容器相比虚拟机更为安全的十三个方面

简介: 本文讲的是容器相比虚拟机更为安全的十三个方面【编者的话】容器的安全性一直是架构师们的心病,担心隔离性弱被攻破,而纠结于是否选择容器。本文将围绕容器的安全特性,从容器设置以及容器应用的最佳实践出发,总结13个方面,说明容器为何比虚拟机更加安全的原因。希望能够对您的容器安全加固有所帮助。
本文讲的是容器相比虚拟机更为安全的十三个方面【编者的话】容器的安全性一直是架构师们的心病,担心隔离性弱被攻破,而纠结于是否选择容器。本文将围绕容器的安全特性,从容器设置以及容器应用的最佳实践出发,总结13个方面,说明容器为何比虚拟机更加安全的原因。希望能够对您的容器安全加固有所帮助。

去年,普遍观念认为容器的安全性远不如虚拟机。为什么呢 ?由于容器的抽象层极易被攻破,因此容器的安全无疑比通过 硬件VT-x优化 后的虚拟机抽象层薄弱的多 。一旦攻防松懈,恶意代码便可轻松攻击主机。更糟糕的是,一旦主机妥协,由于容器缺乏自有的操作系统壁垒,它将失去最基本的防守能力。隔离墙的薄弱也会导致容器存在大量安全风险隐患。

然而,真相是:正面攻击及未打补丁的漏洞要比从后门入侵更加不安全。

运行在浮肿的操作系统并采用不一致的安全配置的虚拟机的大量复制才是我们的首位安全隐患。事实上,轻量级设计的容器配置将降低被攻击的几率,轻薄的隔离墙使得在部署前后的安全加固操作更加简便。

容器虽然没有天生的技术优势,但至少在以下六个方面更安全:
  1. 不允许SSH:这招直接断了很多正面攻击的入口;
  2. 无用户访问:没有用户可省去支持用户访问需求的证书或工具;
  3. 容器系统限制默认端口:容器就是服务,因此可直接限定大多数访问连接的端口;
  4. 短命的容器不易被入侵:很难通过一个只存活几分钟甚至几秒钟的容器来入侵系统;
  5. 固定的设计难以支持恶意软件注入:如果用户配置的容器在文件系统上不持久化存放应用数据,因此注入的恶意代码也同样无法保存;
  6. 自动生成能加速安全补丁的获取和升级:通过CI/CD Pipeline自动构建,无需人工介入,实现自动快速的代码和依赖库的更新。

此外,关于容器的最佳实践案例也提供了更多安全保障经验:
  1. 预部署源码以及依赖的校验:校验服务可确保容器使用了正确且合规路径的代码;
  2. 预部署可靠性的校验:服务还可通过容器的信任链关系检查,确保代码未被篡改;
  3. 预部署镜像的漏洞扫描:更棒的是,这种扫描服务可以通过软件包的签名检查,实现容器安全风险的自动评估;
  4. 运行容器的漏洞扫描:一旦部署完毕,容器的外部扫描服务可实时监控容器的入侵、停止或拦截攻击;
  5. 含通信稽查的网络路由:由于网络路由是容器编排的基础,因此容器服务架构理应加强安全层,使之具备有效创建基于防火墙服务功能的能力;
  6. 集中式的日志捕获:由于没有本地存储,大部分搭建容器的模式首选集中式的日志捕获及分析,以大大简化日志分析操作;
  7. 外部注入的信任及证书:容器的服务模式不允许在容器或代码内注入证书。这意味着可通过实时加载证书的运行实例来构建信任系统,而非采用静态代码加载证书的方式;

太多方面证明,目前使用容器模式比虚拟机镜像模式更加安全!采用容器模式最明显的新优势是,容器的轻量级隔离墙可提供主机层的交叉安全及其他服务能力。对高级用户而言,容器服务能显而易见得推动架构的增强性需求的提升。因此容器服务的市场才刚刚开始。

原文链接:Thirteen Ways Containers are More Secure than Virtual Machines(翻译:Chilly 校对:田浩浩

