無(wú)論是在云端還是邊緣，對于容器化環(huán)境來(lái)說(shuō)，采取深度防護措施，從基礎層面確保安全性是極其重要的。

　　容器化的意思是將應用軟件與其所依賴(lài)的庫或框架等組件全部打包在同一個(gè)實(shí)體之中--這樣的實(shí)體就是一個(gè)容器。因為全部所需組件都已經(jīng)被配置好了，所以可以到處部署并在任何基礎設施上運行。此外，采用容器技術(shù)來(lái)運行應用軟件，就能夠獨立于其所運行的操作系統。

　　所以，容器化的主要好處之一是可移植性。在今天的市場(chǎng)中，企業(yè)都希望通過(guò)容器技術(shù)來(lái)優(yōu)化應用軟件的開(kāi)發(fā)和部署，從而控制好投資成本，而不是相互孤立地進(jìn)行項目開(kāi)發(fā)，然后再部署到各種類(lèi)型的環(huán)境之中--由此可以避免"不兼容"問(wèn)題引發(fā)的修改工作。無(wú)論是在操作系統層、CSP層或更高的層次上，容器化都可以幫助客戶(hù)避免被廠(chǎng)商鎖定。您可以讓一個(gè)容器在云中運行，比如Amazon、Azure或谷歌云，并將相同的容器運行在任何CSP上，甚至在企業(yè)本地的一臺內部機器上。這種一勞永逸的方法總是最有吸引力！還有一些我要強調的好處，例如快速部署、降低內部基礎設施成本等。因為在相同的硬件上可以運行多個(gè)容器，并且可以做到應用系統隔離，就好像它是獨占著(zhù)整個(gè)系統。

　　容器化伴隨的一些風(fēng)險也與其帶來(lái)的好處直接相關(guān)。一個(gè)重要的風(fēng)險是，當我們在同一主機或機器上運行多個(gè)容器時(shí)，在不同容器中運行的進(jìn)程的通信和行為可能會(huì )互相察覺(jué)到彼此的存在。伴隨這些通信和流量，可能還包括其他容器中的文件。在較小的非敏感環(huán)境中，這可能不是什么大問(wèn)題。然而，在多個(gè)客戶(hù)共享云服務(wù)提供商和主機的環(huán)境中，這些情況可能會(huì )帶來(lái)一些疑慮。

　　另一個(gè)重要問(wèn)題與容器本身的性質(zhì)有關(guān)。容器由于具備可重用的映像而更易于使用。問(wèn)題是，這些映像可能存在漏洞。黑客有時(shí)可以欺騙映像存儲庫，讓用戶(hù)覺(jué)得自己使用的是可信任映像，但實(shí)際這些映像已經(jīng)存在漏洞。如果沒(méi)有在設計早期就發(fā)現這些映像漏洞，這可能會(huì )將漏洞傳播到容器運行的所有地方。由于圖像是靜態(tài)的，這些漏洞就會(huì )一直存在，除非得到修補或替換。如果易受攻擊的映像沒(méi)有被發(fā)現，就可能成為運行在各種系統上、各個(gè)容器中的其他映像的組成部分。

　　安全措施最佳實(shí)踐有多種來(lái)源。以下是我建議的兩個(gè)來(lái)源：

　　- 互聯(lián)網(wǎng)安全中心（Center for Internet Security）的CIS Benchmarks（CIS基準指標）

　　- 美國國家標準與技術(shù)研究院（National Institute of Standards and Technology，NIST）的 800-190 容器安全指南

　　這些文件中闡述了若干對策和控制措施。我將簡(jiǎn)要討論兩大類(lèi)可用于應對前述風(fēng)險的方法。

　　第一種方法與通信保密性有關(guān)。如前所述，我提到了一個(gè)容器能夠察覺(jué)另一個(gè)容器的通信和流量。我們可以借助于Istio中的TLS或mTLS等技術(shù)。TLS使用加密和密鑰管理功能以確保通信只能被預期的接收方閱讀和理解。因此，即使在流量被泄露的情況下，這些流量對別的容器也將是無(wú)用的，因為它已經(jīng)被加密。你還可以采用為特定實(shí)體劃分流量的網(wǎng)絡(luò )策略。

