每當一項新的軟件技術出現，InfoSec團隊都會有點焦慮。理由是他們的工作是評估和降低風險——而新軟件引入了一些未知變量，這些變量等同於企業的額外風險。對新的、不斷演進的和復雜的技術做出判斷是一項艱難的工作，這些團隊克服重重疑慮接受未知的新技術值得贊賞。

這篇文章旨在呼籲世界範圍內的InfoSec人士對容器的出現持樂觀態度。有些人認為容器=不安全，其實，容器在安全性方面反而具有先天的優勢：

不變性

在一個典型的生產環境中，你的服務器上有一系列的管理狀態，包括系統鏡像、配置管理（CM）和部署工具。 系統的最終狀態是非常動態的（特別是對於CM工具），庫和包往往基於各種runtime變量。以下是一些可能會出現問題的例子：

• 你在你的主機上運行的 openssl 版本可能會因你使用的操作系統而異，你的 rhel 6 主機可能有一個版本，而使用不同補丁版本的Ubuntu主機則有不同的版本。即使是這些細微的差異也可以產生明顯的影響，並導致近期的OpenSSL漏洞（如Heartbleed）。

• 如果你沒有不同的操作系統，那麽如果你在一個特定的主機上運行的CM工具遇到了一個bug，並且在它能夠確保包版本(假設你已經定義了顯式版本!)之前，會發生什麽？現在的情況是，一個過時的軟件包在被註意到之前將會一直存在在系統中。在小環境下, 在CM成功運行中, 你可能有一個良好的脈沖, 但在有著數以千計的主機的復雜的大環境中，因為你不了解或者無法解決這些問題，將會有一些主機, 你無法保證它們的一致性。在此環境中，這種缺少確定性的狀態會導致對庫存和 CVE掃描技術的需求。

這就是容器提供的額外優勢。由於容器鏡像的不可變性，我可以在部署之前了解runtime的狀態。這為我提供了一個點來檢查和理解runtime狀態。在構建過程中對已知的CVE和其他漏洞進行一次掃描，並在部署之前捕獲風險，這比不斷地對系統中部署的每個運行庫進行清點要容易得多。

隔離

使用容器，Linux 內核被設計為在主機上的容器之間提供隔離。它允許每個進程與其相鄰的進程具有不同的runtime。對於InfoSec而言，如果應用程序受到威脅，這將降低攻擊向量對系統其他部分的影響。雖然這種劃分不嚴密，但目前還沒有一個真正安全的機制。

開發人員和應用團隊易於上手

最後，還有一個原因應該能吸引InfoSec，因為開發人員和應用團隊共享的優勢，比起僅使用安全性的工具，你可以更容易獲得上述所有優點。沒有一個安全組織能夠在真空中運作，即使是最安全的組織也需要平衡控制和生產率。但是，當你的解決方案同時滿足這兩個要求時，采用容器並證明所需資源的阻力非常小。盡管這聽起來似乎是一個不應該存在的悖論，但在某種程度上可以提高靈活性和容器的安全性。

結論

我希望這篇文章中的觀點，能鼓勵你進一步探索和了解一下容器技術能如何提高組織機構IT系統的安全性，若你的團隊能（哪怕只是在內部）討論一下是否可將容器技術用於生產環境，那就更好不過了。一如既往地，Rancher團隊將助你開啟你的容器之旅——加入官方微信交流群與我們聯系，在Rancher Blog上查看更多技術文章；如果你準備好與我們展開更詳細的討論，還可以在官網上預約一次demo。

原文來源：Rancher Labs

本文出自 “12452495” 博客，請務必保留此出處http://12462495.blog.51cto.com/12452495/1948838

為什麽InfoSec團隊應該擁抱容器？