容器平台改造后的安全是如何解决的?

传统的单体应用的安全边界清晰,安装Agent就可以解决大量的监控木马入侵的问题,但是容器平台的共享内核特性、无状态特性,造成了安全便捷的不清晰,传统的安全产品因为网络的原因也无法对容器内的网络进行监控,所以改造后安全的问题怎么进行解决?是通过三方产品么?

2回答

dean25dean25  软件架构设计师 , 民生银行
yinqi0yinxinquietywind赞同了此回答
首先容器不是一个操作系统的概念,应该是一个应用的概念。应用确保安全的方法是做代码扫描,相应的容器也可以做镜像扫描。容器运行时,通常对外只有一个服务端口,也无法通过用户名/密码的方式登陆,所以相对传统操作系统,对外暴露的点非常少,网络侵入的难度会非常大。容器安全的威...显示全部

首先容器不是一个操作系统的概念,应该是一个应用的概念。应用确保安全的方法是做代码扫描,相应的容器也可以做镜像扫描。容器运行时,通常对外只有一个服务端口,也无法通过用户名/密码的方式登陆,所以相对传统操作系统,对外暴露的点非常少,网络侵入的难度会非常大。容器安全的威胁有很大一部分来自内部,因此需要通过证书、授权等级制严格限制,只有授权的用户才可以访问容器API,包括登陆容器。同时为了避免有额外用户登录容器后尝试获取宿主机root权限,也需要对容器的权限做一定控制,禁止一些可能引起安全漏洞的高权限命令,比如docker命令。

网络监控方面,在使用overlay网络模型下,集群内容器之间的互访流量(东西向流量)的确不好监控。这种情况下就假定集群内的应用之间都是可以互相信任的。如果一定要做访问控制,就需要使用underlay网络模型,比如Calico。

收起
 2019-06-21
浏览124
针对安全问题,其实可以考虑商业化的容器云平台解决方案,可以提供多维度安全设计,保证系统数据安全,环境安全,网络安全,运行安全等全面的要求。在容器主机操作系统本身提供的安全措施(Linux 命名空间、安全增强型 Linux (SELinux)、Cgroups、功能和安全计算模式 (seccomp) 等)之外...显示全部

针对安全问题,其实可以考虑商业化的容器云平台解决方案,可以提供多维度安全设计,保证系统数据安全,环境安全,网络安全,运行安全等全面的要求。在容器主机操作系统本身提供的安全措施(Linux 命名空间、安全增强型 Linux (SELinux)、Cgroups、功能和安全计算模式 (seccomp) 等)之外,商业化的容器云解决方案中,还可以在安全层面提供以下措施:

  1. 支持HTTPS安全协议访问、非root用户部署及管理、终端访问安全限制
  2. 提供基于角色的访问权限控制功能,管理提取和推送特定的容器镜像的权限,保证租户隔离,资源隔离。
  3. 自动化安全测试功能整合到构建或 CI 流程,如应用安全扫描,保证镜像安全
  4. 网络隔离:借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。
  5. API 管理/端点安全和单点登录 (SSO)
收起
 2019-06-24
浏览97

提问者

yinqi0其它, XX电力有限公司

问题状态

  • 发布时间:2019-06-20
  • 关注会员:3 人
  • 问题浏览:648
  • 最近回答:2019-06-24
  • 关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
    © 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30