前美国财星500大企业资安长澄清Container技术的6大资安迷思

 不少企业仍抱持传统VM技术比容器更安全的想法，而容器资安厂商Twistlock技术长John Morello表示，他不时听到有关容器技术安全议题的错误认知，「它们像都市传说般存在，不停地被覆诵。」

在容器技术于2013年掀起风波时，当时虽无法和传统虚拟化技术抗衡，但是经过4年发展，Container技术也已经逐渐成熟，逐渐踏入正式环境。提供基础架构监控服务的Datadog，就以1万家导入公有云、私有云技术的企业用户为母体，展开一场Docker导入率普查。结果显示，在2016年5月，Docker使用率已经突破一成，上升至10.7％。

此外，原本容器调度技术多方争鸣的局面，随Google将Kubernetes项目释出，并且将其贡献给云端原生计算基金会（CNCF），不仅逼的红帽、CoreOS得要放弃自家原有的容器调度工具，各大公有云服务也纷纷要支持。

但是对比Container，不少企业仍抱持传统VM技术更为安全的想法。过去任职排名财星500大的化学厂商Albemarle资安长， 现在为容器资安厂商Twistlock技术长John Morello表示，他不时听到有关容器技术安全议题的错误认知，「它们像都市传说般存在，不停地被覆诵。」

 第一迷思：容器也能越狱（Jailbreaks）。

他认为，越狱听起来很吓人，但是现实中却很少发生，「多数攻击是锁定攻击应用程序，若已入侵应用程序，何必还需越狱呢？」John Morello表示，对企业真正重要的问题在于，了解黑客发起攻击的时间点，以及系统是否已遭攻击。

 第二迷思：Container得解决多租户问题，才可以用于正式环境。

他解释：「没有一家企业真的需要因此而困扰。」只要将应用程序拆分为多个微服务，并且部署在VM中即可解决。

 第三迷思：靠应用程序防火墙，就可以保护容器应用。

他表示，因为容器应用经常在几秒内就会切换所在主机，甚至连数据流量（payload）都采加密传输的状况下，「应用程序防火墙可说是无用武之地。」容器安全性高度仰赖开发者的资安意识，得开发出够安全的微服务架构才行。

 第四迷思：端点防护可以保护微服务。

John Morello表示，端点虽然很适合保护笔记本电脑、PC以及行动装置，「但是端点防护并不是为保护微服务而生」，它也无法介入Docker runtime以及容器调度的运作。

 第五迷思：在Dockerfiles的FROM指令加上latest参数就能取得最新版本。

他解释，容器漏洞管理并不如表面上简单，「原始映像档不一定永远都会随着项目更新」，取得最新版映像档Base Layer，并不代表会将映像档中每一层都同步更新。

 第六迷思：无法分析容器中的恶意行为。

John Morello表示，容器行为可以监控。有几个方法如，容器manifest档详细描述了容器的行为，可以用来转换出资安特征文件。再者，容器组成会有一定的合理性，例如开发者常会把几个知名应用系统组成一包容器微服务来执行，容器部署比VM部署更可有基本规则可参考。另外，容器只有在更新程序时才改变，一旦发现Container运作行为变了，「不是组态设定改变，就是遭受攻击。」

原文：https://www.kubernetes.org.cn/1821.html