Gartner:Linux容器比传统应用程序更安全

Gartner称，如果阁下的应用程序要接入互联网而又需要具有安全性，那就用容器吧。根据分析公司Gartner的研究结果，容器比在传统操作系统里运行的应用程序更安全，因此那些不想被黑客攻击的结构需要认真考虑往云里迁移。

ZD至顶网服务器频道 07月19日 新闻消息: Gartner称，如果阁下的应用程序要接入互联网而又需要具有安全性，那就用容器吧。

根据分析公司Gartner的研究结果，容器比在传统操作系统里运行的应用程序更安全，因此那些不想被黑客攻击的结构需要认真考虑往云里迁移。

分析师jeorg Fritsch在一篇名为“如何确保Docker容器安全”的文章里表示，“Gartner认为部署在容器里应用程序比部署在传统操作系统里的应用程序更安全”，原因是即便某个容器受到攻击，“这些应用程序极大地限制成功攻陷后所能造成的损失，因为每个应用程序和用户是各处自己的容器里，是被隔离的，黑客并没有攻陷其他容器或主机操作系统”。

这也并不是说容器是完美的:文章也承认这种容器拥有的“……内在安全属性令它们容易受到内核特权升级攻击”，因此并不是“高风险隔离保险的好工具” 。

但文章仍然主张坊间各机构“力求从Linux容器的安全性受益，采用‘容器优先'的方法”及“将互联网应用部署在泊坞(Docker)容器里，不管是否用了CI/CD/DevOps都要遵循最佳安全实践” 。

但这也不是说容器就是一付修复安全的万灵丹。正如文章标题所暗示的，要获取泊坞所能提供的安全效益，正确的做法是必须的。而正确的做法意味着要根据泊坞指引强化泊坞所处的主机安全，以及考虑使用诸如Aqua安全、CloudPassage、Twistlock和Weave的第三方泊坞安全产品。要掌握逻辑安全分区和网络隔离的用法，这一点是必须的。用户还应该透切地理解微服务路线选择(Microservices routing)，如此打造出的应用程序在容器互相交谈时就能是安全地进行。

用户还应该了解内核控件，以确保容器能获得访问主机内核的正确级别。

Fritsch在文章里表示，“在Linux操作系统和Linux容器里，任何一个系统调用都是直接和内核互动。”他称此内核“是所有分离特性所依靠的同一个内核。系统调用是一个承受攻击的重要区域，这地方不能出错误。”

而就总体而言，文章建议各种机构认真地考虑往容器迁移。不要只停留在DevOps那群人的层次上。

　　　　　　　　　　　　　 查看评论 回复