在容器技術於2013年掀起風波時,當時雖無法和傳統虛擬化技術抗衡,但是經過4年發展,Container技術也已經逐漸成熟,逐漸踏入正式環境。提供基礎架構監控服務的Datadog,就以1萬家導入公有雲、私有雲技術的企業用戶為母體,展開一場Docker導入率普查。結果顯示,在2016年5月,Docker使用率已經突破一成,上升至10.7%。

此外,原本容器調度技術多方爭鳴的局面,隨Google將Kubernetes專案釋出,並且將其貢獻給雲端原生計算基金會(CNCF),不僅逼的紅帽、CoreOS得要放棄自家原有的容器調度工具,各大公有雲服務也紛紛要支援。

但是對比Container,不少企業仍抱持傳統VM技術更為安全的想法。過去任職排名財星500大的化學廠商Albemarle資安長, 現在為容器資安廠商Twistlock技術長John Morello表示,他不時聽到有關容器技術安全議題的錯誤認知,「它們像都市傳說般存在,不停地被覆誦。」

第一迷思:容器也能越獄(Jailbreaks)。

他認為,越獄聽起來很嚇人,但是現實中卻很少發生,「多數攻擊是鎖定攻擊應用程式,若已入侵應用程式,何必還需越獄呢?」John Morello表示,對企業真正重要的問題在於,了解駭客發起攻擊的時間點,以及系統是否已遭攻擊。

第二迷思:Container得解決多租戶問題,才可以用於正式環境。

他解釋:「沒有一家企業真的需要因此而困擾。」只要將應用程式拆分為多個微服務,並且部署在VM中即可解決。

第三迷思:靠應用程式防火牆,就可以保護容器應用。

他表示,因為容器應用經常在幾秒內就會切換所在主機,甚至連資料流量(payload)都採加密傳輸的狀況下,「應用程式防火牆可說是無用武之地。」容器安全性高度仰賴開發者的資安意識,得開發出夠安全的微服務架構才行。

第四迷思:端點防護可以保護微服務

John Morello表示,端點雖然很適合保護筆記型電腦、PC以及行動裝置,「但是端點防護並不是為保護微服務而生」,它也無法介入Docker runtime以及容器調度的運作。

第五迷思:在Dockerfiles的FROM指令加上latest參數就能取得最新版本。

他解釋,容器漏洞管理並不如表面上簡單,「原始映像檔不一定永遠都會隨著專案更新」,取得最新版映像檔Base Layer,並不代表會將映像檔中每一層都同步更新。

第六迷思:無法分析容器中的惡意行為。

John Morello表示,容器行為可以監控。有幾個方法如,容器manifest檔詳細描述了容器的行為,可以用來轉換出資安特徵檔。再者,容器組成會有一定的合理性,例如開發者常會把幾個知名應用系統組成一包容器微服務來執行,容器部署比VM部署更可有基本規則可參考。另外,容器只有在更新程式時才改變,一旦發現Container運作行為變了,「不是組態設定改變,就是遭受攻擊。」

熱門新聞

Advertisement