏈條上的安全體系崩塌；

第二，基礎(chǔ)設(shè)施的安全性。如今，很多企業(yè)仍然傾向于使用DIY的Kubernetes平臺，再配上一些安全掃描的工具，這樣的基礎(chǔ)設(shè)施實際上很難滿足和評估企業(yè)在安全合規(guī)方面的要求，會使得整個平臺或業(yè)務(wù)暴露在風(fēng)險之下。另一方面，Kubernetes的安全責(zé)任相對分散，全責(zé)不明確也會造成管理的松散，不利于安全策略落實；

第三，應(yīng)用負載的安全性。容器改變了傳統(tǒng)的應(yīng)用部署模式，不僅應(yīng)用生命周期被大幅縮短，部署密度也越來越高，傳統(tǒng)安全策略很難適應(yīng)需求。另外，在對應(yīng)用（尤其是第三方應(yīng)用）進行容器打包之后，它的行為是否正常、能否達到安全標(biāo)準(zhǔn)，用過去的安全系統(tǒng)也很難進行全面監(jiān)控，如有問題就會直接對業(yè)務(wù)產(chǎn)生影響。

換言之，企業(yè)要改變的不僅僅是某一個安全技術(shù)手段，而是整個安全策略。