通过容器化释放云的力量

NCSC (英国国家网络安全中心) 经常被问到的一个问题是是否在云中使用容器。这是一个简单的问题,但答案非常微妙,因为容器化的使用方式有很多种,其中一些方法比其他方法效果更好。

今天,我们发布了有关使用容器化的安全指南,因此这是讨论如何充分利用容器化以及它如何适应云平台使用的绝佳机会。

容器有很多值得喜爱的地方

如果使用得当,容器化可以为您的云服务带来许多安全和运营优势。在我们讨论如何使它们成为现实之前,最好先从这些优势(以及我们为什么需要它们)开始。

标准化

开放容器计划为容器镜像以及如何运行容器提供了标准。这意味着我们可以使用许多不同的工具和生态系统可靠地构建和运行容器,同时仍然从容器中运行的软件中获得云的所有好处。这是云技术锁定的理想平衡。例如,云服务可以安全地向它们运行的​​容器提供凭据。

分析友好

容器镜像格式使得分析其内容变得容易,例如用于漏洞扫描。这为我们提供了一系列广泛的功能,而这些功能对于虚拟机磁盘映像等其他格式来说是无法实现的。更好的是,这些可以应用于整个容器生态系统,而不是专注于仅一种编程语言的打包格式的工具。

外部组件

与虚拟机不同,容器可以在运行时通过容器中不存在的工具进行管理和分析。这意味着我们可以使用最小化的容器镜像,而无需牺牲安全性、调试或其他操作功能。

情境感知环境

容器镜像包含许多在运行时有用的重要上下文。例如,容器镜像指定容器运行时将启动的进程,这可以使容器感知的保护监控和事件检测更加有效。同样,“秘密”(如 API 密钥和其他凭据)可以安全地注入到容器中,并且可以在运行时连接容器以实现服务网格架构。这些为安全架构开辟了新的可能性,同时减轻了工程团队的负担。

容器化并不是实现这些优势的唯一方法,但它是组合这些属性的最简单方法之一。尽管如此,您应该考虑您的具体用例并采取适合您的方法。

安全机会,而非保证

重要的是要认识到与容器化相关的安全优势是机会,而不是保证。换句话说,如果您将现有应用程序转变为容器,那么如果您不采取任何其他措施,则不太可能获得任何安全优势。事实上,如果您将以前位于单独机器(或虚拟机)中的应用程序全部放入一台机器上的容器中,您的安全状况可能会恶化。

为了充分利用容器化,您需要投入时间和资源来调整您的方法,使其成为“容器原生”。

正如我们在有关使用容器化的新指南中所述,您需要调整构建容器映像和运行容器的方式,以确保充分利用容器化带来的安全机会。

当您在云中使用容器化时,您还需要考虑您可以与云提供商分担多少责任,以便他们能够代表您实现这些安全成果。例如,当使用无服务器计算服务为您构建代码时,该服务可以让您更轻松地在本地测试工作负载,或者通过让您能够导出其构建的容器映像来分析其内容。

分离多少才足够?

容器安全中最常见的讨论点之一是容器是否提供安全边界。我认为最好考虑一下您想要实现的安全结果。您通常不会将不信任的代码与敏感数据或工作负载一起运行,容器化也不会改变这一点。您应该始终期望自己的工作负载与其他人的工作负载之间存在强大的计算分离。根据特定的应用程序,您可能还希望自己的每个应用程序之间有很强的分离。

正如我们在云中技术强制分离中所说,内核强制计算分离(例如容器化)并不能提供强分离。但这并不意味着我们不能使用容器!相反,当需要强分离时,您应该使用虚拟机管理程序强制分离等选项将容器彼此分离。

适应云

正如我们在安全使用云平台指南中讨论的那样,考虑如何适应云非常重要,这对于容器化同样重要。虽然容器化可能是您满足安全要求的方式,但您仍然应该期望云提供商为您完成繁重的工作。您应该警惕以下服务:

您必须管理托管容器的计算集群

云提供商无法帮助您构建容器镜像

执行环境以非标准方式运行容器

无法与云平台正常的认证和访问控制机制集成

您无法在容器化应用程序之间应用强大的计算分离

那么您应该在云中使用容器吗?

这一切都归结为如何使用容器化:

如果您使用云提供商提供的工具和服务很好地构建了容器映像,并且您的提供商为您运行这些容器,那么您可以充分利用云的力量。

如果您自己在基础设施即服务上运行容器集群,那么您将大大限制云的优势。

在许多情况下,您甚至看不到您正在使用容器化。在许多SaaS 应用程序和 PaaS 服务中都会出现这种情况,您提供一些代码,而您的云提供商会完成其余的工作。仅仅因为容器化有助于充分利用云,并不意味着您需要能够看到容器。

容器化是充分利用云的最佳方式之一,因此您应该少关注是否使用容器,而更多地关注如何使用它们。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/465936.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++ //练习 5.19 编写一段程序,使用do while循环重复地执行下述任务:首先提示用户输入两个string对象,然后挑出较短的那个并输出它。

C Primer(第5版) 练习 5.19 练习 5.19 编写一段程序,使用do while循环重复地执行下述任务:首先提示用户输入两个string对象,然后挑出较短的那个并输出它。 环境:Linux Ubuntu(云服务器&#x…

没更新的日子也在努力呀,布局2024!

