随着微服務架構的(de)興起，容器化部署逐漸成爲(wéi / wèi)當下最流行的(de)生産方式，因此也(yě)越來(lái)越多的(de)公司将應用部署在(zài)基于(yú)容器的(de)架構上(shàng)。自然的(de)，容器的(de)安全性也(yě)成爲(wéi / wèi)業界關注的(de)焦點。

容器通過減少主機自身的(de)暴露區域以(yǐ)及對應用程序與主機之(zhī)間、應用程序之(zhī)間進行隔離實現了(le／liǎo)更多一(yī / yì ／yí)層的(de)防護，而(ér)這(zhè)種隔離并沒有使用更多的(de)底層基礎架構資源。容器技術以(yǐ)兩種方式提升了(le／liǎo)應用程序的(de)安全性。首先通過使用應用程序之(zhī)間和(hé / huò)應用程序與主機之(zhī)間的(de)隔離層來(lái)實現。第二，它通過限制對主機的(de)訪問來(lái)降低主機的(de)暴露區域來(lái)保護主機以(yǐ)及其上(shàng)的(de)容器。

●應用容器帶來(lái)的(de)挑戰●

一(yī / yì ／yí)、容器技術風險：容器逃逸、資源隔離失效

二：鏡像安全：鏡像漏洞鏡像，配置缺陷，嵌入式惡意軟件，嵌入式明文密鑰，使用不(bù)可信鏡像

三：鏡像倉庫風險：與鏡像倉庫的(de)連接不(bù)安全，鏡像倉庫中的(de)鏡像過時(shí)，認證和(hé / huò)授權限制不(bù)足

四：容器安全：運行是(shì)軟件中的(de)漏洞，容器的(de)網絡訪問不(bù)限制，應用漏洞，流氓容器

五：主機操作系統風險：攻擊面大(dà)，内核共享，主機操作系統的(de)組件有漏洞，用戶訪問權限不(bù)匹配、篡改操作系統文件系統

容器的(de)廣受歡迎，是(shì)因爲(wéi / wèi)它能簡化應用或服務及其所依賴項的(de)構建、封裝與推進，而(ér)且這(zhè)種簡化能夠涵蓋整個(gè)生命周期，還可以(yǐ)跨越不(bù)同的(de)環境。然而(ér)容器安全問題，是(shì)企業上(shàng)雲的(de)首要(yào / yāo)關切。随着雲原生對計算基礎設施和(hé / huò)企業應用架構的(de)重定義，容器作爲(wéi / wèi)雲的(de)新界面，也(yě)将緊跟雲原生的(de)發展大(dà)潮，向更加安全、可信的(de)方向發展。

●容器安全應對舉措●

一(yī / yì ／yí)、全面了(le／liǎo)解和(hé / huò)控制：獲取容器活動的(de)可實現并執行安全策略

掃描鏡像以(yǐ)了(le／liǎo)解已知的(de)漏洞，檢測惡意代碼，并在(zài)整個(gè)生命周期中确保鏡像的(de)完整性。

二、集成與非侵入性：開發到(dào)生産的(de)整個(gè)生命周期的(de)自動化安全

零接觸部署和(hé / huò)管理，使用API和(hé / huò)編排工具集成；使用鏡像清單，應用程序上(shàng)下文，行爲(wéi / wèi)分析和(hé / huò)網絡威脅情報自動化策略創建。

三、高級威脅防禦：保護組織内部和(hé / huò)外部的(de)多種攻擊場景

高級威脅檢測和(hé / huò)保護，包括容器活動控制，網絡分段和(hé / huò)主機完整性控制；基于(yú)特定容器，鏡像，主機，網絡和(hé / huò)存儲卷的(de)角色權限控制。

容器安全性是(shì)一(yī / yì ／yí)個(gè)廣闊的(de)領域，如果企業對此接觸不(bù)多則可能會很難理解，但是(shì)随着容器的(de)廣泛使用，完善其策略變得越來(lái)越重要(yào / yāo)。