1同行回答
先说差异,再说相同点。
1)容器技术属于虚拟化的一种,但与VM不同,容器更轻量,相应地其隔离性相对VM要弱很多。因此,从安全风险角度来看,容器相对VM更不安全。
2)但是,由于“不可变基础设施”理念的践行,所有容器都是镜像的副本。假设一个容器被入侵后被植入后门软件,运营人员只需要将其重启,新生成的容器副本就可以恢复到初始的安全状态,达到清理后门软件的目标。所以在容器安全里,镜像安全的重要性非常高,企业在实践容器安全时一定会做一定程度的“安全左移”,而不是只关注运行时入侵检测。
3)回到容器技术本身,通常企业会采用K8S和Docker/Containerd构建容器云。那么K8s和Docker/Containerd作为新的保护对象,其具体的漏洞和配置基线自然也是新的;
4)网络不同,容器网络插件很好几种选择,粗分为underlay和overlay两种。但无论哪一种,社区的方案通常不为容器分配固定的IP。因此传统的基于IP的防火墙策略很难适用,而需要采用基于标签的新的区分方式。
5)随着容器技术的推广,相应的DevOps与微服务也受到相应的同步推广,三者经常结合在一起。因此对容器安全的建设,也需要考虑DevOps和微服务的安全。
综上所述,容器安全防护与其他的安全防护,保护的对象不同,对象的生命周期不同,区分方式不同,攻击方式不同,防护方式也不同。
再来说一下相同点,传统安全的理念仍然可以通用。
1)无论是做哪种安全防护,都是先做资产清点,再做检测扫描,针对发现的问题进行修复加固。对于残留风险,进行实时入侵检测和处置。
2)容器技术面临的攻击方式有很多传统攻击方式,例如端口扫描、暴力破解、反弹shell、提权、上传木马等,检测原理自然也是类似的。