容器安全与虚拟化安全的本质区别有哪些?在前期设计以及后期运维时的侧重点是什么?

容器安全与虚拟化安全的本质区别有哪些?在前期设计以及后期运维时的侧重点是什么?

2回答

mlfmlf  项目经理 , 光大科技有限公司
devops赞同了此回答
传统虚拟化技术与Docker容器技术在运行时的安全性差异主要体现在隔离性方面,包括进程隔离、文件系统隔离、设备隔离、进程间通信隔离、网络隔离、资源限制等。在Docker容器环境中,由于各容器共享操作系统内核,而容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统...显示全部

传统虚拟化技术与Docker容器技术在运行时的安全性差异主要体现在隔离性方面,包括进程隔离、文件系统隔离、设备隔离、进程间通信隔离、网络隔离、资源限制等。
在Docker容器环境中,由于各容器共享操作系统内核,而容器仅为运行在宿主机上的若干进程,其安全性特别是隔离性与传统虚拟机相比在理论上与实际上都存在一定的差距。

收起
 2021-11-28
浏览159
jerryhuhujerryhuhu  资深架构师 , 红帽企业级开源解决方案中心
aigoppb赞同了此回答
       容器技术的特性为较长的镜像生命周期、较短的容器实例生命周期,而容器本质是进行进程和资源隔离的;基于这些特性,相比虚拟化时代需要解决的安全问题,提出了更多新的安全挑战,包括: 应用构建性挑战:快速迭代的云原生应用和镜像生成,加大了引入漏洞/bug,病毒和不安全AP...显示全部

       容器技术的特性为较长的镜像生命周期、较短的容器实例生命周期,而容器本质是进行进程和资源隔离的;基于这些特性,相比虚拟化时代需要解决的安全问题,提出了更多新的安全挑战,包括:

应用构建性挑战:快速迭代的云原生应用和镜像生成,加大了引入漏洞/bug,病毒和不安全API,secrets等机会,公开热门镜像有大量漏洞。
运行动态性挑战:大量容器实例、短生命周期,安全无法监控, 出现入侵时,具有潜伏性,入侵程序可以在被攻克的容器节点上,躲在暗处不断监控和获取其上应用的信息
资源共享性挑战:多租户共享主机Kernel,黑客利用一些漏洞或配置问题,从容器环境中跳出而获得宿主机权限,导致宿主机沦陷,出现安全逃逸问题。
部署多样性挑战:容器部署方式多样,底层环境复杂、混合云部署,带来数据,网络隔离等新问题

容器安全管理分为三步,包括前期设计的预防检查,后期运维的监控探测和响应保护,具体可参考实现如下重点:
预防检查: 安全左移、DevSecOps协作、合规基线检查、容器漏洞分析、应用配置分析、安全策略管理
监控探测: 定制安全策略、告警上下文、运行时行为分析、攻击可视化、威胁可视化、网络可视化
响应保护: 合规报告评估、合规基线修复、攻击链分析、资产可视化等

收起
 2021-11-25
浏览183

提问者

daizhe123123网络工程师, 振兴银行

问题状态

  • 发布时间:2021-11-24
  • 关注会员:3 人
  • 问题浏览:836
  • 最近回答:2021-11-28