开发者社区> shev> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

美国国家标准技术局发布应用容器安全指南  

简介: 美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。  NIST的计算机安全研究中心(CSRC)负责监管NIST的数字和信息相关的项目和出版物。
+关注继续查看

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全问题的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。
 
1111

NIST的计算机安全研究中心(CSRC)负责监管NIST的数字和信息相关的项目和出版物。该公告对之前的两份有关应用容器安全的出版物进行了总结,它先是对应用容器的现状进行了总结,然后列出了影响容器安全的因素,最后提出改进应用容器安全的应对措施。
 
容器的可移植性和不可变性会导致两个地方出现安全问题。容器提供了比应用压缩包更高级别的抽象,用于发布和部署应用程序。它们具有跨环境和机器的可移植性,相同的容器镜像可以被用在开发环境、测试环境和生产环境。这对于应用的可移植性和持续交付来说虽然有一定的好处,但也带来了安全问题。安全工具和流程并不能保证容器所运行环境绝对安全,因为特定的环境可能包含很多安全漏洞。
 
容器使用了不可变模型,每当一个新版本的容器发布,旧的容器就会被销毁,新容器会代替旧容器执行任务。如果基础镜像发生变更(比如一个操作系统镜像),应用开发者就必须为相应的应用生成新的镜像。将安全漏洞补丁和缺陷修复推到生产环境变成了开发人员的责任,而不是运维人员。但实际上,运维团队应该在这方面拥有更多的经验,所以说这也是一个潜在的问题。
 
NIST发布的指南列出了六个需要应用安全措施的地方,包括镜像、注册表、编配器、容器、主机操作系统和硬件。镜像漏洞有可能是操作系统漏洞、配置问题、木马、未被信任的镜像、明文存储的秘钥。镜像是基于基础镜像构建而成的,在很多情况下,应用开发者并不知道底层镜像会存在问题。不安全的连接、过时的镜像和不完备的认证授权机制给镜像注册带来了风险。如果没有做好网络流量控制,任由无限制的访问,那么用于管理容器生命周期的编配器也会出现问题。大部分编配器并不支持多用户模式,从安全方面来看,默认的设置一般无法保证最佳的安全性。
 
容器里也可能包含了恶意代码,它们有可能会“冲出”容器,对同一主机上的其他容器或对主机本身造成威胁。容器内部未加控制的网络访问和不安全的容器运行时配置(在高级别权限模式下运行)也会带来隐患,因为容器有可能受到来自其他方面的影响,比如应用级别的漏洞。每一个主机操作系统都有一个“攻击面”,攻击者通过这个攻击面对操作系统发起攻击。主机一旦受到攻击,主机上的容器也难逃厄运。共享内核的容器会加大攻击面。
 
应对措施需要从最底层开始——也就是硬件,然后往上达到容器运行时,当然也会触及镜像、注册表和编配器。之前关于容器安全的研究也提到了类似的内容。

**Ghostcloud精灵云

Ghostcloud精灵云是国内首批从事容器虚拟化研发的企业,其产品企业级容器云PaaS/CaaS平台EcOS,与微服务/DevOps相融合,致力于为企业提供互联网化、私有云管理平台、大数据业务基础架构等服务,帮助客户降低成本、提升效率、简化运维及产品部署,提升系统可靠性和安全性。目前在金融、制造、能源、政务等领域有超过50家的客户。

双软认证企业
菁蓉杯2016创业大赛冠军
通过全国高新技术企业认定
通过ITSS云计算服务能力标准认证
2017德勤-成都高新创新创业明日之星
入围2017年云计算领域“奥斯卡”云鼎奖
荣获2017中国云计算500强|PaaS平台服务商
创富中国2016年度总决赛最受媒体欢迎企业
天府(四川)联合股权交易中心双创企业板挂牌企业
全球首批CNCF官方认证Kubernetes核心服务提供商
阿里2016云栖大会CACSC全球总决赛「十大优秀企业」
**
本篇文章来源于 Linux公社网站(www.linuxidc.com) 
原文链接 http://www.linuxidc.com/Linux/2017-12/149235.htm
作者:Hrishikesh Barua ,译者 薛命灯

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《容器技术在异构基础设施系统迁移中的应用》电子版地址
容器技术在异构基础设施系统迁移中的应用
0 0
容器 I/O 性能诊断:到底哪个应用是带宽杀手?
容器和 Kubernetes 的发展成熟为应用的云原生化提供最基础的支撑,从而使企业最大化利用云上的资源。存储作为应用运行的基石,也在服务云原生化的过程中不断演进。
0 0
《运用新技术解决有状态应用的冷热迁移挑战 迁移策略+新容器运行时》电子版地址
运用新技术解决有状态应用的冷热迁移挑战 迁移策略+新容器运行时
0 0
容器持久化存储-容器有状态应用调研报告
容器持久化存储-容器有状态应用调研报告
0 0
非容器应用与 K8s 工作负载服务网格化实践|学习笔记(二)
快速学习非容器应用与 K8s 工作负载服务网格化实践
0 0
非容器应用与 k8s工作负载的服务网格化实践(二)|学习笔记
快速学习非容器应用与 k8s工作负载的服务网格化实践(二)
0 0
非容器应用与K8s工作负载的服务网格化实践|学习笔记
快速学习非容器应用与K8s工作负载的服务网格化实践
0 0
Java应用在docker环境配置容器健康检查
运行在docker环境的java应用,给其增加健康检查的能力,以便观察和监控容器的健康状态
0 0
《1-简析容器应用生命周期的一体化安全流程》电子版地址
1-简析容器应用生命周期的一体化安全流程
0 0
+关注
shev
精灵云(www.ghostcloud.cn)联合创始人,20年编程经验,全栈工程师,曾任索贝数码及赛门铁克架构师架构师,精通分布式系统开发,2013年开始研究LXC和Docker相关技术,目前主要从事容器云平台研发工作。
文章
问答
文章排行榜
最热
最新
相关电子书
更多
运用新技术解决有状态应用的冷热迁移挑战 迁移策略+新容器运行时
立即下载
容器技术“飞天”,“敏捷”应用发布运维
立即下载
容器技术在异构基础设施系统迁移中的应用
立即下载