容器雖具備不少固有安全性優勢 (包括提高應用程式隔離性),卻也擴大了組織的威脅態勢。如果未能認知並規劃與容器息息相關的專屬安全措施,即有可能增加組織所面臨的風險。
隨著生產環境大舉採用容器,容器也紛紛淪為惡意人士的攻擊目標。另外,具有弱點或遭到入侵的單一容器,也有機會成為入侵廣大組織環境的跳板。雖然通過資料中心和雲端的東西向流量正不斷攀升,監控此一顯著網路流量來源的安全性控制機制,依舊寥寥可數。而上述種種原因,皆可凸顯容器安全性的重要性;畢竟,傳統的網路安全性解決方案,根本無法遏止橫向移動攻擊。
在容器的整體使用率不斷成長之下,容器安全性也成為各方矚目的焦點。此一現象可引發正面效應,讓許多相關人員意識到應用程式容器安全性的重要性,並於自身的平台、流程和訓練中挹注相關投資。鑑於容器安全性涉及保護容器化應用程式及其基礎架構的所有層面,只要推行容器安全性,即可享有一項顯著優勢:促進 IT 安全性做出整體改善,並藉此發揮加乘效果。只要要求持續監控開發、測試和生產環境 (又稱為 DevSecOps 開發安全性營運) 的安全性,您就能改善整體安全性;例如,在持續整合 / 持續交付管道中,及早導入自動化掃描作業。
雖然容器安全性講求全盤規劃,當中的矚目焦點,莫過於容器本身。美國國家標準暨技術研究院 (NIST) 發表了一份應用程式容器安全性指南 (Application Container Security Guide),當中摘要說明了幾項可確保容器安全性的基本方法。下方為這份 NIST 報告的三大主要考量:
NIST 也建議使用 Trusted Platform Module (TPM) 等硬體式信任根,藉此為安全性提供另一層保障,並建立適用於容器和雲原生開發作業的文化和流程,例如開發營運或 DevSecOps 開發安全性營運。
容器安全性包含幾個重要的層面:
保護容器和環境時,往往容易犯下幾項常見錯誤,包括: