Gartner公司建議具有安全意識的機構轉換為基于容器的應用程序交付模式�,并表示該技術比在操作系統(tǒng)上運行的應用程序要更安全�。
Gartner分析師,Jeorg Fritsch在它的博客網(wǎng)上表示�����,“Gartner認為在容器內部署應用程序比在操作系統(tǒng)上部署應用程序的安全系數(shù)要高���。情況就是這樣���,即使容器以某種方式遭到攻擊,“它們也極大地限制了攻擊的危害��,因為應用程序和用戶被隔離在一個容器內���,它們無法攻擊其它容器或主機操作系統(tǒng)��?�!?/p>
當然�,Gartner承認容器遠未達到防篡改的程度����。Fristch在他貼出的博文中承認,容器都背負著“與生俱來的安全特性�,這使得它們極易受到內核特權提升攻擊”,這也意味著它們是“高風險保證隔離的最佳工具”��。
就算如此���,F(xiàn)ristch認為����,如果企業(yè)遵循“容器優(yōu)先”方案并且“不管是做CI/CD/DevOps�,在具有最佳實踐安全性的Docker容器中部署網(wǎng)絡易受攻擊(internet-exposed)的應用程序�����?��!彼鼈兙湍軌虺浞掷肔inux容器所帶來的好處。
除此之外��,企業(yè)還要知道���,容器本身并不是一個神奇的安全解決方案�。Docker容器必須正確利用它們所帶來的安全優(yōu)勢�����,即強化Docker所運行的主機�����,并充分利用來自第三方公司的容器安全解決方案��。還有�����,管理邏輯安全區(qū)和網(wǎng)絡隔離,微服務路由也十分必要���,這樣能夠安全與其它容器交互。最后��,用戶還要掌握內核控制以便確保他們的容器僅擁有訪問主機的內核的權限���。
“在Linux操作系統(tǒng)和容器中�����,每一個系統(tǒng)調用就是一次與內核的直接交互����,” Fritsch寫道�����。他指出這個內核是“所有隔離功能所依賴的相同內核��?��!?/p>
