爲何InfoSec團隊應該擁抱容器？

每當一項新的軟件技術出現，InfoSec團隊都會有點焦慮。理由是他們的工做是評估和下降風險——而新軟件引入了一些未知變量，這些變量等同於企業的額外風險。對新的、不斷演進的和複雜的技術作出判斷是一項艱難的工做，這些團隊克服重重疑慮接受未知的新技術值得讚揚。

這篇文章旨在呼籲世界範圍內的InfoSec人士對容器的出現持樂觀態度。有些人認爲容器=不安全，其實，容器在安全性方面反而具備先天的優點：

不變性

在一個典型的生產環境中，你的服務器上有一系列的管理狀態，包括系統鏡像、配置管理（CM）和部署工具。 系統的最終狀態是很是動態的（特別是對於CM工具），庫和包每每基於各類runtime變量。如下是一些可能會出現問題的例子：

• 你在你的主機上運行的 openssl 版本可能會因你使用的操做系統而異，你的 rhel 6 主機可能有一個版本，而使用不一樣補丁版本的Ubuntu主機則有不一樣的版本。即便是這些細微的差別也能夠產生明顯的影響，並致使近期的OpenSSL漏洞（如Heartbleed）。
• 若是你沒有不一樣的操做系統，那麼若是你在一個特定的主機上運行的CM工具遇到了一個bug，而且在它可以確保包版本(假設你已經定義了顯式版本!)以前，會發生什麼？如今的狀況是，一個過期的軟件包在被注意到以前將會一直存在在系統中。在小環境下, 在CM成功運行中, 你可能有一個良好的脈衝, 但在有着數以千計的主機的複雜的大環境中，由於你不瞭解或者沒法解決這些問題，將會有一些主機, 你沒法保證它們的一致性。在此環境中，這種缺乏肯定性的狀態會致使對庫存和 CVE掃描技術的需求。

這就是容器提供的額外優點。因爲容器鏡像的不可變性，我能夠在部署以前瞭解runtime的狀態。這爲我提供了一個點來檢查和理解runtime狀態。在構建過程當中對已知的CVE和其餘漏洞進行一次掃描，並在部署以前捕獲風險，這比不斷地對系統中部署的每一個運行庫進行清點要容易得多。

隔離

使用容器，Linux 內核被設計爲在主機上的容器之間提供隔離。它容許每一個進程與其相鄰的進程具備不一樣的runtime。對於InfoSec而言，若是應用程序受到威脅，這將下降攻擊向量對系統其餘部分的影響。雖然這種劃分不嚴密，但目前尚未一個真正安全的機制。

開發人員和應用團隊易於上手

最後，還有一個緣由應該能吸引InfoSec，由於開發人員和應用團隊共享的優點，比起僅使用安全性的工具，你能夠更容易得到上述全部優勢。沒有一個安全組織可以在真空中運做，即便是最安全的組織也須要平衡控制和生產率。可是，當你的解決方案同時知足這兩個要求時，採用容器並證實所需資源的阻力很是小。儘管這聽起來彷佛是一個不該該存在的悖論，但在某種程度上能夠提升靈活性和容器的安全性。

結論

我但願這篇文章中的觀點，能鼓勵你進一步探索和了解一下容器技術能如何提升組織機構IT系統的安全性，若你的團隊能（哪怕只是在內部）討論一下是否可將容器技術用於生產環境，那就更好不過了。一如既往地，Rancher團隊將助你開啓你的容器之旅——加入官方微信交流羣與咱們聯繫，在Rancher Blog上查看更多技術文章；若是你準備好與咱們展開更詳細的討論，還能夠在官網上預定一次demo。

---

9月27日，北京海航萬豪酒店，容器技術大會Container Day 2017即將舉行。

CloudStack之父、海航科技技術總監、華爲PaaS部門部長、恆豐銀行科技部總經理、阿里雲PaaS工程總監、民生保險CIO······均已加入豪華講師套餐！

11家已容器落地企業，15位真·雲計算大咖，13場純·技術演講，結合實戰場景，聚焦落地經驗。免費參會+超高規格，詳細議程及註冊連接請戳