容器云安全系列之容器鏡像安全在線交流探討

在傳統(tǒng)的部署方式中,應(yīng)用依賴于操作系統(tǒng)中的環(huán)境。在配置好環(huán)境后,應(yīng)用可以穩(wěn)定地運(yùn)行。但是隨著技術(shù)的發(fā)展,傳統(tǒng)部署帶來(lái)的問(wèn)題越來(lái)越嚴(yán)重。因?yàn)槎鄠€(gè)應(yīng)用對(duì)運(yùn)行環(huán)境的不同要求,導(dǎo)致應(yīng)用部署產(chǎn)生了很多出乎意料的麻煩,在瑣碎的環(huán)境問(wèn)題上消耗了許多精力。

本文來(lái)自twt企業(yè)IT社區(qū)。

隨著容器及微服務(wù)架構(gòu)的興起,容器化部署已經(jīng)成為云原生實(shí)踐的重要部分,越來(lái)越多的公司將應(yīng)用部署在容器平臺(tái)上。自然的,隨著容器的廣泛使用,容器的安全性就成為了業(yè)界關(guān)注的焦點(diǎn),容器鏡像安全掃描工具也隨之誕生,如:Clair,Anchore Engine,Quay,Trivy等。容器是基于鏡像構(gòu)建的,如果鏡像本身就是一個(gè)惡意鏡像或是一個(gè)存在漏洞的鏡像,那么基于它搭建的容器自然就是不安全的了,故鏡像安全直接決定了容器安全。

為什么容器鏡像會(huì)產(chǎn)生安全問(wèn)題?

在傳統(tǒng)的部署方式中,應(yīng)用依賴于操作系統(tǒng)中的環(huán)境。在配置好環(huán)境后,應(yīng)用可以穩(wěn)定地運(yùn)行。但是隨著技術(shù)的發(fā)展,傳統(tǒng)部署帶來(lái)的問(wèn)題越來(lái)越嚴(yán)重。因?yàn)槎鄠€(gè)應(yīng)用對(duì)運(yùn)行環(huán)境的不同要求,導(dǎo)致應(yīng)用部署產(chǎn)生了很多出乎意料的麻煩,在瑣碎的環(huán)境問(wèn)題上消耗了許多精力。因此,容器化部署被引進(jìn)以應(yīng)對(duì)這種情景。容器安裝了運(yùn)行時(shí)所需要的環(huán)境,并且要求開發(fā)人員將他們的應(yīng)用程序及其所需的依賴關(guān)系打包到容器鏡像中。無(wú)論其他開發(fā)人員和操作系統(tǒng)如何,每個(gè)開發(fā)人員都可以擁有自己的依賴版本。最終不論是用戶還是開發(fā)者都在這種部署方案中受益匪淺,開發(fā)者可以輕松地在不同環(huán)境中測(cè)試應(yīng)用的運(yùn)行情況,在發(fā)布新版本的時(shí)候也不必為環(huán)境的改變而定制升級(jí)教程;用戶在使用容器部署時(shí)也十分便利,并且不同的軟件之間也不會(huì)相互影響。

理想情況下,容器鏡像應(yīng)該只包含應(yīng)用程序的二進(jìn)制文件及其依賴項(xiàng)。然而實(shí)際上,容器鏡像往往是相當(dāng)巨大的。像Ubuntu、Centos這樣被廣泛使用的基礎(chǔ)系統(tǒng)鏡像,它們包含了相當(dāng)多的無(wú)用功能。盡管有些功能在調(diào)試部署的時(shí)候帶來(lái)了一定的便利,但是在增大的體積面前,收益極低。容器實(shí)際上是不透明的,被封裝成一個(gè)個(gè)繁瑣的鏡像。

最終,當(dāng)越來(lái)越多的容器被創(chuàng)建時(shí),沒(méi)有人再確定容器到底裝載了什么,實(shí)際運(yùn)行著什么。正是因?yàn)槿绱?,我們?nèi)粘J褂玫溺R像面臨嚴(yán)峻的安全問(wèn)題。隨著歷年來(lái)積累的CVE越來(lái)越多,很多應(yīng)用都存在一些問(wèn)題,在更新頻率低的鏡像中尤為嚴(yán)重。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論