容器比虛擬機更安全的13個方面

BY ROB HIRSCHFELD

去年，普遍觀念認為容器的安全性遠不如虛擬機。為什么呢 ？由于容器的抽象層極容易被攻破，因此容器的安全無疑比通過硬件VT-X 優化后的虛擬機抽象層薄弱的多 。一旦攻防松懈，惡意代碼便可輕松攻擊主機。更糟糕的是，一旦主機妥協，由于容器缺乏自有的操作系統壁壘，容器將失去最基本的防守能力。隔離墻的薄弱會導致容器存在大量安全風險隱患。

然而真相是：正面攻擊及未打補丁的漏洞可能比后門入侵更加不安全。

特別配置的虛擬機被大量復制，采用不一致的安全設置，運行在浮腫的操作系統上，這才是我們的首位安全隱患。事實上，輕量級設計的容器配置將降低被攻擊的幾率，輕薄的隔離墻使得在部署前后的安全加固操作更加簡便。

容器雖然沒有天生的技術優勢，但至少在以下六個方面更安全：

1、 不允許SSH ：這招直接斷了很多正面攻擊的入口；

2、 無用戶訪問 ：沒有用戶可省去證書或工具支持用戶訪問的需求；

3、 容器系統限制默認端口 ：容器就是服務，因此可直接限定大多數訪問連接的端口；

4、 短命的容器不易被入侵 ：很難通過一個只存活幾分鐘甚至幾秒鐘的服務入侵系統；

5、 非持久化的存儲設計難以支持惡意軟件注入 ：由于容器并不支持在文件系統上持久化存放應用數據，因此注入的惡意代碼也同樣無法保存；

6、 自動升級能加速安全補丁的獲取和應用 ：通過CI/CD Pipeline自動構建，無需人工介入，實現自動快速的代碼和LIB庫更新。

此外，關于容器的最佳實踐案例也提供了更多安全保障經驗：

1、 預部署之來源及依賴校驗 ：校驗服務可確保容器使用了正確且合規路徑的代碼；

2、 預部署之真實性校驗 ：服務還可通過容器的信任鏈關系檢查，確保代碼未被篡改；

3、 預部署之鏡像漏洞掃描 ：更棒的是，這種掃描服務可以通過軟件包的簽名檢查，實現容器安全風險的自動評估；

4、 容器運行即激活漏洞掃描 ：一旦部署完畢，容器的外部掃描服務可實時監控容器的入侵、停止或攔截攻擊；

5、 含通信稽核的網絡路由 ：由于網絡路由是容器構建的基礎，因此容器服務架構理應加強安全層，使之具備有效創建防火墻服務的能力；

6、 集中式的日志捕獲 ：由于沒有本地存儲，大部分搭建容器的模式首選集中式的日志捕獲及分析，以大大簡化日志分析操作；

7、 外部注入的信任及證書 ：容器的服務模式不允許在容器或代碼內注入證書。這意味著可通過實時加載證書的運行實例來構建信任系統，而非采用靜態代碼加載證書的方式；

太多方面證明，目前使用容器模式比虛擬機鏡像模式更加安全！采用容器模式最明顯的新優勢是，容器的輕量級隔離墻可提供主機層的交叉安全及其他服務能力。對高級用戶而言，架構的增強性需求能顯而易見的推動容器服務能力的提升。因此容器服務的市場才剛剛開始。

來自： http://dockone.io/article/1427