导读 企业高度监管且规避风险的IT环境意味着他们通常无法将容器部署到流行的公共云容器平台。

业务开发的速度在不断加快:更快的软件发布周期、持续的自动化集成和交付管道、生产环境的极端可扩展性和弹性,以及公共和私有云的采用。企业及其开发人员需要新的工具和方法来跟上创新的速度。在这种环境中,容器已经成为软件部署的未来。

通过将应用程序及其支持代码、库、设置和、资产捆绑到一个软件包中,容器可以在整个计算环境中更快、更轻松、更一致地进行软件部署。

容器通过提供速度、效率和自动化来支持现代开发人员所需的工作方式。现在,开发人员可以在Kubernetes(Docker容器管理最流行的编排平台)中使用几行代码来获取部署应用程序所需的一切,而不必花费宝贵的时间来配置应用程序环境。

企业采用容器技术

其结果是,容器的使用变得越来越流行。研究表明,2022年容器市场的价值将超过43亿美元,最近对519家公司的调查显示,81%的公司目前正在运行容器技术,而上一年只有55%。

对于初创公司和云优先业务,尝试使用容器进行软件部署相对简单,因为他们可以使用托管在完全云基础设施上的容器,如AmazonWebServices、GoogleCloud或MicrosoftAzure。

像初创公司和云优先公司一样,企业也希望尝试基于容器的部署,这样他们就可以创新并让开发人员满意。许多企业正在推出内部“创新孵化器”,这些孵化器有能力像企业环境中的初创公司一样思考和工作。这些团队中的开发人员通常可以使用他们喜欢的工具,包括Docker。

但是,容器并不像企业那样简单。企业高度监管和规避风险的IT环境的现实意味着他们通常无法将容器部署到流行的公共云容器平台。相反,企业开发人员(例如金融部门)需要在更受控制的虚拟私有云或混合基础设施中托管Docker和Kubernetes。

安全访问问题

这是问题的症结所在。与其他任何系统一样,IT管理人员仍需要管理对容器基础设施的访问。随着他们必须管理的系统类型的发展,它变得越来越困难。

考虑如何改变安全访问以适应现代工作方式。在传统企业内部部署服务器环境中,IT管理员已经在处理数百万个非托管SSH密钥,这些密钥可能是冗余的、配置不当、不兼容,同时支持关键流程。现在抛出现代企业开发团队的典型工作流程,他们每天都会启动数百个新的云计算服务器,但在安全性方面只做最少的工作。他们可以使用Splunk等安全信息和事件管理(SIEM)工具,但不应期望采取额外步骤为日常特权访问创建审计跟踪。

因此,IT管理人员很难确定谁可以访问什么内容,从而创建了几个主要的合规性问题。如果某人有权访问根域基础设施或客户信用卡数据或其他敏感信息,该怎么办?如果第三方承包商或自由职业者在业务结束后很长一段时间内仍能获得关键的IT资源,该怎么办?这是一个合规定时炸弹,在任何企业都是不可接受的。

 

首席信息安全官在多个方面也受到攻击,因为它们对来自开发人员和IT管理员的有点冲突的需求做出了响应。开发人员希望尽可能多地自由地探索容器,而IT管理员则希望保留对其整个安全环境的整体视图。

换句话说,面对日益复杂的IT环境,IT管理员需要找到一种方法来保持环境的安全和平稳运行,而不会对业务速度造成摩擦。另外,企业需要找到一种方法来保持容器技术的最前沿,而不必为其整体安全做出任何牺牲。

那么,企业如何利用其Kubernetes容器环境,同时确保其安全?

实现安全创新

对于托管Docker或Kubernetes的操作系统,企业需要一种方法来控制、管理和自动化数百万个访问密钥。借助全面的关键生命周期管理功能,IT管理人员可以保留整个安全环境的整体视图。同时,开发人员可以在高度监管的环境中自由探索容器作为软件开发的未来。

IT管理员不必完全失去对安全环境的控制,以便为开发人员提供自由。而且,内部审计人员可以轻松休息,因为他们知道企业的敏捷软件开发流程可以提供合规性。

通过这种方式,人们可以使企业轻松实现在容器中打包和运行软件的业务优势,同时确保成本效益、灵活性、合规性。

原文来自:http://netsecurity.51cto.com/art/201907/600136.htm

本文地址:https://www.linuxprobe.com/container-safety.html编辑:王华超,审核员:逄增宝

Linux命令大全:https://www.linuxcool.com/