容器平台改造后的安全是如何解决的?
传统的单体应用的安全边界清晰,安装Agent就可以解决大量的监控木马入侵的问题,但是容器平台的共享内核特性、无状态特性,造成了安全便捷的不清晰,传统的安全产品因为网络的原因也无法对容器内的网络进行监控,所以改造后安全的问题怎么进行解决?是通过三方产品么?
收起查看其它 1 个回答HugoXiao的回答
针对安全问题,其实可以考虑商业化的容器云平台解决方案,可以提供多维度安全设计,保证系统数据安全,环境安全,网络安全,运行安全等全面的要求。在容器主机操作系统本身提供的安全措施(Linux 命名空间、安全增强型 Linux (SELinux)、Cgroups、功能和安全计算模式 (seccomp) 等)之外,商业化的容器云解决方案中,还可以在安全层面提供以下措施:
- 支持HTTPS安全协议访问、非root用户部署及管理、终端访问安全限制
- 提供基于角色的访问权限控制功能,管理提取和推送特定的容器镜像的权限,保证租户隔离,资源隔离。
- 自动化安全测试功能整合到构建或 CI 流程,如应用安全扫描,保证镜像安全
- 网络隔离:借助网络命名空间,各个容器集合都能获得自己所要绑定的 IP 和端口范围,因此能使节点上的容器集网络相互分隔开;利用路由器或防火墙的方法来控制出口流量的容器平台,以便利用 IP 白名单来进行控制(例如,控制数据库访问)。
- API 管理/端点安全和单点登录 (SSO)
浏览1622