容器提供了一种快速、简单的方法来打包应用程序及其所有依赖项,并且在测试和开发中很流行。
根据最近由集装箱数据管理公司集群集群总局的调查,73%的企业目前正在使用集装箱进行开发和测试,但只有39%的人在生产环境中使用它们。
但这是不断变化的,65%表示,他们计划在未来12个月内使用集装箱,并引用安全性作为其最大担忧。根据调查,超过60%的人表示,安全是采用的主要或温和的障碍。
容器可以在虚拟机中运行,也可以在传统服务器上运行。这个想法有点类似于虚拟机本身,只是虚拟机包含操作系统的完整副本,而容器不包含,这使得它们加载起来更快、更容易。
缺点是容器比虚拟机彼此彼此孤立。此外,由于容器是一种容易包装和分发应用程序的方法,许多人都在做到这一点 - 但不是网络上可用的所有容器都可以信任,而不是那些容器中包含的所有库和组件都被修补和up-迄今为止。
根据Red Hat最近的一项调查,67%的组织计划在未来两年内开始在生产环境中使用容器,但60%的组织表示他们担心安全问题。
隔离,但不够孤立
虽然容器并不像虚拟机一样完全分离,但它们比自行运行应用程序更安全。
“当你的应用程序运行在Docker容器中时,它真的会更安全,”Nathan McCauley说Docker.,目前主导集装箱市场。
根据Cluster HQ的调查,92%的组织正在使用或考虑Docker容器,其次是LXC(32%)和Rocket(21%)。
McCauley说,自从这项技术首次推出以来,Docker容器就有了内置的安全特性,比如限制应用程序在容器内可以做什么。例如,公司可以设置只读容器。
他说,容器也使用名称空间,从而防止应用程序能够在同一台机器上看到其他容器。
“你不能攻击别的东西,因为你甚至不知道它存在,”他说。“你甚至可以在机器上的另一个进程上处理一个处理,因为你甚至不知道它就在那里。”
然而,Simon Crosby,Coder and CTO表示,集装箱隔离不够远得足够远。Bromium。
“集装箱不承诺提供弹性,多租户隔离,”他说。“恶意代码可以从容器中逃脱以攻击机器上的操作系统或其他容器。”
但是,如果一家公司不希望从其容器中获得最大效率,它可以每虚拟机运行一个容器。
纳舒厄,基于NASHA的情况是如此肺炎,它使用容器将其业务应用程序构建块分配给客户。
该公司的首席技术官汤姆·方丹(Tom Fountain)表示:“我们希望在虚拟机中分配的资源由特定的容器使用,而不是两个容器争夺一组共享的资源。”“我们认为在行政层面更简单。”
此外,这使得应用于第二层安全性。
“配置特定虚拟机的能力将提供一层绝缘和安全性,”他说。“然后,当我们部署在该虚拟机内部时,那么有一层安全的安全性,然后在我们自己的容器中进行了额外的安全性。”
但典型的用例是一台机器内的多个容器,根据IT专业人员通过集装箱安全供应商扭锁发布的IT专业人员的调查。
只有15%的组织为每个虚拟机运行一个容器。大多数受访者(62%)表示,他们的公司在一个虚拟机上运行多个容器,28%的公司在裸机上运行容器。
Josh Bressers,Security Managers表示,孤立问题仍未弄明白,安全产品经理红帽。
[也在CSO上:对于集装箱,安全性是第一个问题]
“每个容器都在共享相同的内核,”他说。“所以如果有人可以利用安全漏洞进入内核,他们可以进入运行该内核的所有其他容器。但我有信心我们会在某些时候解决它。”
Bressers建议,当公司思考集装箱安全时,它们适用于适用于裸体的非集装箱内应用的原则 - 而不是他们将应用于虚拟机的原则。
“有些人认为集装箱比他们更安全,”他说。
易受攻击的图像
McCauley表示,Docker也在努力解决与容器相关的另一个安全问题 - 不受信任的内容。
BanyanOps是一家集装箱技术公司,目前正处于内测试阶段。根据该公司的数据,在官方仓库中,超过30%的集装箱都存在高度优先级的安全漏洞,比如Shellshock和Heartbleed。
在官方资料库之外,这个数字跃升至约40%。
在今年创建的图像和在官方存储库中分发的图像,74%的漏洞高或中等优先级漏洞。