原文发布时间为:2016-06-19

本文作者:Chilly 

本文来自云栖社区合作伙伴Dockerone.io,了解相关信息可以关注Dockerone.io。

原文标题:容器相比虚拟机更为安全的十三个方面

相关文章
|
运维 Java 虚拟化
《docker基础篇:1.Docker简介》,包括Docker是什么、容器与虚拟机比较、能干嘛、去哪下
《docker基础篇:1.Docker简介》,包括Docker是什么、容器与虚拟机比较、能干嘛、去哪下
630 12
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
本文基于2024云栖大会演讲,探讨了软件供应链攻击的快速增长趋势及对企业安全的挑战。文中介绍了如何利用阿里云容器服务ACK、ACR和ASM构建云原生软件供应链安全,涵盖容器镜像的可信生产、管理和分发,以及服务网格ASM实现应用无感的零信任安全,确保企业在软件开发和部署过程中的安全性。
|
监控 安全 Cloud Native
阿里云容器服务&云安全中心团队荣获信通院“云原生安全标杆案例”奖
2024年12月24日,阿里云容器服务团队与云安全中心团队获得中国信息通信研究院「云原生安全标杆案例」奖。
|
存储 数据安全/隐私保护 数据中心
Incus 6.4 容器和虚拟机管理器发布
【10月更文挑战第26天】
789 2
Incus 6.4 容器和虚拟机管理器发布
|
安全 虚拟化 异构计算
GPU安全容器面临的问题和挑战
本次分享由阿里云智能集团弹性计算高级技术专家李亮主讲,聚焦GPU安全容器面临的问题与挑战。内容分为五个部分:首先介绍GPU安全容器的背景及其优势;其次从安全、成本和性能三个维度探讨实践中遇到的问题及应对方案;最后分享GPU安全容器带状态迁移的技术路径与应用场景。在安全方面,重点解决GPU MMIO攻击问题;在成本上,优化虚拟化引入的内存开销;在性能上,提升P2P通信和GPU Direct的效率。带状态迁移则探讨了CRIU、Hibernate及VM迁移等技术的应用前景。
|
存储 持续交付 虚拟化
|
供应链 安全 Cloud Native
阿里云容器服务助力企业构建云原生软件供应链安全
针对软件供应链的攻击事件在以每年三位数的速度激增,其中三方或开源软件已经成为攻击者关注的重要目标,其攻击方式和技术也在不断演进。通过供应链的传播,一个底层软件包的漏洞的影响范围可以波及世界。企业亟需更加标准和完善的供应链风险洞察和防护机制。本文将结合最佳实践的形式,面向容器应用完整的生命周期展示如何基于容器服务ACK/ACR/ASM助力企业构建云原生软件供应链安全。
|
云安全 安全 Serverless
Serverless 安全新杀器:云安全中心护航容器安全
Serverless 安全防护能力除了支持目前既定的等保合规(漏洞扫描、入侵检测、基线检测等)、安全隔离的能力外还支持 WAF 防火墙、支持通信加密、操作审计、权限管控等能力,也正是有了这些能力的加持,SAE 才能很好的服务了金融、政企、医疗等行业的客户;Serverless(SAE)未来还计划规划更多安全能力为企业保驾护航,包括:代码安全扫描、加密、堡垒机、最小权限、身份与访问管理、以及更多的攻击防护等能力的建设。
|
监控 应用服务中间件 nginx
详细解释容器以及虚拟机centos7.9容器化部署基础服务(容器化部署nginx)
容器是一种轻量级、可移植的软件打包和隔离技术,将应用程序及其依赖项打包,确保在任何环境中一致运行。容器共享主机操作系统内核,相比虚拟机更高效、轻量,具有快速启动和高资源利用率的特点。容器的关键技术包括命名空间(如 PID、NET 等)、控制组(cgroups)和联合文件系统(UnionFS)。使用容器可以提高开发和部署效率,简化管理,确保环境一致性。例如,在 CentOS 7.9 上部署 Nginx 时,可以通过 Docker 下载和运行 `nginx:1.20` 镜像,并通过端口映射使外部请求访问 Nginx 服务。此外,还可以将测试页面复制到容器中,进一步验证容器的功能。
565 0