美國國家标準技術局釋出應用容器安全指南

美國國家标準技術局（NIST）釋出了一項有關應用容器技術安全問題的公告。該公告對之前的兩個公告内容進行了總結，包括鏡像、系統資料庫、編配器、容器、主機作業系統和硬體方面的漏洞，以及相應的應對措施。

NIST的計算機安全研究中心（CSRC）負責監管NIST的數字和資訊相關的項目和出版物。該公告對之前的兩份有關應用容器安全的出版物進行了總結，它先是對應用容器的現狀進行了總結，然後列出了影響容器安全的因素，最後提出改進應用容器安全的應對措施。

容器的可移植性和不可變性會導緻兩個地方出現安全問題。容器提供了比應用壓縮包更進階别的抽象，用于釋出和部署應用程式。它們具有跨環境和機器的可移植性，相同的容器鏡像可以被用在開發環境、測試環境和生産環境。這對于應用的可移植性和持續傳遞來說雖然有一定的好處，但也帶來了安全問題。安全工具和流程并不能保證容器所運作環境絕對安全，因為特定的環境可能包含很多安全漏洞。

容器使用了不可變模型，每當一個新版本的容器釋出，舊的容器就會被銷毀，新容器會代替舊容器執行任務。如果基礎鏡像發生變更（比如一個作業系統鏡像），應用開發者就必須為相應的應用生成新的鏡像。将安全漏洞更新檔和缺陷修複推到生産環境變成了開發人員的責任，而不是運維人員。但實際上，運維團隊應該在這方面擁有更多的經驗，是以說這也是一個潛在的問題。

NIST釋出的指南列出了六個需要應用安全措施的地方，包括鏡像、系統資料庫、編配器、容器、主機作業系統和硬體。鏡像漏洞有可能是作業系統漏洞、配置問題、木馬、未被信任的鏡像、明文存儲的秘鑰。鏡像是基于基礎鏡像建構而成的，在很多情況下，應用開發者并不知道底層鏡像會存在問題。不安全的連接配接、過時的鏡像和不完備的認證授權機制給鏡像注冊帶來了風險。如果沒有做好網絡流量控制，任由無限制的通路，那麼用于管理容器生命周期的編配器也會出現問題。大部分編配器并不支援多使用者模式，從安全方面來看，預設的設定一般無法保證最佳的安全性。

容器裡也可能包含了惡意代碼，它們有可能會“沖出”容器，對同一主機上的其他容器或對主機本身造成威脅。容器内部未加控制的網絡通路和不安全的容器運作時配置（在進階别權限模式下運作）也會帶來隐患，因為容器有可能受到來自其他方面的影響，比如應用級别的漏洞。每一個主機作業系統都有一個“攻擊面”，攻擊者通過這個攻擊面對作業系統發起攻擊。主機一旦受到攻擊，主機上的容器也難逃厄運。共享核心的容器會加大攻擊面。

應對措施需要從最底層開始——也就是硬體，然後往上達到容器運作時，當然也會觸及鏡像、系統資料庫和編配器。之前關于容器安全的研究也提到了類似的内容。

**Ghostcloud精靈雲

Ghostcloud精靈雲是國内首批從事容器虛拟化研發的企業，其産品企業級容器雲PaaS／CaaS平台EcOS，與微服務／DevOps相融合，緻力于為企業提供網際網路化、私有雲管理平台、大資料業務基礎架構等服務，幫助客戶降低成本、提升效率、簡化運維及産品部署，提升系統可靠性和安全性。目前在金融、制造、能源、政務等領域有超過50家的客戶。

雙軟認證企業

菁蓉杯2016創業大賽冠軍

通過全國高新技術企業認定

通過ITSS雲計算服務能力标準認證

2017德勤-成都高新創新創業明日之星

入圍2017年雲計算領域“奧斯卡”雲鼎獎

榮獲2017中國雲計算500強|PaaS平台服務商

創富中國2016年度總決賽最受媒體歡迎企業

天府（四川）聯合股權交易中心雙創企業闆挂牌企業

全球首批CNCF官方認證Kubernetes核心服務提供商

阿裡2016雲栖大會CACSC全球總決賽「十大優秀企業」

**

本篇文章來源于 Linux公社網站(www.linuxidc.com) 

作者：Hrishikesh Barua ，譯者 薛命燈