博客

容器安全基础知识: 介绍

  乔丹·泽博尔

  洛里·麦克维蒂

2019 年 7 月 10 日发布

容器安全到底意味着什么?

容器的采用持续加速。 我们在所有受影响的 IT 领域的研究中都看到了这一点,几乎涵盖了所有受影响的 IT 领域。 容器化工作负载将继续消耗企业内部和云端的工作负载,这一点毫无争议。

几乎所有 (94%) 使用容器生产的组织都非常关心或相当关心容器的安全性。 根据Tripwire 的《2019 年集装箱安全状况》报告,超过一半(60%)的集装箱企业在过去 12 个月内经历过集装箱安全事故。 超过一半(54%)的受访者选择“团队缺乏容器安全知识”作为他们最大的安全担忧。

这可能是因为容器化不仅仅涉及一种包装格式。 容器本身对于组织而言益处甚微。 容器的优势在于能够使用编排系统来部署和管理它们。 这就是为什么它们已经存在了几十年但直到编排产品出现才被真正采用的原因。

当人们发现容器和编排与 Agile 和 DevOps 等通过使用自动化交付和部署管道来提高速度的方法自然契合时,采用就加速了。

因此,可以合理地假设,如果有人在容器中部署工作负载,那么他们也会部署作为交付(CI/CD)管道一部分的编排系统。

因此,当我们开始谈论容器安全时,必须考虑三个单独的系统:管道、编排和工作负载。 

容器堆栈

您的容器安全策略也应该包括这三者。 如果不评估其中任何一个,您就会面临各种风险,其中大多数风险可能会导致您出现在您不想要的列表中,或者更糟的是,出现在您不想阅读的标题中。 这无疑使得组织更难确保团队拥有必要的适当安全知识。

这就是我和 Sr 合作的原因。 平台安全测试工程师 Jordan Zebor 为您带来一系列博客,旨在帮助您熟悉基础知识,以便制定成功的容器安全策略。 为了做到这一点,我们将深入研究容器安全的三个组成部分:

  1. 管道安全
    您的管道是用于自动将容器化工作负载交付给编排系统的一组工具。 它可能包括自定义 Python 脚本、Jenkins、GitHub、GitLab 等。

  2. 编排安全
    编排系统用于管理和扩展工作负载。 最常见的是 Kubernetes,但也可能是基于 Kubernetes 的系统,如 RedHat OpenShift、AWS、Azure、Google、Mesos,或者在少数情况下是自定义系统。 在本系列中,我们将重点关注 Kubernetes,因为它是当今使用最广泛的编排选项。

  3. 工作负载安全
    正在部署的工作负载的安全性。 每个工作负载都是软件,可以与其他工作负载进行通信,并可供公众访问。 这越来越多地包括基础设施和中间件。 

阅读本系列的下一篇博客: 
容器安全基础知识: 管道