計世網

物流企業如何守護云上的“集裝箱”安全?
作者:劉沙 | 來源:計算機世界
2020-08-03
選擇容器安全產品,要從全生命周期防護和持續監控與分析功能考慮。

 

  你知道嗎?集裝箱的發明曾經改變了這個世界,因為集裝箱讓物流運輸實現了標準化,大大降低了運輸成本。如今,全球90%的貨物都是通過集裝箱運輸到世界各地的?!督洕鷮W人》雜志曾指出:如果沒有集裝箱,就不會有全球化。對于這一點,作為物流企業的A公司有著深刻體會。

  而容器,就好比是IT技術領域的集裝箱。有人斷言,容器的廣泛應用也將改變各個行業,甚至改變世界。

  有數據表明,企業對容器的采用率正在逐漸上升。Gartner在 2019年發布的一份報告顯示,到2023年,全球將有70%以上的企業采用容器化應用,而且,這些企業將在生產中運行3個以上的容器化應用。

  容器帶來的六大好處

  據了解,A公司的云原生已經規?;涞?,而且采用了容器,應用了kubernetes編排技術。IT架構師張曉丹(曾擔任久游網、聚尚網等企業技術負責人)向記者介紹了容器帶來的6大好處:

  其一,部署方便。

  過去IT團隊進行編程時,往往要耗費幾個小時搭建環境,而且出現問題時總是需要很久才能解決,還得向其他成員求助。有了容器之后,這些都變得非常容易,開發環境只是一個或幾個容器鏡像的地址,最多再需要一個控制部署流程的執行腳本,或者進一步將環境鏡像以及鏡像腳本放入一個git項目,發布到云端,需要的時候再將它拉到本地。

  "目前使用主流容器技術的團隊都是用這種方案搭建本地開發環境,并將其整理成相關標準,慢慢沉淀成關于容器技術的財富了。"

  其二,部署安全。

  過去研發人員收到bug反饋時,心里的第一反應都是"在我本地是好的??!"其實導致這種情況的是環境不一致,在開發過程中的調試往往不能保證在其他環境里也沒有問題。有了容器以后,可以通過容器技術讓開發環境、測試環境以及生產環境保持版本上的統一,保證代碼在一個高度統一的環境中執行,這樣也能解決CI流程對環境的要求。

  "在分布式技術和擴容需求日益增長的今天,如果運維人員能使用容器技術進行環境部署,不僅能節省部署時間,還能把很多因人工配置環境產生的失誤降到最低。"

  其三,隔離性好。

  無論是用于開發還是生產,一臺機器上往往需要跑多個服務,而且服務各自需要的依賴配置不盡相同,如果兩個應用需要使用同一個依賴,或者兩個應用需要的依賴之間有一些沖突,就很容易出現問題,所以最好把同一臺服務器上不同應用提供的不同服務隔離起來。而容器在這方面有天生的優勢,每一個容器就是一個隔離環境,對容器內部提供服務的要求,容器可以自依賴的全部提供。這種高內聚的表現可以快速分離有問題的服務,在復雜系統中實現快速排錯和及時處理。

  其四,能快速回滾。

  在容器之前的回滾機制,一般需要基于上個版本的應用重新部署,替換問題版本;在最初時是用一套完整的從開發到部署的流程,而執行這一套流程往往需要很長時間;在基于git的環境中,需要回退某個歷史提交,然后重新部署。與容器技術相比,這些方式都不夠快,而且可能會引起新的問題。容器技術天生帶有回滾屬性,對每個歷史或鏡像都會保存,而替換容器的某個歷史鏡像是非??焖俸唵蔚?。

  其五,使用成本低。

  張曉丹表示,"這是最明顯和有用的優點了。"在容器出現之前,構筑一個應用往往需要一臺新的服務器或一臺虛機,而服務器的購置成本和運維成本都很高,虛機則需要占用很多不必要的資源。相比之下,容器技術就小巧輕便得多,只要給一個容器內部構建應用需要的依賴就可以了,這也是容器技術發展迅速的最主要原因。

  其六,管理成本更低。

  隨著容器技術不斷普及和發展,容器管理和編排技術也同樣得到發展。如Docker Swarm、Kubernetes、Mesos等編排工具也在不斷迭代更新,這讓容器技術在生產環境中擁有了更多的可能性和更大的發揮空間。隨著大環境的發展,Docker等容器的使用和學習成本也在降低,成為更多開發者和企業的選擇。

  簡而言之,通過"云化"和"容器化",可實現快速構建和維護新服務、新應用,達到降本增效和信息資源整合的目標。

  保障容器安全的三大策略

  但是,容器本身也存在著重大的安全風險,如不安全的鏡像、容器逃逸攻擊、運行環境安全問題、編排安全問題等等,這意味著保護容器安全也是一項持續的挑戰。針對這些挑戰,傳統的防火墻、漏掃類安全產品,并不能解決容器內東西向流量問題,更無法對容器分層鏡像進行掃描。據Gartner統計,2019年,容器安全產品的覆蓋率只占5%-20%。

  對此,張曉丹表示,目前很多技術團隊對容器安全技術的了解都不是很透徹,市場也未能提供豐富的技術手段,但是容器安全領域處于蓬勃的發展期,新技術總是要經歷這樣的過程才會逐步成熟。

  在他看來,保護容器安全在未來將會出現三種主要策略:

  第一,安全策略即代碼

  Kubernetes ConfigMaps和自定義資源(CRD)等工具將把安全產品、配置和規則自動化到CI/CD和DevOps環境中。DevOps團隊可以通過分析應用程序、應用行為,在標準的YAML文件中聲明所有新的工作負載都要部署安全策略,從而使安全過程高效集成且自動化。傳統的安全團隊也可以使用相同的工具,將全球安全策略注入到整個環境中,讓企業體驗到來自云原生的現代化安全。

  第二,安全網格化服務

  越來越多的企業開始在服務體系架構中增加安全網格化功能,來阻止潛在的網絡攻擊風險,讓應用程序具備可感知能力。當黑客繞過傳統網絡和主機安全技術,開始攻擊容器編排解決方案,必要的安全保障措施也要及時跟上。因為即時和自動化的安全情報響應體系是解決Kubernetes和容器API漏洞的最有利措施,也是解決黑客攻擊的必要手段。

  第三,容器安全動態調整

  很多企業在容器開發后才通過安全措施來加固,防范風險,比如:尋找攻擊的薄弱點,通過環境模擬來尋找未知的漏洞。而有些安全意識比較強的企業會在容器開發之初就格外重視安全問題,為了確保云遷移萬無一失,必須把安全策略貫穿于容器編排平臺的整個生命周期,包括構建之初,平臺運行過程中,此外也要關注運行之后的變化。

  企業的容器安全之選

  信息安全專家任祖森(曾擔任起亞、吉利等知名汽車主機廠信息安全負責人)指出,為確保網絡安全,公司有必要建立一套網絡安全體系,而網絡安全體系是一項復雜的系統工程,需要把安全組織體系、安全技術體系和安全管理體系等手段進行有機融合,構建一體化的整體安全屏障。目前網絡安全防護有幾個比較經典的架構,包括PDRR模型、P2DR模型、IATF框架和黃金標準框架。

  理論模型--網絡安全體系構建--演習實戰的驗證,會讓網絡空間安全體系不斷優化運行。演習覆蓋了演習規劃、方案設計、實戰和演習后優化等步驟,以此發現網絡安全體系在防御、檢測、響應、修復環節中的問題和待優化的地方,驗證有效性。

  任祖森進一步表示,在選擇容器安全產品時,要從容器安全的全生命周期防護和持續的監控與分析功能考慮,并形成閉環。

  在全生命周期防護方面,平臺在容器和kubernetes 的安全性方面建立了標準,可以在容器應用程序的整個生命周期(構建、分發、運行)中保護容器環境安全。

  在持續的監控與分析方面,要持續性監測容器的安全狀況,可視化展現企業的風險場景。為安全決策者動態展示企業容器環境安全指標變化、安全走勢分析,使容器安全清晰可衡量。

  為此,A公司使用了青藤蜂巢•容器安全平臺。該平臺專注于容器安全領域,能提供強大的實時監控和響應能力,幫助企業發現和解決風險,保障企業的容器環境安全。

  據任祖森介紹,使用青藤蜂巢•容器安全平臺后,在以下方面得到了加強:

  首先是資產清點: 在發生安全事件時,能全面及時的進行資產數據支持,大大縮短了排查問題的時間周期,減少了企業損失。此外,資產信息與補丁、入侵功能協同聯動,能幫助用戶快速定位問題容器,并及時查看到容器內的進程、應用詳情信息。

  其次,安全補丁解決了Docker 補丁管理難的問題:通過建立一個智能應用補丁掃描工具,可以為安全運維人員提供補丁管理、補丁檢測以及自動化補丁修復建議。

  第三,實現了入侵檢測:視角從了解黑客的攻擊方式,轉化成對內在指標的持續監控和分析,無論多么高級的黑客,其攻擊行為都會觸發內部指標的異常變化,從而被迅速發現并處理。

  第四是達到了合規基線:緊跟監管政策,不斷更新等級保護、CIS 標準對應的基線??梢砸绘I進行自動化檢測,提供可視化基線檢查結果和代碼級的修復建議。

  張曉丹向記者表示,"青藤蜂巢•容器安全產品提供了精準、高效、可擴展的主機安全產品和專業服務;以服務器安全為核心,構建了基于業務端的安全聯動平臺,為企業提供了穩固、持續性的安全防護,保障了容器對業務的快速響應。"
 

責任編輯:劉沙

贵州快3一定牛30期