Gartner：使用容器技術比傳統架構更安全

Gartner稱，如果閣下的應用程式要接入網際網路而又需要具備安全性，那就用容器技術吧。

根據分析公司Gartner的研究結果，容器比在傳統作業系統裡運作的應用程式更安全，是以那些不想被黑客攻擊的架構需要認真考慮往雲裡遷移。

分析師jeorg Fritsch在一篇名為“如何確定Docker容器安全”的文章裡表示，“Gartner認為部署在容器裡的應用程式比部署在傳統作業系統裡的應用程式更安全”，原因是即便某個容器受到攻擊，“但由于每個應用程式和使用者是各處在自己的容器裡，是被隔離的，黑客并不會同時攻陷其他容器或主機作業系統”。

這也并不是說容器是完美的：文章也承認這種容器擁有的“……内在安全屬性令它們容易受到核心特權更新攻擊”，是以并不是“高風險隔離保險的好工具” 。

但文章仍然主張坊間各機構“力求從Linux容器的安全性受益，采用‘容器優先'的方法”及“将網際網路應用部署在Docker容器裡，不管是否用了CI/CD/DevOps都要遵循最佳安全實踐” 。

但這也不是說容器就是一付修複安全的萬靈丹。正如文章标題所暗示的，要擷取Docker所能提供的安全效益，正确的做法是必須的。而正确的做法意味着要根據Docker指引強化其所處的主機安全，以及考慮使用諸如Aqua安全、CloudPassage、Twistlock和Weave的第三方Docker安全産品。要掌握邏輯安全分區和網絡隔離的用法，這一點是必須的。使用者還應該透切地了解微服務路線選擇（Microservices routing），如此打造出的應用程式在容器互動時就能安全地進行。

除此之外，使用者還應該了解核心控件，以確定容器能獲得通路主機核心的正确級别。

Fritsch在文章裡表示，“在Linux作業系統和Linux容器裡，任何一個系統調用都是直接和核心互動。”他稱此核心“是所有分離特性所依靠的同一個核心。系統調用是一個承受攻擊的重要區域，這地方不能出錯誤。”

而就總體而言，文章建議各種機構認真地考慮往容器遷移。不要隻停留在DevOps那群人的層次上。

====================================分割線================================

本文轉自d1net（轉載）