信息來源:安全牛
容器采納率節(jié)節(jié)攀升,尤其是在企業(yè)生產(chǎn)環(huán)境中。NeuVector 首席執(zhí)行官 Fei Huang 點出指引容器安全未來方向的五個關(guān)鍵趨勢。
Portworx 行業(yè)報告表明,隨著主流編排平臺生態(tài)系統(tǒng)的成熟,生產(chǎn)環(huán)境中的容器使用在過去一年中翻了一倍。同時,Kubernetes 作為事實上的容器編排之選,其統(tǒng)治地位驅(qū)動了更好的標(biāo)準(zhǔn)化,簡化了存儲和安全等上層解決方案,減少了阻礙實現(xiàn)的供應(yīng)商依賴顧慮。這些數(shù)據(jù)點都是業(yè)內(nèi)熟知的。
分析師表示,容器編排也促進(jìn)了云遷移和多云及混合云容器部署的采納。
作為最早的容器安全提供商之一,NeuVector 最先看出跨整個應(yīng)用生命周期保護(hù)容器的需求會不斷增長。其首席執(zhí)行官 Fei Huang 運(yùn)用自身行業(yè)信息,點出影響當(dāng)前及未來容器安全的五個關(guān)鍵趨勢。
趨勢 1:針對容器基礎(chǔ)設(shè)施的攻擊在加速
容器部署的擴(kuò)張與攻擊的增加同步,因為攻擊者對 Kubernetes 關(guān)鍵漏洞的認(rèn)知與利用一直在增長。不斷有容器漏洞利用的消息見諸報端:Kubernetes 部署被劫持來向特斯拉公共云中引入加密貨幣挖礦容器,Docker Hub 公共存儲庫中發(fā)現(xiàn)惡意容器等等。這是可預(yù)見的伴隨著成功的副作用,攻擊只會越來越普遍和復(fù)雜,容器安全需成為企業(yè)和 DevOps 團(tuán)隊更大的關(guān)注重點。
趨勢 2:安全“策略即代碼”正成為現(xiàn)實
Kubernetes ConfigMaps 和自定義資源定義 (CRD) 能夠推動安全產(chǎn)品、配置和規(guī)則自動化,融入持續(xù)集成/持續(xù)交付 (CI/CD) 和 DevOps 流水線。DevOps 團(tuán)隊可分析應(yīng)用行為,在標(biāo)準(zhǔn) YAML 文件里聲明所有新工作負(fù)載部署的安全策略,讓安全集成過程變得高效且自動化。傳統(tǒng)安全團(tuán)隊也可使用同樣的工具往環(huán)境中添加全局安全策略,將其安全操作現(xiàn)代化至云原生水平。
趨勢 3:服務(wù)網(wǎng)內(nèi)嵌安全網(wǎng)作為容器化環(huán)境防護(hù)新策略得到追捧
越來越多的企業(yè)開始在服務(wù)網(wǎng)架構(gòu)之上添加安全網(wǎng),作為挫敗潛在攻擊的應(yīng)用感知防護(hù)新方法。黑客在滲透容器編排解決方案的嘗試中展現(xiàn)了前所未見的復(fù)雜手段,可繞過傳統(tǒng)網(wǎng)絡(luò)和主機(jī)安全產(chǎn)品,推動了對同樣高端的安全防護(hù)技術(shù)的需求。至于 Kubernetes 和容器 API 漏洞利用問題,形勢已非常明顯:挫敗此類攻擊需要自動化的即時安全情報與響應(yīng)。
趨勢 4:容器安全正向前向后擴(kuò)展
公司企業(yè)逐漸認(rèn)識到來自于應(yīng)用開發(fā)末端才插上容器安全措施插銷的風(fēng)險,比如面對零日攻擊、未知漏洞利用和內(nèi)部人攻擊的脆弱無力,于是紛紛開始“向前”實現(xiàn)安全,從開發(fā)周期之初就嵌入安全。與之類似,隨著公司企業(yè)逐漸增加生產(chǎn)環(huán)境中容器的使用,安全也在“向后”移動,以便更好地確保整個“構(gòu)建-發(fā)售-運(yùn)行”生命周期中容器和編排平臺的安全。
趨勢 5:容器正推動云 2.0 遷移
從整體上看,炙手可熱的技術(shù),比如容器化、無服務(wù)器計算,還有前面提到的服務(wù)/安全網(wǎng)和規(guī)?;缂汗芾?,都在向公司企業(yè)表明他們的云基礎(chǔ)設(shè)施未必需要是以虛擬機(jī)為中心的。公司企業(yè)可以更依托服務(wù)和數(shù)據(jù)。邁向所謂云 2.0 的公司企業(yè)正利用此新機(jī)會引入云功能——從云原生安全到網(wǎng)絡(luò)再到存儲等等,這些功能旨在更動態(tài)、更即時地處理關(guān)鍵業(yè)務(wù)需求。