容器和微服务器将会如何来改变安全性

（文章来源：企业网D1Net）

构建和部署阶段的安全性把重点放在将控件应用于开发人员工作流程以及持续集成和部署管道（deployment pipeline），以减轻容器启动后可能出现的安全问题的风险。Docker、Red Hat和CoreOS等公司的几个领先的容器平台和工具提供了部分或全部功能。从这些选项之一着手是构建和部署阶段确保强健的安全性的最简单的方法。

然而，构建和部署阶段的控件仍然不足以确保全面的安全程序。在容器开始运行之前抢占所有安全事件是不可能的，原因如下。首先，不可能一劳永逸地消除所有漏洞，新的漏洞始终会被利用。其次，声明式容器元数据和网络分段策略不能完全预测高度分布式环境中的所有合法应用程序活动。最后，运行时控件使用起来很复杂，经常会配置错误，使应用程序容易受到威胁。

运行时阶段的安全性包括发现和停止容器运行时发生的攻击和策略违规所需的所有功能，即可见性、检测、响应和预防。安全小组需要对安全事件的根本原因进行鉴别分类、调查和确认，以便对其进行充分的补救。以下是成功运行时阶段的安全性的关键方面。

为持续可见性测量整个环境。能够检测攻击和违反策略的行为都始于能够实时捕获运行容器的所有活动，以提供可 *** 作的“事实上的来源（source of truth）”。存在各种用于捕获不同类型的容器的相关数据的仪器框架。选择可以处理容器的容积和速度的关键。

关联分布式威胁指标。把容器设计成按资源可用性分布在计算基础设施。鉴于应用程序可能包含数百或数千个容器，攻击的指标可能会扩散到大量的主机上，这使确定与作为主动威胁的一部分相关的那些主机变得更困难。需要大规模，快速的相关性来确定是哪些指标构成特定攻击的基础。

分析容器和微服务行为。微服务和容器可将应用程序分解为执行特定功能并被设计为不可变的最小组件。这种做法比传统应用程序环境更容易让人理解预期行为的正常模式。与这些行为基准的偏差可能反映了恶意活动，而这可以更准确地检测威胁。

用机器学习增强威胁检测。在容器环境中产生的数据量和速度使常规的检测技术应接不暇。自动化和机器学习可以实现更有效的行为建模、模式识别和分类，以更高的保真度和更少的误报检测威胁。要警惕那些仅仅用机器学习来生成用于警告异常的静态白名单的解决方案，这可能会导致严重的警报噪音和疲劳。

拦截和阻止未经授权的容器引擎命令。发给容器引擎的命令（例如Docker）用于创建、启动和终止容器以及运行启动中的容器内的命令。这些命令可以反映对容器的攻击企图，这意味着必须禁止任何未经授权的容器。

将响应和取证的动作自动化。容器的短暂生命意味着它们留给事件响应和取证的可用信息极少。此外，原生云架构往往将基础设施视为不可变，自动将受影响的系统替换为新的系统，这意味着容器在调查时可能会消失。自动化可以确保快速捕获、分析和升级信息，以减轻攻击和破坏的影响。

基于容器技术和微服务架构的原生云软件正在迅速地对应用程序和基础设施进行现代化。这种范式转移迫使安全专业人员重新考虑能有效保护其组织所需的计划。当容器被构建、部署和运行时，一个全面的原生云软件安全程序解决了整个应用程序生命周期。通过使用上述指南实施程序，组织可以为容器基础设施及运行在它上面的应用程序和服务构建稳固的基础。

Wei Lien Dang是StackRox的产品副总裁，StackRox是一家为容器提供适应性威胁防护的安全公司。此前，他曾担任CoreOS的产品负责人，并担任Amazon Web Services、Splunk和Bracket CompuTIng的安全和云基础架构的高级产品管理角色。
      （责任编辑：fqj）