《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 從云端到邊緣確保容器安全

從云端到邊緣確保容器安全

2022-11-12
來源:電子產(chǎn)品世界
關(guān)鍵詞: 云端 邊緣 容器化

無(wú)論是在云端還是邊緣,對(duì)于容器化環(huán)境來說,,采取深度防護(hù)措施,,從基礎(chǔ)層面確保安全性是極其重要的。

本文引用地址:http://www.eepw.com.cn/article/202211/440328.htm

容器化的意思是將應(yīng)用軟件與其所依賴的庫(kù)或框架等組件全部打包在同一個(gè)實(shí)體之中——這樣的實(shí)體就是一個(gè)容器,。因?yàn)槿克杞M件都已經(jīng)被配置好了,所以可以到處部署并在任何基礎(chǔ)設(shè)施上運(yùn)行。此外,,采用容器技術(shù)來運(yùn)行應(yīng)用軟件,就能夠獨(dú)立于其所運(yùn)行的操作系統(tǒng),。

容器技術(shù),,受益良多

所以,容器化的主要好處之一是可移植性,。在今天的市場(chǎng)中,,企業(yè)都希望通過容器技術(shù)來優(yōu)化應(yīng)用軟件的開發(fā)和部署,從而控制好投資成本,,而不是相互孤立地進(jìn)行項(xiàng)目開發(fā),,然后再部署到各種類型的環(huán)境之中——由此可以避免“不兼容”問題引發(fā)的修改工作。無(wú)論是在操作系統(tǒng)層,、CSP層或更高的層次上,,容器化都可以幫助客戶避免被廠商鎖定。您可以讓一個(gè)容器在云中運(yùn)行,,比如Amazon,、Azure或谷歌云,并將相同的容器運(yùn)行在任何CSP上,,甚至在企業(yè)本地的一臺(tái)內(nèi)部機(jī)器上,。這種一勞永逸的方法總是最有吸引力!還有一些我要強(qiáng)調(diào)的好處,,例如快速部署,、降低內(nèi)部基礎(chǔ)設(shè)施成本等,。因?yàn)樵谙嗤挠布峡梢赃\(yùn)行多個(gè)容器,并且可以做到應(yīng)用系統(tǒng)隔離,,就好像它是獨(dú)占著整個(gè)系統(tǒng),。

容器技術(shù)相關(guān)風(fēng)險(xiǎn)

容器化伴隨的一些風(fēng)險(xiǎn)也與其帶來的好處直接相關(guān)。一個(gè)重要的風(fēng)險(xiǎn)是,,當(dāng)我們?cè)谕恢鳈C(jī)或機(jī)器上運(yùn)行多個(gè)容器時(shí),,在不同容器中運(yùn)行的進(jìn)程的通信和行為可能會(huì)互相察覺到彼此的存在。伴隨這些通信和流量,,可能還包括其他容器中的文件,。在較小的非敏感環(huán)境中,這可能不是什么大問題,。然而,,在多個(gè)客戶共享云服務(wù)提供商和主機(jī)的環(huán)境中,這些情況可能會(huì)帶來一些疑慮,。

另一個(gè)重要問題與容器本身的性質(zhì)有關(guān),。容器由于具備可重用的映像而更易于使用。問題是,,這些映像可能存在漏洞,。黑客有時(shí)可以欺騙映像存儲(chǔ)庫(kù),讓用戶覺得自己使用的是可信任映像,,但實(shí)際這些映像已經(jīng)存在漏洞,。如果沒有在設(shè)計(jì)早期就發(fā)現(xiàn)這些映像漏洞,這可能會(huì)將漏洞傳播到容器運(yùn)行的所有地方,。由于圖像是靜態(tài)的,,這些漏洞就會(huì)一直存在,除非得到修補(bǔ)或替換,。如果易受攻擊的映像沒有被發(fā)現(xiàn),,就可能成為運(yùn)行在各種系統(tǒng)上、各個(gè)容器中的其他映像的組成部分,。

采取安全措施降低風(fēng)險(xiǎn)

安全措施最佳實(shí)踐有多種來源,。以下是我建議的兩個(gè)來源:

- 互聯(lián)網(wǎng)安全中心(Center for Internet Security)的CIS Benchmarks(CIS基準(zhǔn)指標(biāo))

- 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology,NIST)的 800-190 容器安全指南

這些文件中闡述了若干對(duì)策和控制措施,。我將簡(jiǎn)要討論兩大類可用于應(yīng)對(duì)前述風(fēng)險(xiǎn)的方法,。

第一種方法與通信保密性有關(guān)。如前所述,,我提到了一個(gè)容器能夠察覺另一個(gè)容器的通信和流量,。我們可以借助于Istio中的TLS或mTLS等技術(shù)。TLS使用加密和密鑰管理功能以確保通信只能被預(yù)期的接收方閱讀和理解。因此,,即使在流量被泄露的情況下,,這些流量對(duì)別的容器也將是無(wú)用的,因?yàn)樗呀?jīng)被加密,。你還可以采用為特定實(shí)體劃分流量的網(wǎng)絡(luò)策略,。

