容器安全与虚拟化安全的本质区别有哪些?在前期设计以及后期运维时的侧重点是什么?

容器安全与虚拟化安全的本质区别有哪些?在前期设计以及后期运维时的侧重点是什么?

参与9

3同行回答

mlfmlf  项目经理 , 光大科技有限公司
传统虚拟化技术与Docker容器技术在运行时的安全性差异主要体现在隔离性方面,包括进程隔离、文件系统隔离、设备隔离、进程间通信隔离、网络隔离、资源限制等。在Docker容器环境中,由于各容器共享操作系统内核,而容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统...显示全部

传统虚拟化技术与Docker容器技术在运行时的安全性差异主要体现在隔离性方面,包括进程隔离、文件系统隔离、设备隔离、进程间通信隔离、网络隔离、资源限制等。
在Docker容器环境中,由于各容器共享操作系统内核,而容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比在理论上与实际上都存在一定的差距。

收起
银行 · 2021-11-28
浏览976
       容器技术的特性为较长的镜像生命周期、较短的容器实例生命周期,而容器本质是进行进程和资源隔离的;基于这些特性,相比虚拟化时代需要解决的安全问题,提出了更多新的安全挑战,包括:应用构建性挑战:快速迭代的云原生应用和镜像生成,加大了引入漏洞/bug,病毒和不安全API...显示全部

       容器技术的特性为较长的镜像生命周期、较短的容器实例生命周期,而容器本质是进行进程和资源隔离的;基于这些特性,相比虚拟化时代需要解决的安全问题,提出了更多新的安全挑战,包括:

应用构建性挑战:快速迭代的云原生应用和镜像生成,加大了引入漏洞/bug,病毒和不安全API,secrets等机会,公开热门镜像有大量漏洞。
运行动态性挑战:大量容器实例、短生命周期,安全无法监控, 出现入侵时,具有潜伏性,入侵程序可以在被攻克的容器节点上,躲在暗处不断监控和获取其上应用的信息
资源共享性挑战:多租户共享主机Kernel,黑客利用一些漏洞或配置问题,从容器环境中跳出而获得宿主机权限,导致宿主机沦陷,出现安全逃逸问题。
部署多样性挑战:容器部署方式多样,底层环境复杂、混合云部署,带来数据,网络隔离等新问题

容器安全管理分为三步,包括前期设计的预防检查,后期运维的监控探测和响应保护,具体可参考实现如下重点:
预防检查: 安全左移、DevSecOps协作、合规基线检查、容器漏洞分析、应用配置分析、安全策略管理
监控探测: 定制安全策略、告警上下文、运行时行为分析、攻击可视化、威胁可视化、网络可视化
响应保护: 合规报告评估、合规基线修复、攻击链分析、资产可视化等

收起
软件开发 · 2021-11-25
浏览978
wukewuke  售前技术支持 , SmartX超融合
除了各位专家已经提到的容器安全要点以外,还有必要强调注意容器/K8S环境下的东西向流量模式与虚拟机环境的不同。虚拟机环境下的应用服务架构仍然比较传统,大部分是典型的Client-Web-App-DB模型,东西向流量虽然增长,但还属于在传统经验下可预测、可管理的范围。而容器/K8S环...显示全部

除了各位专家已经提到的容器安全要点以外,还有必要强调注意容器/K8S环境下的东西向流量模式与虚拟机环境的不同。

虚拟机环境下的应用服务架构仍然比较传统,大部分是典型的Client-Web-App-DB模型,东西向流量虽然增长,但还属于在传统经验下可预测、可管理的范围。

而容器/K8S环境下的东西向通信就从量变到质变了:一方面是NodePort、ClusterIP增加了对IP地址和端口号的动态使用,而KubeProxy作为原生负载均衡机制将大量南-北向流量转变为东-西向流量;另一方面,微服务架构被采用得越来越多,导致Pod间通信需求的激增,ServiceMesh普遍将Sideca模式用于代理容器间的通信。这种从形式到数量的变化就需要容器网络提升对于东西向流量的安全管理能力、可视化能力和基于预测分析的主动安全防御能力。

收起
软件开发 · 2022-04-29
浏览683

提问者

daizhe123123
网络工程师振兴银行
擅长领域: 云计算容器容器云

问题来自

相关问题

相关资料

相关文章

问题状态

  • 发布时间:2021-11-24
  • 关注会员:4 人
  • 问题浏览:1922
  • 最近回答:2022-04-29
  • X社区推广