容器与容器间的安全隔离是如何做的?

传统的VM是建立在HYPERVISOR之上的,VM与VM间天然隔离,而容器是建立在操作系统之上的,容器与容器间的安全性只能利用操作系统的命名空间隔离,这种安全隔离对于银行企业来说,顶用吗?还有没有其他安全隔离技术?网络安全技术能否深入运用到容器安全方面?...显示全部

传统的VM是建立在HYPERVISOR之上的,VM与VM间天然隔离,而容器是建立在操作系统之上的,容器与容器间的安全性只能利用操作系统的命名空间隔离,这种安全隔离对于银行企业来说,顶用吗?还有没有其他安全隔离技术?网络安全技术能否深入运用到容器安全方面?

收起
参与46

查看其它 1 个回答wxidl的回答

wxidlwxidl  系统工程师 , 江苏银行总行信息科技部

个人认为:
容器云的安全发展总体上是比较滞后的。
比如说docker在cgroup和namespace上做了很多工作,一定层面上完成了隔离,但是还有部分资源是容器共享的,比如proc下面的数据等等。
容器编排层面也有类似的问题,针对关键的信息通信很多都没有加密。
传统意义上的安全软件,比如防篡改软件等等目前看还没有跟上容器云发展的脚步,出现了一定的滞后。

我个人的建议是:
1.容器使用非root用户启动,不赋予root账户
2.容器基础镜像可以参照传统运维进行OS层面的安全加固
3.容器所在的宿主机开启SELINUX和iptable
4.容器的运行时资源限制,防止资源竞争
5.容器基础镜像OS的漏洞扫描
6.容器中中间件的安全加固和漏洞扫描
7.应用程序自身的漏洞扫描

银行 · 2017-09-21
浏览3007

回答者

wxidl
系统工程师江苏银行总行信息科技部
擅长领域: 云计算容器容器云

wxidl 最近回答过的问题

回答状态

  • 发布时间:2017-09-21
  • 关注会员:3 人
  • 回答浏览:3007
  • X社区推广