第二種方法主要用于實(shí)現(xiàn)內(nèi)部容器安全控制。這些控件影響著底層容器的允許,、特權(quán)和行為。它們針對(duì)惡意行為者獲得容器訪問權(quán)的情況提供保護(hù),,極大地限制了各種損害,。有些比較流行的設(shè)置是runAsNonRoot(不能運(yùn)行任何根級(jí)操作)、capabilities(可以具體控制容器本身使用哪些功能;采用一個(gè)僅限于關(guān)鍵能力的列表來幫助提高整體安全性)以及readOnlyRootFilesystem (防止惡意行為者的篡改行為),。

驅(qū)動(dòng)容器技術(shù)應(yīng)用的軟件計(jì)劃

云原生計(jì)算基金會(huì)(CNCF): CNCF是一個(gè)開源軟件基金會(huì),,旨在促使云原生計(jì)算更加通用、標(biāo)準(zhǔn)化與普及,。在此定義了一個(gè)模型,,以便衡量項(xiàng)目的相對(duì)成熟度(“沙盒”、“孵化”或“結(jié)業(yè)”),。  

雖然有很多相關(guān)的開源計(jì)劃,,但我想特別介紹的是Kubernetes、Prometheus和Harbor,。

— Kubernetes: Kubernetes解決容器業(yè)務(wù)編排問題,。

— Prometheus: Prometheus System Monitoring Tool(Prometheus系統(tǒng)監(jiān)控工具)監(jiān)視環(huán)境中正在運(yùn)行的容器,提供了一種更直接的方式來監(jiān)視容器中正在進(jìn)行的活動(dòng),。

— Harbor: The Harbor Image Repository(Harbor映像庫(kù))提供容器映像的安全管理功能,。如前所述,這些對(duì)于確保容器應(yīng)用軟件的安全性非常重要,。

請(qǐng)注意,,專注于容器安全領(lǐng)域的開源項(xiàng)目很多。有各種工具可以用來評(píng)估容器和容器映像漏洞以及最佳實(shí)踐的合規(guī)性,。但我想強(qiáng)調(diào)的是這個(gè)重要項(xiàng)目:

Open Policy Agent Gatekeeper,,它支持用戶定義其環(huán)境中容器必須滿足的各種安全條件,甚至允許您在系統(tǒng)周圍設(shè)置一個(gè)圍欄,,任何容器如果不滿足所定義的策略,,就不允許它們?cè)谙到y(tǒng)中運(yùn)行。這類措施對(duì)于提高環(huán)境安全性大有幫助,。

容器技術(shù)從邊緣到云端的應(yīng)用場(chǎng)景

在基礎(chǔ)層面上,,我們可以將云視為分散在不同位置的一組互連節(jié)點(diǎn)(可以是物理硬件設(shè)備或計(jì)算機(jī))。應(yīng)用軟件、服務(wù)和程序運(yùn)行在這些節(jié)點(diǎn)或設(shè)備上,,并可通過互聯(lián)網(wǎng)在任何地方調(diào)用,。最初,這些節(jié)點(diǎn)都是位于數(shù)據(jù)中心的計(jì)算機(jī),,但我們現(xiàn)在已經(jīng)看到大量的邊緣節(jié)點(diǎn),。

部署在邊緣的設(shè)備更小、更健壯,、更接近用戶,,可以運(yùn)行各類應(yīng)用功能。例如,,我們現(xiàn)在可以把汽車部件,、電信系統(tǒng)和手持設(shè)備這類很小的裝置看作邊緣節(jié)點(diǎn)。以前只能在數(shù)據(jù)中心計(jì)算機(jī)上運(yùn)行的容器,,現(xiàn)在也可以在邊緣節(jié)點(diǎn)上運(yùn)行,。

我們正在加速推進(jìn)容器化,所以前面我提到的那些威脅普遍存在,。還有一個(gè)重要問題——對(duì)于數(shù)據(jù)中心的節(jié)點(diǎn)我們配備了大量的安全性深度防御機(jī)制,,然而當(dāng)我們面對(duì)著邊緣節(jié)點(diǎn)情況就大為不同。例如像手持設(shè)備這樣小的設(shè)備,,它們更容易被觸及,,也缺乏數(shù)據(jù)中心那樣的防護(hù)機(jī)制。為了幫助消除潛在的安全威脅,,我們利用各種硬件安全措施,,如安全引導(dǎo)和反篡改技術(shù)。這就使惡意行為者即使能夠觸及系統(tǒng)也很難實(shí)施破壞,。

對(duì)于任何想要進(jìn)入智能系統(tǒng)領(lǐng)域并采用云原生技術(shù)(例如容器化)的企業(yè),,風(fēng)河公司提供了安全性評(píng)估的大量方法和工具供您選擇。根據(jù)您的目標(biāo),,我們提供專屬的向?qū)Ш图夹g(shù)(包括開源代碼),,以便您用來提升應(yīng)用安全性并實(shí)現(xiàn)轉(zhuǎn)型。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。