　　第二種方法主要用于實(shí)現內部容器安全控制。這些控件影響著(zhù)底層容器的允許、特權和行為。它們針對惡意行為者獲得容器訪(fǎng)問(wèn)權的情況提供保護，極大地限制了各種損害。有些比較流行的設置是runAsNonRoot(不能運行任何根級操作)、capabilities(可以具體控制容器本身使用哪些功能；采用一個(gè)僅限于關(guān)鍵能力的列表來(lái)幫助提高整體安全性）以及readOnlyRootFilesystem （防止惡意行為者的篡改行為）。

　　云原生計算基金會(huì )(CNCF)： CNCF是一個(gè)開(kāi)源軟件基金會(huì )，旨在促使云原生計算更加通用、標準化與普及。在此定義了一個(gè)模型，以便衡量項目的相對成熟度("沙盒"、"孵化"或"結業(yè)"）。

　　雖然有很多相關(guān)的開(kāi)源計劃，但我想特別介紹的是Kubernetes、Prometheus和Harbor。

　　- Kubernetes： Kubernetes解決容器業(yè)務(wù)編排問(wèn)題。

　　-Prometheus： Prometheus System Monitoring Tool（Prometheus系統監控工具）監視環(huán)境中正在運行的容器，提供了一種更直接的方式來(lái)監視容器中正在進(jìn)行的活動(dòng)。

　　-Harbor： The Harbor Image Repository（Harbor映像庫）提供容器映像的安全管理功能。如前所述，這些對于確保容器應用軟件的安全性非常重要。

　　請注意，專(zhuān)注于容器安全領(lǐng)域的開(kāi)源項目很多。有各種工具可以用來(lái)評估容器和容器映像漏洞以及最佳實(shí)踐的合規性。但我想強調的是這個(gè)重要項目：

　　Open Policy Agent Gatekeeper，它支持用戶(hù)定義其環(huán)境中容器必須滿(mǎn)足的各種安全條件，甚至允許您在系統周?chē)�設置一個(gè)圍欄，任何容器如果不滿(mǎn)足所定義的策略，就不允許它們在系統中運行。這類(lèi)措施對于提高環(huán)境安全性大有幫助。

　　在基礎層面上，我們可以將云視為分散在不同位置的一組互連節點(diǎn)(可以是物理硬件設備或計算機)。應用軟件、服務(wù)和程序運行在這些節點(diǎn)或設備上，并可通過(guò)互聯(lián)網(wǎng)在任何地方調用。最初，這些節點(diǎn)都是位于數據中心的計算機，但我們現在已經(jīng)看到大量的邊緣節點(diǎn)。

　　部署在邊緣的設備更小、更健壯、更接近用戶(hù)，可以運行各類(lèi)應用功能。例如，我們現在可以把汽車(chē)部件、電信系統和手持設備這類(lèi)很小的裝置看作邊緣節點(diǎn)。以前只能在數據中心計算機上運行的容器，現在也可以在邊緣節點(diǎn)上運行。

　　我們正在加速推進(jìn)容器化，所以前面我提到的那些威脅普遍存在。還有一個(gè)重要問(wèn)題--對于數據中心的節點(diǎn)我們配備了大量的安全性深度防御機制，然而當我們面對著(zhù)邊緣節點(diǎn)情況就大為不同。例如像手持設備這樣小的設備，它們更容易被觸及，也缺乏數據中心那樣的防護機制。為了幫助消除潛在的安全威脅，我們利用各種硬件安全措施，如安全引導和反篡改技術(shù)。這就使惡意行為者即使能夠觸及系統也很難實(shí)施破壞。

　　對于任何想要進(jìn)入智能系統領(lǐng)域并采用云原生技術(shù)(例如容器化)的企業(yè)，風(fēng)河公司提供了安全性評估的大量方法和工具供您選擇。根據您的目標，我們提供專(zhuān)屬的向導和技術(shù)（包括開(kāi)源代碼），以便您用來(lái)提升應用安全性并實(shí)現轉型。