當前位置: > >前財星500大企業資安長澄清Container技術的6大資安迷思

前財星500大企業資安長澄清Container技術的6大資安迷思

03-24,IT資訊前財星500大企業資安長澄清Container技術的6大資安迷思最新消息報導,口袋科技網(http://www.fbajfi.live)IT資訊

在容器技術于2013年掀起風波時,當時雖無法和傳統虛擬化技術抗衡,但是經過4年發展,Container技術也已經逐漸成熟,逐漸踏入正式環境。提供基礎架構監控服務的Datadog,就以1萬家導入公有云、私有云技術的企業用戶為母體,展開一場Docker導入率普查。結果顯示,在2016年5月,Docker使用率已經突破一成,上升至10.7%。

此外,原本容器調度技術多方爭鳴的局面,隨Google將Kubernetes專案釋出,并且將其貢獻給云端原生計算基金會(CNCF),不僅逼的紅帽、CoreOS得要放棄自家原有的容器調度工具,各大公有云服務也紛紛要支援。

但是對比Container,不少企業仍抱持傳統VM技術更為安全的想法。過去任職排名財星500大的化學廠商Albemarle資安長, 現在為容器資安廠商Twistlock技術長John Morello表示,他不時聽到有關容器技術安全議題的錯誤認知,「它們像都市傳說般存在,不停地被覆誦。」

第一迷思:容器也能越獄(Jailbreaks)。

他認為,越獄聽起來很嚇人,但是現實中卻很少發生,「多數攻擊是鎖定攻擊應用程式,若已入侵應用程式,何必還需越獄呢?」John Morello表示,對企業真正重要的問題在于,了解駭客發起攻擊的時間點,以及系統是否已遭攻擊。

第二迷思:Container得解決多租戶問題,才可以用于正式環境。

他解釋:「沒有一家企業真的需要因此而困擾。」只要將應用程式拆分為多個微服務,并且部署在VM中即可解決。

第三迷思:靠應用程式防火墻,就可以保護容器應用。

他表示,因為容器應用經常在幾秒內就會切換所在主機,甚至連資料流量(payload)都採加密傳輸的狀況下,「應用程式防火墻可說是無用武之地。」容器安全性高度仰賴開發者的資安意識,得開發出夠安全的微服務架構才行。

第四迷思:端點防護可以保護微服務

John Morello表示,端點雖然很適合保護筆記型電腦、PC以及行動裝置,「但是端點防護并不是為保護微服務而生」,它也無法介入Docker runtime以及容器調度的運作。

第五迷思:在Dockerfiles的FROM指令加上latest參數就能取得最新版本。

他解釋,容器漏洞管理并不如表面上簡單,「原始映像檔不一定永遠都會隨著專案更新」,取得最新版映像檔Base Layer,并不代表會將映像檔中每一層都同步更新。

第六迷思:無法分析容器中的惡意行為。

John Morello表示,容器行為可以監控。有幾個方法如,容器manifest檔詳細描述了容器的行為,可以用來轉換出資安特徵檔。再者,容器組成會有一定的合理性,例如開發者常會把幾個知名應用系統組成一包容器微服務來執行,容器部署比VM部署更可有基本規則可參考。另外,容器只有在更新程式時才改變,一旦發現Container運作行為變了,「不是組態設定改變,就是遭受攻擊。」

聲明:

·凡注明為其他媒體來源的信息,均為轉載自其他媒體,轉載并不代表本網贊同其觀點,也不代表本網對其真實性負責。如系原創文章,轉載請注明出處。

·您若對該稿件內容有任何疑問或質疑,請即聯系,本網將迅速給您回應并做處理。

郵箱:[email protected]

+1 已贊
已有8人贊過
評論13

發表評論請 登錄
  • 最新
  • 最熱
評論舉報

請選擇舉報理由

17 13

已收藏
去我的收藏夾 >

已取消收藏
去我的收藏夾 >

7星彩玩法