文章目录 ⭐ 没更新的日子也在努力呀⭐ 近期的一个状态 - 已圆满⭐ 又到了2024的许愿时间了⭐ 开发者要如何去 "创富" ⭐ 没更新的日子也在努力呀 感觉很久没有更新视频了,好吧,其实真的很久没有更新短视频了。最近的一两个月真的太忙了&#…

SpringBoot3整合Knife4j

前置&#xff1a; 官网&#xff1a;快速开始 | Knife4j gitee&#xff1a;swagger-bootstrap-ui-demo: knife4j 以及swagger-bootstrap-ui 集成框架示例项目 - Gitee.com 1.依赖引入&#xff1a; ps&#xff1a;json处理需要引入相关包 <dependency><groupId>c…

【PTA|期末复习|编程题】数组相关编程题(一)

目录 7-1 乘法口诀数列 (20分) 输入格式&#xff1a; 输出格式&#xff1a; 输入样例&#xff1a; 输出样例&#xff1a; 样例解释&#xff1a; 代码 7-2 矩阵列平移(20分) 输入格式&#xff1a; 输出格式&#xff1a; 输入样例&#xff1a; 输出样例&#xff1a; …

尚硅谷 Vue3+TypeScript 学习笔记(下)

目录 五、组件通信 5.1. 【props】 5.2. 【自定义事件】 5.3. 【mitt】 5.4.【v-model】 5.5.【$attrs】 5.6. 【$refs、$parent】 5.7. 【provide、inject】 5.8. 【pinia】 5.9. 【slot】 1. 默认插槽 2. 具名插槽 3. 作用域插槽 六、其它 API 6.1.【shallowR…

BIO、NIO、Netty演化总结

关于BIO&#xff08;关于Java NIO的的思考-CSDN博客&#xff09;和NIO&#xff08;关于Java NIO的的思考-CSDN博客&#xff09;在之前的博客里面已经有详细的讲解&#xff0c;这里再总结一下最近学习netty源码的的心得体会 在之前的NIO博客中我们知道接受客户端连接和IO事件的…

MySQL篇----第二十二篇

系列文章目录 文章目录 系列文章目录前言一、什么是表级锁二、什么是页级锁三、什么是行级锁四、什么是悲观锁前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。 一、…

【ES】--ES集成热更新自定义词库(字典)

目录 一、问题描述二、具体实施1、Tomcat实现远程扩展字典2、验证生效3、ES配置远程扩展字典4、为何不重启ES能实现热更新 一、问题描述 问题现象: 前面完成了自定义分词器词库集成到ES中。在实际项目中词库是时刻在变更的&#xff0c;但又不希望重启ES&#xff0c;对此我们应…

C++:面向对象——类的构造

1.1学会面向对象的编程思想 面向对象的英文缩写是OO&#xff0c;它是一种设计思想。 面向对象有3大特点&#xff1a;封装、继承和多态。 1.封装 封装有两个作用&#xff0c;一个是将不同的小对象封装成一个大对象&#xff1b;另外一个是把一部分内部属性和功能对外界屏蔽。…

mac无法往硬盘里存东西 Mac硬盘读不出来怎么办 Mac硬盘格式 硬盘检测工具

mac有时候会出现一些问题&#xff0c;比如无法往硬盘里存东西&#xff0c;或者无法往硬盘上拷贝文件。这些问题会给用户带来很大的困扰&#xff0c;影响正常的工作和学习。那么&#xff0c;mac无法往硬盘里存东西&#xff0c;mac无法往硬盘上拷贝怎么办呢&#xff1f;软妹子将为…

关于node与node-sass那些事

昨晚找了之前的一个项目想要复习下&#xff0c;结果npm i报错&#xff0c;大致意思就是noda-sass的版本和node的对不上&#xff0c;那怎么办呢&#xff1a; 1.换node版本&#xff0c;那好吧&#xff0c;首先要明白&#xff0c;对应的版本关系 2.然后我开始用nvm换node版本&am…

【深度学习 目标检测】R-CNN系列算法全面概述(一文搞懂R-CNN、Fast R-CNN、Faster R-CNN的来龙去脉)

&#x1f680;个人主页&#xff1a;为梦而生~ 关注我一起学习吧&#xff01; &#x1f4a1;相关专栏&#xff1a; 深度学习 &#xff1a;现代人工智能的主流技术介绍 机器学习 &#xff1a;相对完整的机器学习基础教学&#xff01; &#x1f4a1;往期推荐&#xff1a; 【机器学…